本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 跨账户访问私密账户的安全最佳实践 CAs
<a name="pca-resource-sharing"></a>

 Amazon 私有 CA 管理员可以与另一 Amazon Web Services 账户位管理员中的委托人（用户、角色等）共享 CA。收到并接受股票后，委托人可以使用 Amazon 私有 CA 或 Amazon Certificate Manager 资源使用证书颁发最终实体证书。委托人可以使用 CA 通过颁发从属 CA 证书 Amazon 私有 CA。

**重要**  
与跨账户场景中颁发的证书相关的费用由颁发证书的 Amazon 账户收取。

要共享对 CA 的访问权限， Amazon 私有 CA 管理员可以选择以下任一方法：
+ 使用 Amazon Resource Access Manager (RAM) 将 CA 作为资源与其他账户的委托人共享，或者与之共享 Amazon Organizations。RAM 是跨账户共享 Amazon 资源的标准方法。有关 RAM 的更多信息，请参阅《Amazon RAM 用户指南》[https://docs.amazonaws.cn/ram/latest/userguide/](https://docs.amazonaws.cn/ram/latest/userguide/)。有关 Amazon Organizations的更多信息，请参阅 [Amazon Organizations 用户指南](https://docs.amazonaws.cn/organizations/latest/userguide/)。
+ 使用 Amazon 私有 CA API 或 CLI 将基于资源的策略附加到 CA，从而向其他账户中的委托人授予访问权限。有关更多信息，请参阅 [基于资源的策略](pca-rbp.md)。

本指南的[控制对私有 CA 的访问权限](granting-ca-access.md)部分提供了在单账户和跨账户 CAs 场景中授予访问权限的工作流程。