本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
當 CA 管理員和憑證發行者位於不同的 AWS 帳戶中時,CA 管理員必須共用 CA 存取權。這可透過將資源型政策連接至 CA 來完成。此政策會授予特定主體的發行許可,該主體可以是 AWS 帳戶擁有者、IAM 使用者、 AWS Organizations ID 或組織單位 ID。
CA 管理員可以透過下列方式連接和管理政策:
-
在管理主控台中,使用 AWS Resource Access Manager (RAM),這是跨帳戶共用 AWS 資源的標準方法。當您將 CA 資源 AWS RAM 與另一個帳戶中的主體共用時,所需的資源型政策會自動連接到 CA。如需 RAM 的詳細資訊,請參閱 AWS RAM 使用者指南。
注意
您可以選擇 CA,然後選擇動作、管理資源共用,即可輕鬆開啟 RAM 主控台。
-
以程式設計方式使用 PCA APIsPutPolicy、GetPolicy 和 DeletePolicy。
-
手動使用 中的 PCA 命令 put-policy、get-policy 和 delete-policy AWS CLI。
只有主控台方法需要 RAM 存取。
跨帳戶案例 1:從主控台發出受管憑證
在此情況下,CA 管理員會使用 AWS Resource Access Manager (AWS RAM) 與其他 AWS 帳戶共用 CA 存取權,這可讓該帳戶發出受管 ACM 憑證。圖表顯示 AWS RAM 可以直接與 帳戶共用 CA,或透過帳戶為成員的 AWS Organizations ID 間接共用 CA。
RAM 透過 共用資源後 AWS Organizations,收件人主體必須接受資源,才能使其生效。收件人可以設定 AWS Organizations 以自動接受提供的共用。
注意
收件人帳戶負責在 ACM 中設定自動續約。一般而言,在第一次使用共用 CA 時,ACM 會安裝服務連結角色,允許其在 上進行無人看管憑證呼叫 AWS 私有 CA。如果失敗 (通常是由於缺少許可),則不會自動續約來自 CA 的憑證。只有 ACM 使用者可以解決問題,而不是 CA 管理員。如需詳細資訊,請參閱搭配 SLR 使用服務連結角色 (ACM)。
跨帳戶案例 2:使用 API 或 CLI 發行受管和未受管憑證
第二個案例示範了使用 AWS Certificate Manager 和 AWS 私有 CA API 的共享和發行選項。所有這些操作也可以使用對應的 AWS CLI 命令來執行。
由於 API 操作直接在此範例中使用,憑證發行者可以選擇兩種 API 操作來發出憑證。PCA API 動作IssueCertificate
會產生未受管理的憑證,不會自動續約,必須匯出並手動安裝。ACM API動作 RequestCertificate 會產生可輕易安裝在 ACM 整合服務上的受管憑證,並自動續約。
注意
收件人帳戶負責在 ACM 中設定自動續約。一般而言,在第一次使用共用 CA 時,ACM 會安裝服務連結角色,允許其在 上進行無人看管憑證呼叫 AWS 私有 CA。如果失敗 (通常是由於缺少許可),則 CA 的憑證不會自動續約,只有 ACM 使用者可以解決問題,而不是 CA 管理員。如需詳細資訊,請參閱搭配使用服務連結角色 (SLR) 與 ACM。