本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
控制对私有 CA 的访问权限
任何对私有 CA 具有必要权限的用户都 Amazon 私有 CA 可以使用该 CA 签署其他证书。CA 所有者可以颁发证书或将颁发证书所需的权限委托给居住在相同的 Amazon Identity and Access Management (IAM) 用户 Amazon Web Services 账户。如果 CA 所有者通过基于资源的策略授权,居住在不同 Amazon 账户中的用户也可以颁发证书。
授权用户,无论是单账户还是跨账户,都可以在颁发证书时使用 Amazon 私有 CA 或 Amazon Certificate Manager 资源。 Amazon 私有 CA IssueCertificate通过 API 或 issue-certification CL I 命令颁发的证书处于非托管状态。此类证书需要在目标设备上手动安装,并在到期时手动续订。管理从 ACM 控制台、ACM RequestCertificateAPI 或请求证书 CL I 命令颁发的证书。此类证书可以轻松地安装在与 ACM 集成的服务中。如果 CA 管理员允许,并且颁发者的账户拥有 ACM 的服务相关角色,则托管证书将在到期时自动续订。