我在一个 AWS 账户中创建了 AWS Certificate Manager(ACM)私有证书颁发机构(ACM PCA)。我想知道是否可以与其他 AWS 账户共享该 ACM PCA 来颁发证书。
简短描述
您可以使用 AWS Resource Access Manager(AWS RAM)共享 ACM PCA,以便与其他 AWS 账户创建资源共享。您还可以与其他实体共享 ACM PCA,例如:
- 其他主体,例如 AWS Identify and Access Management(IAM)用户和 IAM 角色。
- 组织单位(OU)。
- 您的账户所属的整个 AWS 组织。
ACM PCA 共享允许其他账户中的用户和角色颁发由共享的 PCA 签名的私有 x509 证书。
解决方法
在 ACM PCA 所在的账户中创建 AWS RAM 共享。
使用场景示例
您在账户 A 中有一个现有的 ACM PCA,并且您想与账户 B 共享它。
注意: AWS RAM 是一项区域性服务,资源共享也是区域性的。与其他 AWS 账户中的主体进行的 ACM PCA 资源共享必须从创建它的同一 AWS 区域访问资源。
-
在账户 A 中,在 AWS RAM 中创建资源共享。有关说明,请参阅 Creating a resource share in AWS RAM 中的控制台说明。
注意:在步骤 2: 将托管权限与每种资源类型关联中,为要颁发的证书类型选择权限。例如:
要使用默认证书模板 arn:aws:acm-pca:::template/EndEntityCertificate/V1: 颁发最终实体证书,请选择默认权限 AWSRAMDefaultPermissionCertificateAuthority。
要使用证书模板 arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1: 颁发附属证书(PathLen0),请选择 AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority。
-
接受共享账户(此示例中为账户 B)中的共享资源。如果与 AWS Organizations 共享(启用了 AWS Organization 内的资源共享),则可以跳到步骤 6。
-
在共享账户(此示例中为账户 B)中,在与步骤 1 相同的区域中打开 AWS RAM 控制台。
-
在“与我共享”下,选择资源共享。此时会看到待处理的共享邀请。
-
选择共享资源的名称,然后选择接受资源共享。在您接受共享后,共享将显示为活动。
-
在共享账户(此示例中为账户 B)中,打开 PCA 所在区域的 ACM PCA 控制台。此时将看到您的账户中共享的 PCA。可以使用共享的 PCA 来颁发私有 x509 证书。
相关信息
How to use AWS RAM to share your ACM Private CA cross-account