


 简短描述
-----



您可以使用 AWS Resource Access Manager (AWS RAM) 创建资源共享，以便与其他 AWS 账户共享 ACM PCA。此外，您还可以与以下人员共享 ACM PCA：


* 其他主体，例如 AWS Identify and Access Management (IAM) 用户和 IAM 角色。
* 组织部门 (OU)。
* 您的账户所属的整个 AWS 组织。


共享您的 ACM PCA 可允许其他账户中的用户和角色颁发由共享 PCA 签名的私有 x509 证书。



 解决方案
-----



在您的 ACM PCA 所在的账户中创建 AWS RAM 共享。


**示例**


账户 A 中已有 ACM PCA。您想与账户 B 共享此 ACM PCA。


1. 在账户 A 中，于 AWS RAM 中创建资源共享。有关详细说明，请参阅[创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)中的控制台说明。  
**注意：**在**步骤 2：将权限与每种资源类型关联**中，选择要颁发的证书类型的对应权限。例如：  
要使用默认证书模板 **arn:aws:acm-pca:::template/EndEntityCertificate/V1** 颁发最终实体证书：选择默认权限 **AWSRAMDefaultPermissionCertificateAuthority**。  
要使用证书模板 **arn:aws:acm-pca:::template/SubordinateCACertificate\_PathLen0/V1** 颁发从属证书 (PathLen0)：选择 **AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority**
2. 接受共享账户（本例中为账户 B）中的共享资源。如果您与 AWS Organizations（[已启用 AWS Organization 内的资源共享](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)），则可以跳到步骤 6。
3. 在共享账户（本例中为账户 B）中，在与步骤 1 相同的区域中打开 [AWS RAM 控制台](https://console.aws.amazon.com/ram/home)。
4. 在**与我共享**下，选择**资源共享**。您会看到待处理的共享邀请。
5. 选择共享资源的名称，然后选择**接受资源共享**。接受共享后，该共享将列为**活动**。
6. 在共享账户（本例中为账户 B）中，打开 [PCA 所在区域的 ACM PCA 控制台](https://console.aws.amazon.com/acm-pca/)。您可以在自己的账户中看到共享 PCA。您可以开始使用共享 PCA [颁发私有 x509 证书](https://docs.aws.amazon.com/acm-pca/latest/userguide/PcaIssueCert.html)。





---




 相关信息
-----



[如何使用 AWS RAM 跨账户共享您的 ACM 私有 CA](https://aws.amazon.com/blogs/security/how-to-use-aws-ram-to-share-your-acm-private-ca-cross-account/)


[在 AWS RAM 中创建资源共享](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-create.html)







我在一个 AWS 账户中创建了 AWS Certificate Manager (ACM) 私有证书颁发机构 (ACM PCA)。我能否将其与其他 AWS 账户共享以颁发证书？

与其他 AWS 账户共享 ACM 私有证书颁发机构

如何与其他 AWS 账户共享我的 ACM 私有证书颁发机构？

安全、身份和合规性

如何为我的 ACM PCA 创建证书撤销列表 (CRL)？

如何上载 SSL 证书并将其导入 AWS Identity and Access Management (IAM)？

如何与其他 AWS 账户共享我的 ACM 私有证书颁发机构？

简短描述

解决方案

相关信息

相关内容