附加跨帳戶存取政策

當 CA 管理員和憑證簽發者位於不同的 AWS 帳戶時，CA 管理員必須共用 CA 存取權。這是通過將以資源為基礎的策略附加到 CA 來完成。該政策將發行許可授予特定主體，該主體可以是 AWS 帳戶擁有者、IAM 使用者、 AWS Organizations ID 或組織單位 ID。

CA 管理員可以透過下列方式附加及管理原則：

• 在管理主控台中，使用 AWS Resource Access Manager (RAM)，這是跨帳戶共用 AWS 資源的標準方法。當您與其他帳號中的主參 AWS RAM 與者共用 CA 資源時，必要的以資源為基礎的策略會自動附加至 CA。如需有關 RAM 的詳細資訊，請參閱使AWS RAM 用者指南。

  注意

  您可以選擇 CA，然後選擇 [動作]、[管理資源共用]，輕鬆開啟 RAM 主控台。

• 以程式設計方式使用 PCA API PutPolicyGetPolicy、和 DeletePolicy.

• 手動方式使用 PCA 命令放入原則、取得原則和刪除原則。 AWS CLI

只有控制台方法需要 RAM 訪問。

跨帳戶案例 1：從主控台發出受管理憑證

在此情況下，CA 管理員會使用 AWS Resource Access Manager (AWS RAM) 與另一個 AWS 帳戶共用 CA 存取權，讓該帳戶發行受管理的 ACM 憑證。圖表顯示 AWS RAM 可直接與帳戶共用 CA，或間接透過帳戶所屬成員的 AWS Organizations ID 共用 CA。

RAM 透過共用資源之後 AWS Organizations，收件者主參與者必須接受資源，資源才會生效。收件者可以設定 AWS Organizations 為自動接受提供的共用。

注意

收件者帳戶負責在 ACM 中設定自動續約。一般而言，在第一次使用共用 CA 時，ACM 會安裝服務連結角色，以允許其進行無人看管憑證呼叫。 AWS 私有 CA如果失敗 (通常是因為缺少權限)，則不會自動更新來自 CA 的憑證。只有 ACM 使用者可以解決問題，而不是 CA 管理員。如需詳細資訊，請參閱搭配 ACM 使用服務連結角色 (SLR)。

跨帳戶案例 2：使用 API 或 CLI 發行受管理和非受管憑證

第二個案例展示了使用和 AWS 私有 CA API 可能的共享 AWS Certificate Manager 和發行選項。所有這些操作也可以使用相應的 AWS CLI 命令來執行。

由於此範例中會直接使用 API 作業，因此憑證簽發者可以選擇兩種 API 作業來發行憑證。PCA API 動作會IssueCertificate產生未受管理的憑證，該憑證不會自動更新，而且必須匯出並手動安裝。ACM API 動作會RequestCertificate產生受管理的憑證，該憑證可輕鬆安裝在 ACM 整合式服務上，並自動續訂。

注意

收件者帳戶負責在 ACM 中設定自動續約。一般而言，在第一次使用共用 CA 時，ACM 會安裝服務連結角色，以便在其上進行無人看管憑證呼叫。 AWS 私有 CA如果失敗 (通常是因為缺少權限)，來自 CA 的憑證將不會自動更新，只有 ACM 使用者才能解決問題，而不是 CA 管理員。如需詳細資訊，請參閱搭配 ACM 使用服務連結角色 (SLR)。