跨账户存取私有 CA 的安全最佳实践

AWS 私有 CA 管理员可以与其他 AWS 账户中的委托人（用户、角色等）共享 CA。收到并接受股票后，委托人可以使用 AWS 私有 CA 或 AWS Certificate Manager 资源使用证书颁发最终实体证书。委托人可以使用 CA 通过颁发从属 CA 证书 AWS 私有 CA。

重要

与跨账户场景中颁发的证书相关的费用由颁发证书的 AWS 账户收取。

要共享对 CA 的访问权限， AWS 私有 CA 管理员可以选择以下任一方法：

• 使用 AWS Resource Access Manager (RAM) 将 CA 作为资源与其他账户的委托人或与之共享 AWS Organizations。RAM 是跨账户共享 AWS 资源的标准方法。有关 RAM 的更多信息，请参阅《AWS RAM 用户指南》https://docs.aws.amazon.com/ram/latest/userguide/。有关的更多信息 AWS Organizations，请参阅《AWS Organizations 用户指南》。

• 使用 AWS 私有 CA API 或 CLI 将基于资源的策略附加到 CA，从而向其他账户中的委托人授予访问权限。有关更多信息，请参阅 基于资源的策略。

本指南的 控制对私有 CA 的访问权限 部分提供了在单账户和跨账户场景中授予 CA 访问权限的工作流程。