本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
与 ACM 集成的服务
Amazon Certificate Manager 支持的 Amazon 服务越来越多。您无法直接在基于 Amazon 的网站或应用程序上安装 ACM 证书或私有 Amazon 私有 CA 证书。
注意
公有 ACM 证书可以安装在连接到 Nitro Enclave 的 Amazon EC2 实例上,但不能安装到其他 Amazon EC2 实例上。有关在未连接到 Nitro Enclave 的 Amazon EC2 实例上设置独立 Web 服务器的信息,请参阅教程:在 Amazon Linux 2 上安装 LAMP Web 服务器或者教程:使用 Amazon Linux AMI 安装 LAMP Web 服务器。
ACM 证书受以下服务支持:
- Elastic Load Balancing
-
Elastic Load Balancing 将传入的应用程序流量自动分配到多个 Amazon EC2 实例。它会检测运行不正常的实例,并将流量重新路由到运行正常的实例,直至运行不正常的实例恢复为止。Elastic Load Balancing 自动扩展其请求处理容量以应对传入流量。有关负载均衡的更多信息,请参阅 Elastic Load Balancing 用户指南。
通常,为了通过 SSL/TLS 提供安全内容,负载均衡器会要求在负载均衡器上或后端 Amazon EC2 实例上安装 SSL/TLS 证书。ACM 与 Elastic Load Balancing 集成以在负载均衡器上部署 ACM 证书。有关更多信息,请参阅创建 Application Load Balancer
- Amazon CloudFront
-
Amazon CloudFront 是一项 Web 服务,可从全球边缘站点网络传输内容,从而加快将动态和静态 Web 内容分配给终端用户的速度。终端用户请求您正在通过 CloudFront 提供的内容时,该用户将路由至提供最低延迟的边缘站点。这样可以确保尽可能以最佳性能传输内容。如果内容目前在边缘站点上,CloudFront 将立即传送内容。如果内容目前不在边缘站点上,CloudFront 将从您已确定为明确的内容源的 Amazon S3 存储桶或 Web 服务器中检索内容。有关 CloudFront 的更多信息,请参阅 Amazon CloudFront 开发人员指南。
为了通过 SSL/TLS 提供安全内容,CloudFront 会要求在 CloudFront 分配或后端内容源上安装 SSL/TLS 证书。ACM 与 CloudFront 集成以在 CloudFront 分配上部署 ACM 证书。有关更多信息,请参阅获取 SSL/TLS 证书。
注意
要在 CloudFront 中使用 ACM 证书,请确保您在美国东部(弗吉尼亚北部)区域中请求或导入该证书。
- Amazon Cognito
-
Amazon Cognito 为您的 Web 和移动应用程序提供身份验证、授权和用户管理。您的用户可使用 Amazon Web Services 账户 凭证直接登录,也可以通过第三方(例如 Facebook、Amazon、Google 或 Apple)登录。有关 Amazon Cognito 的更多信息,请参阅《Amazon Cognito 开发人员指南》。
当您将 Cognito 用户池配置为使用 Amazon CloudFront 代理时,CloudFront 可能会使用 ACM 证书来保护自定义域的安全。在这种情况下,请注意,必须先删除证书与 CloudFront 的关联,然后才能将其删除。
- Amazon Elastic Beanstalk
-
Elastic Beanstalk 可帮助您在Amazon云中部署和管理应用程序,而无需担心运行这些应用程序的基础设施。Amazon Elastic Beanstalk 可降低管理复杂性。您只需上载应用程序,Elastic Beanstalk 将自动处理有关容量预置、负载均衡、扩展和运行状况监控的部署详细信息。Elastic Beanstalk 使用 Elastic Load Balancing 服务创建负载均衡器。有关 Elastic Beanstalk 的更多信息,请参阅 Amazon Elastic Beanstalk 开发人员指南。
若要选择证书,您必须在 Elastic Beanstalk 控制台中为您的应用程序配置负载均衡器。有关更多信息,请参阅配置 Elastic Beanstalk 环境的负载均衡器以终止 HTTPS。
- Amazon App Runner
-
App Runner 是一项Amazon服务,它提供了一种快速、简单且经济高效的方式,从源代码或容器镜像直接部署到Amazon云中可扩展且安全的 Web 应用程序。您不需要学习新技术、决定要使用的计算服务,也不需要了解如何预置和配置Amazon资源。有关 App Runner 的更多信息,请参阅 Amazon App Runner 开发人员指南。
当您将自定义域名与 App Runner 服务关联时,App Runner 会在内部创建用于跟踪域有效性的证书。它们都存储在 ACM 中。在域与您的服务取消关联或服务被删除后七天内,App Runner 不会删除这些证书。整个过程自动执行,您无需自行添加或管理任何证书。有关更多信息,请参阅 Amazon App Runner 开发人员指南中的管理 App Runner 服务的自定义域名。
- Amazon API Gateway
-
随着移动设备的普及和物联网 (IoT) 的发展,创建可用于访问数据并与 Amazon 上的后端系统交互的 API 变得日益普遍。您可以使用 API Gateway 发布、维护、监控和保护您的 API。将 API 部署到 API Gateway 后,您可以设置自定义域名以简化对它的访问。要设置自定义域名,您必须提供 SSL/TLS 证书。您可以使用 ACM 生成或导入证书。有关 Amazon API Gateway 的更多信息,请参阅《Amazon API Gateway 开发人员指南》。
- Amazon Nitro Enclaves
-
Amazon Nitro Enclaves 是一项 Amazon EC2 功能,它允许您从 Amazon EC2 实例创建隔离的执行环境,称为 Enclave。Enclave 是独立的、强化的和高度受限的虚拟机。它们仅提供与父实例的安全本地套接字连接。它们没有持久性存储、交互式访问或外部联网。用户无法通过 SSH 进入 Enclave,并且父实例的进程、应用程序或用户(包括根用户或管理员)无法访问该 Enclave 内部的数据和应用程序。
连接到 Nitro Enclaves 的 EC2 实例支持 ACM 证书。有关更多信息,请参阅用于 Nitro Enclaves 的 Amazon Certificate Manager。
注意
您不能将 ACM 证书与未连接到 Nitro Enclave 的 EC2 实例相关联。
- Amazon CloudFormation
-
Amazon CloudFormation 可帮助您对 Amazon Web Services 资源进行建模和设置。您创建一个模板来描述希望使用的Amazon资源,如 Elastic Load Balancing 或 API Gateway。然后,Amazon CloudFormation 将负责为您预置和配置这些资源。您无需单独创建和配置 Amazon 资源并了解 what; Amazon CloudFormation 句柄处理所有这些工作时所依赖的内容。ACM 证书作为模板资源包含在内,这意味着 Amazon CloudFormation 可以请求 ACM 证书,您可以在Amazon服务中使用这些证书来启用安全连接。此外,ACM 证书与许多您可以利用 Amazon CloudFormation 设置的Amazon资源一起包含在内。
有关 CloudFormation 的一般信息,请参阅《Amazon CloudFormation 用户指南》。要了解 CloudFormation 支持的 ACM 资源,请参阅 AWS::CertificateManager::Certificate。
由于 Amazon CloudFormation 提供强大的自动化功能,导致很容易超出证书配额,特别是在使用新Amazon账户的情况下。我们建议您遵循适用于 Amazon CloudFormation 的 ACM 最佳实践。
注意
如果您使用 Amazon CloudFormation 创建 ACM 证书,Amazon CloudFormation 堆栈会保留在 CREATE_IN_PROGRESS 状态。任何进一步的堆栈操作将被延迟,直到您按照证书验证电子邮件中的说明操作为止。有关更多信息,请参阅资源在创建、更新或删除堆栈操作期间无法稳定工作。
- Amazon Amplify
-
Amplify 是一组专门构建的工具和功能,使前端 Web 和移动开发人员能够快速轻松地在 Amazon 上构建全栈应用程序。Amplify 提供两项服务:Amplify Hosting 和 Amplify Studio。Amplify Hosting 提供了基于 git 的工作流,用于托管持续部署的全栈无服务器 Web 应用程序。Amplify Studio 是一个直观的开发环境,可简化可扩展的全栈 Web 和移动应用程序的创建。使用 Studio 借助一组随时可用的 UI 组件构建前端 UI,创建应用程序后端,然后将两者连接在一起。有关 Amplify 的更多信息,请参阅《Amazon Amplify 用户指南》。
如果您将自定义域连接到应用程序,Amplify 控制台将颁发一个 ACM 证书来保护该域。
- Amazon OpenSearch Service
-
Amazon OpenSearch Service 是一种搜索和分析引擎,使用案例包括日志分析、实时应用程序监控、点击流分析等。有关更多信息,请参阅《Amazon OpenSearch Service 开发人员指南》。
创建包含自定义域和终端节点的 OpenSearch Service 集群时,您可使用 ACM 和一个证书来预置关联的 Application Load Balancer。
- Amazon Network Firewall
-
Amazon Network Firewall 是一项托管服务,可助您更轻松地为所有 Amazon Virtual Private Cloud(Amazon VPC)部署必要的网络保护。有关更多信息,请参阅 Amazon Network Firewall 开发人员指南。
Network Firewall 防火墙与 ACM 集成,用于进行 TLS 检查。如果您在 Network Firewall 中使用 TLS 检查,则必须配置 ACM 证书才能解密和重新加密通过您防火墙的 SSL/TLS 流量。有关 Network Firewall 如何使用 ACM 进行 TLS 检查,请参阅《Amazon Network Firewall 开发人员指南》中的使用 SSL/TLS 证书的 TLS 检查配置要求。