

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 通过集成服务实现托管自动化
<a name="acm-services"></a>

AWS Certificate Manager支持越来越多的可以直接使用 ACM 证书的AWS服务。

**注意**  
公有 ACM 证书可以安装在连接到 [Nitro Enclave](#acm-nitro-enclave) 的 Amazon EC2 实例上。您也可以[导出公有证书](export-public-certificate.md)，以便在任何 Amazon EC2 实例上使用。有关在未连接到 Nitro Enclave 的 Amazon EC2 实例上设置独立 Web 服务器的信息，请参阅[教程：在 Amazon Linux 2 上安装 LAMP Web 服务器](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html)或者[教程：使用 Amazon Linux AMI 安装 LAMP Web 服务器](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html)。

ACM 证书受以下服务支持：

**Elastic Load Balancing**  
 Elastic Load Balancing 将传入的应用程序流量自动分配到多个 Amazon EC2 实例。它会检测运行不正常的实例，并将流量重新路由到运行正常的实例，直至运行不正常的实例恢复为止。Elastic Load Balancing 自动扩展其请求处理容量以应对传入流量。有关负载均衡的更多信息，请参阅 [Elastic Load Balancing 用户指南](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/)。  
通常，为了提供安全内容 SSL/TLS，负载均衡器要求在负载均衡器或后端 Amazon EC2 实例上安装 SSL/TLS 证书。ACM 与 Elastic Load Balancing 集成以在负载均衡器上部署 ACM 证书。有关更多信息，请参阅[创建 Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html)

**Amazon CloudFront**  
Amazon CloudFront 是一项网络服务，它通过从全球边缘站点网络交付您的内容，加快向最终用户分发动态和静态网页内容的速度。当最终用户请求您提供的内容时 CloudFront，该用户将被路由到延迟最低的边缘站点。这样可以确保尽可能以最佳性能传输内容。如果内容当前位于该边缘位置，则立即 CloudFront 交付。如果内容当前不在该边缘位置，则会将其从您已确定为最终内容来源的 Amazon S3 存储桶或 Web 服务器中 CloudFront 检索。有关更多信息 CloudFront，请参阅《[Amazon CloudFront 开发者指南》](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/)。  
要提供安全内容 SSL/TLS， CloudFront 需要在 CloudFront 发行版或支持的内容源上安装 SSL/TLS 证书。ACM 已与集成， CloudFront 以便在发行版上部署 ACM 证书。 CloudFront 有关更多信息，请参阅[获取 SSL/TLS 证书](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-getting-certificates)。  
要将 ACM 证书与一起使用 CloudFront，您必须在美国东部（弗吉尼亚北部）地区申请或导入证书。

**Amazon Elastic Kubernetes Service**  
Amazon Elastic Kubernetes Service 是一项托管 Kubernetes 服务，无需安装、操作和维护自己的 Kubernetes 控制平面即可轻松运行 Kubernetes AWS。有关亚马逊 EKS 的更多信息，请参阅亚马逊 E [lastic Kubernetes Service 用户]()指南。  
你可以使用 ACM 和适用于 Kubernetes 的AWS控制器 (ACK)，向你的 Kubernetes 工作负载颁发和导出 TLS 证书。这种集成使您能够保护 Amazon EKS 容器并在您的 Kubernetes 入口或负载均衡器上终止 TLS。AWSACM 会自动续订证书，ACK 控制器会使用续订的证书更新您的 Kubernetes 密钥。有关更多信息，请参阅 [使用 ACM 证书保护 Kubernetes 工作负载](exportable-certificates-kubernetes.md)。

**Amazon Cognito**  
Amazon Cognito 为您的 Web 和移动应用程序提供身份验证、授权和用户管理。用户可以使用您的AWS 账户凭据直接登录，也可以通过第三方登录，例如Facebook、亚马逊、谷歌或苹果。有关 Amazon Cognito 的更多信息，请参阅[《Amazon Cognito 开发人员指南》](https://docs.aws.amazon.com/cognito/latest/developerguide/)。  
当您将 Cognito 用户池配置为使用 Amazon CloudFront 代理时， CloudFront 可以设置 ACM 证书来保护自定义域。在这种情况下，请注意，必须先删除证书与的关联， CloudFront 然后才能将其删除。

**AWS Elastic Beanstalk**  
Elastic Beanstalk 可帮助您在云端部署和管理应用程序AWS，而不必担心运行这些应用程序的基础架构。 AWS Elastic Beanstalk降低了管理复杂性。您只需上载应用程序，Elastic Beanstalk 将自动处理有关容量预置、负载均衡、扩展和运行状况监控的部署详细信息。Elastic Beanstalk 使用 Elastic Load Balancing 服务创建负载均衡器。有关 Elastic Beanstalk 的更多信息，请参阅 [AWS Elastic Beanstalk 开发人员指南](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/)。  
若要选择证书，您必须在 Elastic Beanstalk 控制台中为您的应用程序配置负载均衡器。有关更多信息，请参阅[配置 Elastic Beanstalk 环境的负载均衡器以终止 HTTPS](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https-elb.html)。

**AWS App Runner**  
App Runner 是一项AWS服务，它提供了一种快速、简单且经济实惠的方式，可将源代码或容器映像直接部署到AWS云中可扩展且安全的 Web 应用程序。您无需学习新技术、决定使用哪种计算服务，也不需要知道如何预置和配置AWS资源。有关 App Runner 的更多信息，请参阅 [AWS App Runner 开发人员指南](https://docs.aws.amazon.com/apprunner/latest/dg/)。  
当您将自定义域名与 App Runner 服务关联时，App Runner 会在内部创建用于跟踪域有效性的证书。它们都存储在 ACM 中。在域与您的服务取消关联或服务被删除后七天内，App Runner 不会删除这些证书。整个过程自动执行，您无需自行添加或管理任何证书。有关更多信息，请参阅 *AWS App Runner 开发人员指南*中的[管理 App Runner 服务的自定义域名](https://docs.aws.amazon.com/apprunner/latest/dg/manage-custom-domains.html)。

**Amazon API Gateway**  
随着移动设备的普及和物联网 (IoT) 的发展，创建可用于访问数据并与 AWS 上的后端系统交互的 API 变得日益普遍。您可以使用 API Gateway 发布、维护、监控和保护您的 API。将 API 部署到 API Gateway 后，您可以[设置自定义域名](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html)以简化对它的访问。要设置自定义域名，必须提供 SSL/TLS证书。您可以使用 ACM 生成或导入证书。有关 Amazon API Gateway 的更多信息，请参阅[《Amazon API Gateway 开发人员指南》](https://docs.aws.amazon.com/apigateway/latest/developerguide/)。

**AWS硝基飞地**  
AWSNitro Enclaves 是 Amazon EC2 的一项功能，允许您*从* Amazon EC2 实例创建隔离的执行环境，称为安全区。Enclave 是独立的、强化的和高度受限的虚拟机。它们仅提供与父实例的安全本地套接字连接。它们没有持久性存储、交互式访问或外部联网。用户无法通过 SSH 进入 Enclave，并且父实例的进程、应用程序或用户（包括根用户或管理员）无法访问该 Enclave 内部的数据和应用程序。  
连接到 Nitro Enclaves 的 EC2 实例支持 ACM 证书。有关更多信息，请参阅[用于 Nitro Enclaves 的 AWS Certificate Manager](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-refapp.html)。  
您不能将 ACM 证书与未连接到 Nitro Enclave 的 EC2 实例相关联。

**AWS CloudFormation**  
CloudFormation帮助您建模和设置亚马逊 Web Services 资源。您可以创建一个描述要使用的AWS资源的模板，例如 Elastic Load Balancing 或 API Gateway。然后，CloudFormation 将负责为您预置和配置这些资源。您无需单独创建和配置AWS资源，也不需要弄清楚哪些资源依赖于什么；CloudFormation可以处理所有这些。ACM 证书作为模板资源提供，这意味着它CloudFormation可以请求 ACM 证书，您可以将这些证书与AWS服务一起使用以启用安全连接。此外，您可以设置的许多AWS资源中都包含了 ACM 证书。CloudFormation  
有关的一般信息 CloudFormation，请参阅《[CloudFormation用户指南》](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/)。有关支持的 ACM 资源的信息 CloudFormation，请参阅[AWS::CertificateManager:: 证书](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-certificatemanager-certificate.html)。  
借助提供的强大自动化功能CloudFormation，很容易超过您的[证书配额](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html)，对于新AWS账户尤其如此。我们建议您遵循以下方面的 ACM [最佳实践](https://docs.aws.amazon.com/acm/latest/userguide/acm-bestpractices.html#best-practices-cloudformation)。CloudFormation  
 如果您使用创建 ACM 证书，则CloudFormation堆栈将保持 CloudFormation C **REATE\_IN\_** PROGRESS 状态。任何进一步的堆栈操作将被延迟，直到您按照证书验证电子邮件中的说明操作为止。有关更多信息，请参阅[资源在创建、更新或删除堆栈操作期间无法稳定工作](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-resource-did-not-stabilize)。

**AWS Amplify**  
Amplify 是一组专门构建的工具和功能，使前端 Web 和移动开发人员能够快速轻松地在其上构建全栈应用程序。AWSAmplify 提供两项服务：Amplify Hosting 和 Amplify Studio。Amplify Hosting 提供了基于 git 的工作流，用于托管持续部署的全栈无服务器 Web 应用程序。Amplify Studio 是一个直观的开发环境，可简化可扩展的全栈 Web 和移动应用程序的创建。使用 Studio 借助一组随时可用的 UI 组件构建前端 UI，创建应用程序后端，然后将两者连接在一起。有关 Amplify 的更多信息，请参阅《[AWS Amplify](https://docs.aws.amazon.com/amplify/latest/userguide/welcome.html) 用户指南》。  
如果您将自定义域连接到应用程序，Amplify 控制台将颁发一个 ACM 证书来保护该域。

**亚马逊 OpenSearch 服务**  
Amazon S OpenSearch ervice 是一个搜索和分析引擎，用于日志分析、实时应用程序监控和点击流分析等用例。有关更多信息，请参阅《[亚马逊 OpenSearch 服务开发者指南》](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/)。  
创建包含[自定义域和终端节点](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/customendpoint.html)的 OpenSearch 服务集群时，可以使用 ACM 为关联的 Application Load Balancer 配置证书。

**AWS Network Firewall**  
AWS Network Firewall是一项托管服务，可让您轻松为您的所有 Amazon 虚拟私有云 (VPC) 部署基本网络保护。有关更多信息，请参阅 [AWS Network Firewall 开发人员指南](https://docs.aws.amazon.com/network-firewall/latest/developerguide/)。  
Network Firewall 防火墙与 ACM 集成，用于进行 TLS 检查。如果您在 Network Firewall 中使用 TLS 检查，则必须配置 ACM 证书，以便对通过防火墙的 SSL/TLS 流量进行解密和重新加密。有关 Network Firewall 如何与 ACM 配合使用进行 TLS 检查的信息，请参阅*《AWS Network Firewall开发人员指南》*中的 “[使用 SSL/TLS 具有 TLS 检查配置的证书的要求](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tls-inspection-certificate-requirements.html)”。