本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 的 Identity and Access Management (IAM) AWS 私有憑證授權單位 存取 AWS 私有 CA 需要 AWS 登入資料,可用來驗證您的請求。以下主題提供如何使用 [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 的詳細資訊,藉由控制可存取的人員,協助確保私有憑證授權機構 (CA) 的安全。 在 中 AWS 私有 CA,您使用的主要資源是*憑證授權單位 (CA)*。您擁有或控制的每個私有 CA 皆是以 Amazon Resource Name (ARN) 識別,其格式如下。 ``` arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 ``` *資源擁有者*是建立 AWS 資源之 AWS 帳戶的*主體實體*。下列範例說明其如何運作。 + 如果您使用 的登入 AWS 帳戶根使用者 資料來建立私有 CA, AWS 您的帳戶會擁有 CA。 **重要** 我們不建議使用 AWS 帳戶根使用者 來建立 CAs。 強烈建議您隨時存取時使用多重驗證 (MFA) AWS 私有 CA。 + 如果您在 AWS 帳戶中建立 IAM 使用者,您可以授予該使用者建立私有 CA 的許可。不過,該 CA 歸使用者所屬的帳戶所有。 + 如果您在 AWS 帳戶中建立 IAM 角色並授予其建立私有 CA 的許可,則任何可以擔任該角色的人都可以建立 CA。不過,該私有 CA 歸角色所屬的帳戶所有。 *許可政策*描述誰可以存取哪些資源。以下討論會說明可用來建立許可政策的選項。 **注意** 本文件討論在 內容中使用 IAM AWS 私有 CA。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。如需 IAM 政策語法和說明的詳細資訊,請參閱 [AWS IAM 政策參考資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html)。