View a markdown version of this page

使用条件AWS 私有 CA签署 ACM 私有证书 - AWSCertificate Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用条件AWS 私有 CA签署 ACM 私有证书

在以下两种情况下AWS 私有 CA,您可以使用对 ACM 证书进行签名:

  • 单一账户:签名 CA 和颁发的 AWS Certificate Manager(ACM)证书位于同一 AWS 账户中。

    要启用单账户颁发和续订,AWS 私有 CA 管理员必须向 ACM 服务主体授予创建、检索和列出证书的权限。这是使用 AWS 私有 CA API 操作CreatePermission或AWS CLI命令创建权限完成的。账户拥有者将这些权限分配给负责颁发证书的 IAM 用户、组或角色。

  • Cross-account:签名的 CA 和颁发的 ACM 证书位于不同的AWS账户中,并且证书所在的账户已被授予对 CA 的访问权限。

    要启用跨账户签发和续订,AWS 私有 CA管理员必须使用 AWS 私有 CA API 操作PutPolicy或命令 put-policy 将基于资源的策略附加到 CA。AWS CLI该策略指定其他账户中允许对 CA 进行有限访问的主体。有关更多信息,请参阅将基于资源的策略用于 ACM Private CA

    跨账户方案还要求 ACM 设置服务关联角色 (SLR),以便作为主体与 PCA 策略进行交互。ACM 在颁发第一个证书时自动创建 SLR。

    ACM 可能会提示您,它无法确定您的账户中是否存在 SLR。如果所需的 iam:GetRole 权限已被授予您账户的 ACM SLR,则在创建 SLR 后不会再发出提示。如果再次出现这种情况,则您或您的账户管理员可能需要向 ACM 授予iam:GetRole权限,或者将您的账户与策略关联。 ACM-managed AWSCertificateManagerFullAccess

    有关更多信息,请参阅将服务相关角色用于 ACM

重要

您的 ACM 证书必须与支持的AWS服务主动关联,然后才能自动续订。有关 ACM 支持的资源的信息,请参阅 通过集成服务实现托管自动化