本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为用户创建单账户IAM权限
当 CA 管理员(即 CA 的所有者)和证书颁发者居住在同一个 AWS 账户中时,最佳做法是通过创建权限有限的 AWS Identity and Access Management (IAM) 用户将颁发者和管理员角色分开。有关IAM与一起 AWS 私有 CA使用的信息以及权限示例,请参阅Identity and Access Managemen IAM t () 适用于 AWS Private Certificate Authority。
单账户案例 1:颁发非托管证书
在这种情况下,账户所有者创建一个私有 CA,然后创建一个有权颁发由私有 CA 签名的证书的IAM用户。IAM用户通过调用来颁发证书 AWS 私有 CA
IssueCertificateAPI。
以这种方式颁发的证书未托管,这意味着管理员必须将其导出并安装在要使用的设备上。这些证书过期时还必须手动续订。使用它颁发证书API需要证书签名请求 (CSR) 和 AWS 私有 CA 由 Ope n SSLIssueCertificate 文档。
单账户案例 2:通过以下方式颁发托管证书 ACM
第二种情况涉及来自ACM和的API操作PCA。账户所有者像以前一样创建私有 CA 和IAM用户。然后,账户所有者向ACM服务主体授予自动续订由此 CA 签署的所有证书的权限。IAM用户再次颁发证书,但这次是通过调用 ACM RequestCertificateAPI,后者负责处理CSR和密钥生成。证书到期后,ACM自动执行续订工作流程。
账户所有者可以选择在创建 CA 期间或之后通过管理控制台授予续订权限,或者使用PCACreatePermissionAPI。通过此工作流程创建的托管证书可用于与集成的 AWS 服务ACM。
下一节包含授予续订权限的过程。
将证书续订权限分配给 ACM
使用 AWS Certificate Manager (ACM) 中的托管续订,您可以自动执行公有和私有证书的证书续订流程。ACM为了自动续订私有 CA 生成的证书,C A 本身必须向ACM服务主体授予所有可能的权限。如果没有这些续订权限ACM,则每份私有证书到期后,CA 的所有者(或授权代表)必须手动补发每份私有证书。
重要
这些分配续订权限的过程仅在 CA 所有者和证书颁发者居住在同一个 AWS 账户中时适用。有关跨账户场景,请参阅 附加跨账户存取策略。
续订权限可在私有 CA 创建期间委派,并且只要 CA 处于 ACTIVE 状态,即可在任何时间更改。
您可以通过AWS 私有 CA 控制台
向ACM(控制台)分配私有 CA 权限
-
登录您的 AWS 帐户并在https://console.aws.amazon.com/acm-pca/家
中打开主 AWS 私有 CA 机。 -
在私有证书颁发机构页面上,从列表中选择您的私有 CA。
-
选择操作、配置 CA 权限。
-
选择 “授权ACM访问权限以续订此账户请求的证书”。
-
选择保存。
在 AWS 私有 CA (AWS CLI) 中管理ACM权限
使用 create-permis sion 命令为分配权限。ACM要自动续订证书 IssueCertificateGetCertificate,必须分配必要的权限(、和ListPermissions)。ACM
$aws acm-pca create-permission \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID\ --actionsIssueCertificateGetCertificateListPermissions\ --principal acm.amazonaws.com
使用 list-permissions 命令列出 CA 委派的权限。
$aws acm-pca list-permissions \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID
使用 delete-per mission 命令撤消 CA 分配给服务主体的权限。 AWS
$aws acm-pca delete-permission \ --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID\ --principal acm.amazonaws.com
