本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
跨账户访问私密账户的安全最佳实践 CAs
Amazon 私有 CA 管理员可以与其他 Amazon 账户中的委托人(用户、角色等)共享 CA。收到并接受股票后,委托人可以使用 Amazon 私有 CA 或 Amazon Certificate Manager 资源使用证书颁发最终实体证书。委托人可以使用 CA 通过颁发从属 CA 证书 Amazon 私有 CA。
重要
与跨账户场景中颁发的证书相关的费用由颁发证书的 Amazon 账户收取。
要共享对 CA 的访问权限, Amazon 私有 CA 管理员可以选择以下任一方法:
-
使用 Amazon Resource Access Manager (RAM) 将 CA 作为资源与其他账户的委托人共享,或者与之共享 Amazon Organizations。RAM是跨账户共享 Amazon 资源的标准方法。有关的更多信息RAM,请参阅《Amazon RAM 用户指南》。有关的更多信息 Amazon Organizations,请参阅《Amazon Organizations 用户指南》。
-
使用 Amazon 私有 CA API或将基于资源的策略附加CLI到 CA,从而向其他账户中的委托人授予访问权限。有关更多信息,请参阅 基于资源的策略。
本指南的控制对私有 CA 的访问权限部分提供了在单账户和跨账户CAs场景中授予访问权限的工作流程。