本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Cross-account 访问私有 CA 的安全最佳实践
Amazon 私有 CA 管理员可以与另一 Amazon Web Services 账户位管理员中的委托人(用户、角色等)共享 CA。收到并接受股票后,委托人可以使用 Amazon 私有 CA 或 Amazon Certificate Manager 资源使用证书颁发最终实体证书。委托人可以使用 CA 通过颁发从属 CA 证书 Amazon 私有 CA。
重要
与跨账户场景中颁发的证书相关的费用由颁发证书的 Amazon 账户收取。
要共享对 CA 的访问权限, Amazon 私有 CA 管理员可以选择以下任一方法:
-
使用 Amazon Resource Access Manager (RAM) 将 CA 作为资源与其他账户的委托人共享,或者与之共享 Amazon Organizations。RAM 是跨账户共享 Amazon 资源的标准方法。有关 RAM 的更多信息,请参阅《Amazon RAM 用户指南》https://docs.amazonaws.cn/ram/latest/userguide/。有关 Amazon Organizations的更多信息,请参阅 Amazon Organizations 用户指南。
-
使用 Amazon 私有 CA API 或 CLI 将基于资源的策略附加到 CA,从而向其他账户中的委托人授予访问权限。有关更多信息,请参阅 Resource-based 政策。
本指南的 控制对私有 CA 的访问权限 部分提供了在单账户和跨账户场景中授予 CA 访问权限的工作流程。