選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

連接跨帳戶存取的政策

焦點模式
連接跨帳戶存取的政策 - AWS Private Certificate Authority

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

當 CA 管理員和憑證發行者位於不同的 AWS 帳戶中時,CA 管理員必須共用 CA 存取權。這可透過將資源型政策連接至 CA 來完成。此政策會授予特定主體的發行許可,該主體可以是 AWS 帳戶擁有者、IAM 使用者、 AWS Organizations ID 或組織單位 ID。

CA 管理員可以透過下列方式連接和管理政策:

  • 在管理主控台中,使用 AWS Resource Access Manager (RAM),這是跨帳戶共用 AWS 資源的標準方法。當您將 CA 資源 AWS RAM 與另一個帳戶中的主體共用時,所需的資源型政策會自動連接到 CA。如需 RAM 的詳細資訊,請參閱 AWS RAM 使用者指南

    注意

    您可以選擇 CA,然後選擇動作管理資源共用,即可輕鬆開啟 RAM 主控台。

  • 以程式設計方式使用 PCA APIsPutPolicyGetPolicy DeletePolicy

  • 手動使用 中的 PCA 命令 put-policyget-policydelete-policy AWS CLI。

只有主控台方法需要 RAM 存取。

跨帳戶案例 1:從主控台發出受管憑證

在此情況下,CA 管理員會使用 AWS Resource Access Manager (AWS RAM) 與其他 AWS 帳戶共用 CA 存取權,這可讓該帳戶發出受管 ACM 憑證。圖表顯示 AWS RAM 可以直接與 帳戶共用 CA,或透過帳戶為成員的 AWS Organizations ID 間接共用 CA。

使用主控台進行跨帳戶發行

RAM 透過 共用資源後 AWS Organizations,收件人主體必須接受資源,才能使其生效。收件人可以設定 AWS Organizations 以自動接受提供的共用。

注意

收件人帳戶負責在 ACM 中設定自動續約。一般而言,在第一次使用共用 CA 時,ACM 會安裝服務連結角色,允許其在 上進行無人看管憑證呼叫 AWS 私有 CA。如果失敗 (通常是由於缺少許可),則不會自動續約來自 CA 的憑證。只有 ACM 使用者可以解決問題,而不是 CA 管理員。如需詳細資訊,請參閱搭配 SLR 使用服務連結角色 (ACM)

跨帳戶案例 2:使用 API 或 CLI 發行受管和未受管憑證

第二個案例示範了使用 AWS Certificate Manager 和 AWS 私有 CA API 的共享和發行選項。所有這些操作也可以使用對應的 AWS CLI 命令來執行。

使用 APIs 進行跨帳戶發行

由於 API 操作直接在此範例中使用,憑證發行者可以選擇兩種 API 操作來發出憑證。PCA API 動作IssueCertificate會產生未受管理的憑證,不會自動續約,必須匯出並手動安裝。ACM API動作 RequestCertificate 會產生可輕易安裝在 ACM 整合服務上的受管憑證,並自動續約。

注意

收件人帳戶負責在 ACM 中設定自動續約。一般而言,在第一次使用共用 CA 時,ACM 會安裝服務連結角色,允許其在 上進行無人看管憑證呼叫 AWS 私有 CA。如果失敗 (通常是由於缺少許可),則 CA 的憑證不會自動續約,只有 ACM 使用者可以解決問題,而不是 CA 管理員。如需詳細資訊,請參閱搭配使用服務連結角色 (SLR) 與 ACM

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。