跨账户存取私有 CA 的安全最佳实践 - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨账户存取私有 CA 的安全最佳实践

Amazon 私有 CA 管理员可以与其他 Amazon 账户中的委托人(用户、角色等)共享 CA。收到并接受股票后,委托人可以使用 Amazon 私有 CA 或 Amazon Certificate Manager 资源使用证书颁发最终实体证书。委托人可以使用 CA 通过颁发从属 CA 证书 Amazon 私有 CA。

重要

与跨账户场景中颁发的证书相关的费用由颁发证书的 Amazon 账户收取。

要共享对 CA 的访问权限, Amazon 私有 CA 管理员可以选择以下任一方法:

  • 使用 Amazon Resource Access Manager (RAM) 将 CA 作为资源与其他账户的委托人或与之共享 Amazon Organizations。RAM 是跨账户共享 Amazon 资源的标准方法。有关 RAM 的更多信息,请参阅《Amazon RAM 用户指南》https://docs.amazonaws.cn/ram/latest/userguide/。有关的更多信息 Amazon Organizations,请参阅《Amazon Organizations 用户指南》

  • 使用 Amazon 私有 CA API 或 CLI 将基于资源的策略附加到 CA,从而向其他账户中的委托人授予访问权限。有关更多信息,请参阅 基于资源的策略

本指南的 控制对私有 CA 的访问权限 部分提供了在单账户和跨账户场景中授予 CA 访问权限的工作流程。