本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
身份和访问管理 (IAM) Access Management 适用于 Amazon Private Certificate Authority
访问 Amazon 私有 CA 需要 Amazon 可用于对您的请求进行身份验证的证书。以下主题提供详细信息来说明如何使用 Amazon Identity and Access Management (IAM) 控制谁能访问您的 Private Certificate Authority (CA),从而帮助保护它们。
在中 Amazon 私有 CA,您使用的主要资源是证书颁发机构 (CA)。您拥有或控制的每个私有 CA 均由 Amazon 资源名称 (ARN) 来标识,形式如下。
arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566资源所有者是创建 Amazon 资源的 Amazon 账户的委托人实体。以下示例说明了它的工作原理。
-
如果您使用您的 Amazon Web Services 账户根用户 证书创建私有 CA,则您的 Amazon 账户拥有该 CA。
重要
-
我们不建议使用 Amazon Web Services 账户根用户 来创建 CA。
-
我们强烈建议您在访问时使用多因素身份验证 (MFA)。 Amazon 私有 CA
-
-
如果您在 Amazon 账户中创建 IAM 用户,则可以向该用户授予创建私有 CA 的权限。但是,该用户所属的账户拥有该 CA。
-
如果您在 Amazon 账户中创建 IAM 角色并授予其创建私有 CA 的权限,则任何能够代入该角色的人都可以创建 CA。但是,该角色所属的账户拥有该私有 CA。
权限策略规定谁可以访问哪些内容。以下讨论介绍创建权限策略时的可用选项。
注意
本文档讨论了在的上下文中使用 IAM Amazon 私有 CA。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅 IAM 用户指南。有关 IAM policy 语法和说明的信息,请参阅 Amazon IAM Policy 参考。