如何将我的 ACM 私有证书颁发机构与其他 AWS 账户共享?

1 分钟阅读
0

我在一个 AWS 账户中创建了 AWS Certificate Manager(ACM)私有证书颁发机构(ACM PCA)。我想知道是否可以与其他 AWS 账户共享该 ACM PCA 来颁发证书。

简短描述

您可以使用 AWS Resource Access Manager(AWS RAM)共享 ACM PCA,以便与其他 AWS 账户创建资源共享。您还可以与其他实体共享 ACM PCA,例如:

  • 其他主体,例如 AWS Identify and Access Management(IAM)用户和 IAM 角色。
  • 组织单位(OU)。
  • 您的账户所属的整个 AWS 组织。

ACM PCA 共享允许其他账户中的用户和角色颁发由共享的 PCA 签名的私有 x509 证书。

解决方法

在 ACM PCA 所在的账户中创建 AWS RAM 共享。

使用场景示例

您在账户 A 中有一个现有的 ACM PCA,并且您想与账户 B 共享它。

注意: AWS RAM 是一项区域性服务,资源共享也是区域性的。与其他 AWS 账户中的主体进行的 ACM PCA 资源共享必须从创建它的同一 AWS 区域访问资源。

  1. 在账户 A 中,在 AWS RAM 中创建资源共享。有关说明,请参阅 Creating a resource share in AWS RAM 中的控制台说明。

    注意:步骤 2: 将托管权限与每种资源类型关联中,为要颁发的证书类型选择权限。例如:
    要使用默认证书模板 arn:aws:acm-pca:::template/EndEntityCertificate/V1: 颁发最终实体证书,请选择默认权限 AWSRAMDefaultPermissionCertificateAuthority
    要使用证书模板 arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1: 颁发附属证书(PathLen0),请选择 AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority

  2. 接受共享账户(此示例中为账户 B)中的共享资源。如果与 AWS Organizations 共享(启用了 AWS Organization 内的资源共享),则可以跳到步骤 6。

  3. 在共享账户(此示例中为账户 B)中,在与步骤 1 相同的区域中打开 AWS RAM 控制台

  4. 在“与我共享”下,选择资源共享。此时会看到待处理的共享邀请。

  5. 选择共享资源的名称,然后选择接受资源共享。在您接受共享后,共享将显示为活动

  6. 在共享账户(此示例中为账户 B)中,打开 PCA 所在区域的 ACM PCA 控制台。此时将看到您的账户中共享的 PCA。可以使用共享的 PCA 来颁发私有 x509 证书

相关信息

How to use AWS RAM to share your ACM Private CA cross-account

AWS 官方
AWS 官方已更新 6 个月前