与 ACM 集成的服务 - Amazon 证书 Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

与 ACM 集成的服务

Amazon Certificate Manager 支持的 Amazon 服务越来越多。您无法直接在基于 Amazon 的网站或应用程序上安装 ACM 证书或私有 Amazon 私有 CA 证书。

注意

公有 ACM 证书可以安装在连接到 Nitro Enclave 的 Amazon EC2 实例上,但不能安装到其他 Amazon EC2 实例上。有关在未连接到 Nitro Enclave 的 Amazon EC2 实例上设置独立 Web 服务器的信息,请参阅教程:在 Amazon Linux 2 上安装 LAMP Web 服务器或者教程:使用 Amazon Linux AMI 安装 LAMP Web 服务器

ACM 证书受以下服务支持:

Elastic Load Balancing

Elastic Load Balancing 将传入的应用程序流量自动分配到多个 Amazon EC2 实例。它会检测运行不正常的实例,并将流量重新路由到运行正常的实例,直至运行不正常的实例恢复为止。Elastic Load Balancing 自动扩展其请求处理容量以应对传入流量。有关负载均衡的更多信息,请参阅 Elastic Load Balancing 用户指南

通常,为了通过 SSL/TLS 提供安全内容,负载均衡器会要求在负载均衡器上或后端 Amazon EC2 实例上安装 SSL/TLS 证书。ACM 与 Elastic Load Balancing 集成以在负载均衡器上部署 ACM 证书。有关更多信息,请参阅创建 Application Load Balancer

Amazon CloudFront

Amazon CloudFront 是一项 Web 服务,可从全球边缘站点网络传输内容,从而加快将动态和静态 Web 内容分配给终端用户的速度。终端用户请求您正在通过 CloudFront 提供的内容时,该用户将路由至提供最低延迟的边缘站点。这样可以确保尽可能以最佳性能传输内容。如果内容目前在边缘站点上,CloudFront 将立即传送内容。如果内容目前不在边缘站点上,CloudFront 将从您已确定为明确的内容源的 Amazon S3 存储桶或 Web 服务器中检索内容。有关 CloudFront 的更多信息,请参阅 Amazon CloudFront 开发人员指南

为了通过 SSL/TLS 提供安全内容,CloudFront 会要求在 CloudFront 分配或后端内容源上安装 SSL/TLS 证书。ACM 与 CloudFront 集成以在 CloudFront 分配上部署 ACM 证书。有关更多信息,请参阅获取 SSL/TLS 证书

注意

要在 CloudFront 中使用 ACM 证书,请确保您在美国东部(弗吉尼亚北部)区域中请求或导入该证书。

Amazon Cognito

Amazon Cognito 为您的 Web 和移动应用程序提供身份验证、授权和用户管理。您的用户可使用 Amazon Web Services 账户 凭证直接登录,也可以通过第三方(例如 Facebook、Amazon、Google 或 Apple)登录。有关 Amazon Cognito 的更多信息,请参阅《Amazon Cognito 开发人员指南》

当您将 Cognito 用户池配置为使用 Amazon CloudFront 代理时,CloudFront 可能会使用 ACM 证书来保护自定义域的安全。在这种情况下,请注意,必须先删除证书与 CloudFront 的关联,然后才能将其删除。

Amazon Elastic Beanstalk

Elastic Beanstalk 可帮助您在Amazon云中部署和管理应用程序,而无需担心运行这些应用程序的基础设施。Amazon Elastic Beanstalk 可降低管理复杂性。您只需上载应用程序,Elastic Beanstalk 将自动处理有关容量预置、负载均衡、扩展和运行状况监控的部署详细信息。Elastic Beanstalk 使用 Elastic Load Balancing 服务创建负载均衡器。有关 Elastic Beanstalk 的更多信息,请参阅 Amazon Elastic Beanstalk 开发人员指南

若要选择证书,您必须在 Elastic Beanstalk 控制台中为您的应用程序配置负载均衡器。有关更多信息,请参阅配置 Elastic Beanstalk 环境的负载均衡器以终止 HTTPS

Amazon App Runner

App Runner 是一项Amazon服务,它提供了一种快速、简单且经济高效的方式,从源代码或容器镜像直接部署到Amazon云中可扩展且安全的 Web 应用程序。您不需要学习新技术、决定要使用的计算服务,也不需要了解如何预置和配置Amazon资源。有关 App Runner 的更多信息,请参阅 Amazon App Runner 开发人员指南

当您将自定义域名与 App Runner 服务关联时,App Runner 会在内部创建用于跟踪域有效性的证书。它们都存储在 ACM 中。在域与您的服务取消关联或服务被删除后七天内,App Runner 不会删除这些证书。整个过程自动执行,您无需自行添加或管理任何证书。有关更多信息,请参阅 Amazon App Runner 开发人员指南中的管理 App Runner 服务的自定义域名

Amazon API Gateway

随着移动设备的普及和物联网 (IoT) 的发展,创建可用于访问数据并与 Amazon 上的后端系统交互的 API 变得日益普遍。您可以使用 API Gateway 发布、维护、监控和保护您的 API。将 API 部署到 API Gateway 后,您可以设置自定义域名以简化对它的访问。要设置自定义域名,您必须提供 SSL/TLS 证书。您可以使用 ACM 生成或导入证书。有关 Amazon API Gateway 的更多信息,请参阅《Amazon API Gateway 开发人员指南》

Amazon Nitro Enclaves

Amazon Nitro Enclaves 是一项 Amazon EC2 功能,它允许您从 Amazon EC2 实例创建隔离的执行环境,称为 Enclave。Enclave 是独立的、强化的和高度受限的虚拟机。它们仅提供与父实例的安全本地套接字连接。它们没有持久性存储、交互式访问或外部联网。用户无法通过 SSH 进入 Enclave,并且父实例的进程、应用程序或用户(包括根用户或管理员)无法访问该 Enclave 内部的数据和应用程序。

连接到 Nitro Enclaves 的 EC2 实例支持 ACM 证书。有关更多信息,请参阅用于 Nitro Enclaves 的 Amazon Certificate Manager

注意

您不能将 ACM 证书与未连接到 Nitro Enclave 的 EC2 实例相关联。

Amazon CloudFormation

Amazon CloudFormation 可帮助您对 Amazon Web Services 资源进行建模和设置。您创建一个模板来描述希望使用的Amazon资源,如 Elastic Load Balancing 或 API Gateway。然后,Amazon CloudFormation 将负责为您预置和配置这些资源。您无需单独创建和配置 Amazon 资源并了解 what; Amazon CloudFormation 句柄处理所有这些工作时所依赖的内容。ACM 证书作为模板资源包含在内,这意味着 Amazon CloudFormation 可以请求 ACM 证书,您可以在Amazon服务中使用这些证书来启用安全连接。此外,ACM 证书与许多您可以利用 Amazon CloudFormation 设置的Amazon资源一起包含在内。

有关 CloudFormation 的一般信息,请参阅《Amazon CloudFormation 用户指南》。要了解 CloudFormation 支持的 ACM 资源,请参阅 AWS::CertificateManager::Certificate

由于 Amazon CloudFormation 提供强大的自动化功能,导致很容易超出证书配额,特别是在使用新Amazon账户的情况下。我们建议您遵循适用于 Amazon CloudFormation 的 ACM 最佳实践

注意

如果您使用 Amazon CloudFormation 创建 ACM 证书,Amazon CloudFormation 堆栈会保留在 CREATE_IN_PROGRESS 状态。任何进一步的堆栈操作将被延迟,直到您按照证书验证电子邮件中的说明操作为止。有关更多信息,请参阅资源在创建、更新或删除堆栈操作期间无法稳定工作

Amazon Amplify

Amplify 是一组专门构建的工具和功能,使前端 Web 和移动开发人员能够快速轻松地在 Amazon 上构建全栈应用程序。Amplify 提供两项服务:Amplify Hosting 和 Amplify Studio。Amplify Hosting 提供了基于 git 的工作流,用于托管持续部署的全栈无服务器 Web 应用程序。Amplify Studio 是一个直观的开发环境,可简化可扩展的全栈 Web 和移动应用程序的创建。使用 Studio 借助一组随时可用的 UI 组件构建前端 UI,创建应用程序后端,然后将两者连接在一起。有关 Amplify 的更多信息,请参阅《Amazon Amplify 用户指南》。

如果您将自定义域连接到应用程序,Amplify 控制台将颁发一个 ACM 证书来保护该域。

Amazon OpenSearch Service

Amazon OpenSearch Service 是一种搜索和分析引擎,使用案例包括日志分析、实时应用程序监控、点击流分析等。有关更多信息,请参阅《Amazon OpenSearch Service 开发人员指南》

创建包含自定义域和终端节点的 OpenSearch Service 集群时,您可使用 ACM 和一个证书来预置关联的 Application Load Balancer。

Amazon Network Firewall

Amazon Network Firewall 是一项托管服务,可助您更轻松地为所有 Amazon Virtual Private Cloud(Amazon VPC)部署必要的网络保护。有关更多信息,请参阅 Amazon Network Firewall 开发人员指南

Network Firewall 防火墙与 ACM 集成,用于进行 TLS 检查。如果您在 Network Firewall 中使用 TLS 检查,则必须配置 ACM 证书才能解密和重新加密通过您防火墙的 SSL/TLS 流量。有关 Network Firewall 如何使用 ACM 进行 TLS 检查,请参阅《Amazon Network Firewall 开发人员指南》中的使用 SSL/TLS 证书的 TLS 检查配置要求