跨帳戶存取私有 CA 的安全性最佳做法

AWS 私有 CA 管理員可以與其他 AWS 帳戶中的主參與者 (使用者、角色等) 共用 CA。收到並接受共用時，主體可以使用 CA 使用 AWS 私有 CA 或 AWS Certificate Manager 資源來發行最終實體憑證。主體可以使用 CA 來發行從屬 CA 憑證。 AWS 私有 CA

重要

與跨帳戶案例中發行的憑證相關的費用，會向發行憑證的 AWS 帳戶收取費用。

若要共用 CA 的存取權， AWS 私有 CA 管理員可以選擇下列其中一種方法：

• 使用 AWS Resource Access Manager (RAM) 與另一個帳號中的主參與者共用 CA 做為資源，或與其他帳號中的主參與者共用 AWS Organizations。RAM 是跨帳戶共用資 AWS 源的標準方法。如需有關 RAM 的詳細資訊，請參閱使AWS RAM 用者指南。若要取得有關的更多資訊 AWS Organizations，請參閱AWS Organizations 使用者指南。

• 使用 AWS 私有 CA API 或 CLI 將以資源為基礎的政策附加到 CA，從而授與另一個帳戶中主體的存取權。如需詳細資訊，請參閱 資源型政策。

本指南控制對私有 CA 的存取章節提供在單一帳戶和跨帳戶案例中授與 CA 存取權的工作流程。