本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在以下两种情况下,您可以使用 AWS 私有 CA 对 ACM 证书进行签名:
-
单一账户:签名 CA 和颁发的 AWS Certificate Manager(ACM)证书位于同一 AWS 账户中。
要启用单账户颁发和续订,AWS 私有 CA 管理员必须向 ACM 服务主体授予创建、检索和列出证书的权限。这是使用 AWS 私有 CA API 操作 CreatePermission 或 AWS CLI 命令 create-permission 实现的。账户拥有者将这些权限分配给负责颁发证书的 IAM 用户、组或角色。
-
跨账户:签名 CA 和颁发的 ACM 证书位于不同 AWS 账户中,并且已向证书所在的账户授予对 CA 的访问权限。
要启用跨账户颁发和续订,AWS 私有 CA 管理员必须使用 AWS 私有 CA API 操作 PutPolicy 或 AWS CLI 命令 put-policy,将基于资源的策略附加到该 CA。该策略指定其他账户中允许对 CA 进行有限访问的主体。有关更多信息,请参阅将基于资源的策略用于 ACM Private CA。
跨账户方案还要求 ACM 设置服务关联角色 (SLR),以便作为主体与 PCA 策略进行交互。ACM 在颁发第一个证书时自动创建 SLR。
ACM 可能会提示您,它无法确定您的账户中是否存在 SLR。如果所需的
iam:GetRole权限已被授予您账户的 ACM SLR,则在创建 SLR 后不会再发出提示。如果提示再次发生,那么您或您的账户管理员可能需要授予iam:GetRole访问 ACM 的权限,或者将您的账户与 ACM 托管策略AWSCertificateManagerFullAccess关联。有关更多信息,请参阅将服务相关角色用于 ACM。
重要
您的 ACM 证书必须主动与受支持的 AWS 服务关联,然后才能自动续订。有关 ACM 支持的资源的信息,请参阅 与 ACM 集成的服务。
