本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 跨帳戶存取私有 CAs的安全最佳實務
<a name="pca-resource-sharing"></a>

 AWS 私有 CA 管理員可以與其他主體 （使用者、角色等） 共用 CA AWS 帳戶。收到並接受共享時，委託人可以使用 CA 使用 AWS 私有 CA 或 AWS Certificate Manager 資源發行終端實體憑證。主體可以使用 CA 來發行次級 CA 憑證 AWS 私有 CA。

**重要**  
與跨帳戶案例中發行之憑證相關聯的費用，會向發行憑證 AWS 的帳戶收取費用。

若要共用 CA 的存取權， AWS 私有 CA 管理員可以選擇下列其中一種方法：
+ 使用 AWS Resource Access Manager (RAM) 將 CA 作為資源與另一個帳戶中的委託人共用 AWS Organizations。RAM 是跨帳戶共用 AWS 資源的標準方法。如需 RAM 的詳細資訊，請參閱 [AWS RAM 使用者指南](https://docs.aws.amazon.com/ram/latest/userguide/)。如需 AWS Organizations的相關資訊，請參閱《[ 使用者指南》AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/)。
+ 使用 AWS 私有 CA API 或 CLI 將資源型政策連接至 CA，藉此將存取權授予另一個帳戶中的委託人。如需詳細資訊，請參閱[資源型政策](pca-rbp.md)。

本指南的 [控制私有 CA 的存取](granting-ca-access.md)區段提供在單一帳戶和跨帳戶案例中授予 CAs 存取權的工作流程。