使用 Amazon Private CA 签署 ACM 私有证书的条件 - Amazon 证书管理器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon Private CA 签署 ACM 私有证书的条件

在以下两种情况下,您可以使用 Amazon 私有 CA 对 ACM 证书进行签名:

  • 单一账户:签名 CA 和颁发的 Amazon Certificate Manager(ACM)证书位于同一 Amazon 账户中。

    要启用单账户颁发和续订,Amazon 私有 CA 管理员必须向 ACM 服务主体授予创建、检索和列出证书的权限。这是使用 Amazon 私有 CA API 操作 CreatePermission 或 Amazon CLI 命令 create-permission 实现的。账户拥有者将这些权限分配给负责颁发证书的 IAM 用户、组或角色。

  • 跨账户:签名 CA 和颁发的 ACM 证书位于不同 Amazon 账户中,并且已向证书所在的账户授予对 CA 的访问权限。

    要启用跨账户颁发和续订,Amazon 私有 CA 管理员必须使用 Amazon 私有 CA API 操作 PutPolicy 或 Amazon CLI 命令 put-policy,将基于资源的策略附加到该 CA。该策略指定其他账户中允许对 CA 进行有限访问的主体。有关更多信息,请参阅将基于资源的策略用于 ACM Private CA

    跨账户方案还要求 ACM 设置服务关联角色 (SLR),以便作为主体与 PCA 策略进行交互。ACM 在颁发第一个证书时自动创建 SLR。

    ACM 可能会提示您,它无法确定您的账户中是否存在 SLR。如果所需的 iam:GetRole 权限已被授予您账户的 ACM SLR,则在创建 SLR 后不会再发出提示。如果提示再次发生,那么您或您的账户管理员可能需要授予 iam:GetRole 访问 ACM 的权限,或者将您的账户与 ACM 托管策略 AWSCertificateManagerFullAccess 关联。

    有关更多信息,请参阅将服务相关角色用于 ACM

重要

您的 ACM 证书必须主动与受支持的 Amazon 服务关联,然后才能自动续订。有关 ACM 支持的资源的信息,请参阅 与 ACM 集成的服务