Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

如何與其他 AWS 帳戶共用 ACM 私有憑證授權單位？

1 分的閱讀內容

我在一個 AWS 帳戶中建立了 AWS Certificate Manager (ACM) 私有憑證授權單位 (ACM PCA)。我想知道我是否可以與其他 AWS 帳戶共用 ACM PCA 以發行憑證。

簡短說明

您可以使用 AWS Resource Access Manager (AWS RAM) 共用 ACM PCA，以與其他 AWS 帳戶建立資源共用。您也可以與其他實體共用 ACM PCA，例如：

您的 ACM PCA 共用可讓其他帳戶中的使用者和角色發行由共用 PCA 簽署的私人 x509 憑證。

在您的 ACM PCA 所在的帳戶中建立 AWS RAM 共用。

您在帳戶 A 中已有 ACM PCA，並且您想要與帳戶 B 共用它。

注意：AWS RAM 是區域性服務，資源共用亦為區域性。與其他 AWS 帳戶中的主體共用 ACM PCA 資源必須從建立該資源的相同 AWS 區域存取資源。

在帳戶 A 中，於 AWS RAM 中建立資源共用。如需指示，請參閱在 AWS RAM 中建立資源共用中的主控台說明。

注意：在步驟 2 中：將受管理權限與每個資源類型關聯，為要發行的憑證類型選擇權限。例如：
若要使用預設憑證範本 arn:aws:acm-pca:::template/EndEntityCertificate/V1 發行最終實體憑證：請選擇預設權限 AWSRAMDefaultPermissionCertificateAuthority。
若要發行具有憑證範本 arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 的附屬憑證 (PathLen0)：選擇 AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority。
接受共用帳戶中的共用資源 (本範例中的帳戶 B)。如果您與 AWS Organizations 共用 (啟用 AWS Organizations 內資源共用)，則可跳至步驟 6。
在共用帳戶 (本範例中的帳戶 B) 中，在與步驟 1 相同的區域中開啟 AWS RAM 主控台。
在與我共用下，選取資源共用。您會看到待處理的共用邀請。
選取共用資源的名稱，然後選擇接受資源共用。接受共用後，共用會顯示為作用中。
在共用帳戶 (本範例中的帳戶 B) 中，開啟 PCA 所在的區域中的 ACM PCA 主控台。您可以在帳戶中看到共用的 PCA。您可以使用共用 PCA 發行私有 x509 憑證。