本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 控制私有 CA 的存取
<a name="granting-ca-access"></a>

對私有 CA 具有必要許可的任何使用者可以 AWS 私有 CA 使用該 CA 簽署其他憑證。CA 擁有者可以發行憑證，或將發行憑證所需的許可委派給位於相同 中的 AWS Identity and Access Management (IAM) 使用者 AWS 帳戶。如果 CA 擁有者透過[以資源為基礎的政策](pca-rbp.md)授權，則位於不同 AWS 帳戶中的使用者也可以發行憑證。

無論單一帳戶或跨帳戶，授權使用者都可以在發行憑證時使用 AWS 私有 CA 或 AWS Certificate Manager 資源。從 AWS 私有 CA [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API 或 [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) CLI 命令發出的憑證不受管理。這類憑證需要在目標裝置上手動安裝，並在過期時手動續約。從 ACM 主控台、ACM [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) API 或 [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) CLI 命令發出的憑證會受到管理。這類憑證可以輕鬆安裝在與 ACM 整合的 服務中。如果 CA 管理員允許，且發行者的帳戶具有適用於 ACM [的服務連結角色](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)，則受管憑證會在過期時自動續約。

**Topics**
+ [為 IAM 使用者建立單一帳戶許可](assign-permissions.md)
+ [連接跨帳戶存取的政策](pca-ram.md)