本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Certificate Manager中的基础设施安全性
作为一项托管服务 Amazon Certificate Manager ,受 Amazon 全球网络安全的保护。有关 Amazon 安全服务以及如何 Amazon 保护基础设施的信息,请参阅Amazon 云安全
您可以使用 Amazon 已发布的 API 调用通过网络访问 ACM。客户端必须支持以下内容:
-
传输层安全性协议 (TLS) 我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
具有完全向前保密 (PFS) 的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 委托人关联的秘密访问密钥来对请求进行签名。或者,您可以使用 Amazon Security Token Service(Amazon STS)生成临时安全凭证来对请求进行签名。
授予对 ACM 的编程访问权限
如果用户想在 Amazon 外部进行交互,则需要编程访问权限 Amazon Web Services Management Console。 Amazon API 和 Amazon Command Line Interface 所需的访问密钥。可能的话,创建临时凭证,该凭证由一个访问密钥 ID、一个秘密访问密钥和一个指示凭证何时到期的安全令牌组成。
要向用户授予编程式访问权限,请选择以下选项之一。
| 哪个用户需要编程式访问权限? | 目的 | 方式 |
|---|---|---|
| IAM | 使用短期凭证签署对 Amazon CLI 或 Amazon API 的编程请求(直接或使用 Amazon 软件开发工具包)。 | 按照 IAM 用户指南中的将临时证书与 Amazon 资源配合使用中的说明进行操作。 |
| IAM | (不推荐使用) 使用长期凭证签署对 Amazon CLI 或 Amazon API 的编程请求(直接或使用 Amazon 软件开发工具包)。 |
按照《IAM 用户指南》中管理 IAM 用户的访问密钥中的说明进行操作。 |