Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
如何与其他账户共享我在 AWS Private CA 中创建的私有 CA?
我使用 AWS Private Certificate Authority 在一个 AWS 账户中创建了私有证书颁发机构 (CA)。我想与其他账户共享该私有 CA 以颁发证书。
简短描述
要与其他账户共享私有 CA,请使用 AWS Resource Access Manager (AWS RAM) 创建资源共享。
您还可以与以下实体共享私有 CA:
- 其他主体,例如 AWS Identity and Access Management (IAM) 用户和角色
- 组织单元 (OU)
- 您的整个 AWS Organizations 组织
当您共享私有 CA 时,其他账户中的用户和角色可以颁发由该共享私有 CA 签名的私有 x509 证书。
解决方法
在您的私有 CA 所在的账户中创建 AWS RAM 资源共享。
注意:AWS RAM 是一项 AWS 区域性服务,资源共享也是区域性的。您必须从创建私有 CA 资源共享的同一区域访问该共享。
要与其他账户共享私有 CA,请完成以下步骤:
- 在拥有私有 CA 的账户中,在 AWS RAM 中创建资源共享。
**注意:**创建资源共享时,请为要颁发的证书类型选择正确的权限。例如,要使用默认证书模板 arn:aws:acm-pca:::template/EndEntityCertificate/V1 颁发最终实体证书,请选择默认权限 AWSRAMDefaultPermissionCertificateAuthority。要使用证书模板 arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 颁发附属证书 (PathLen0),请选择 AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority。 - 在另一个账户中接受共享的资源。如果您使用 Organizations 进行共享,并且在 Organizations 内启用了资源共享,请跳至步骤 6。
- 在另一个账户中,在私有 CA 所在的同一区域中打开 AWS RAM 控制台。
- 在 Shared with me(与我共享)下,选择 Resource shares(资源共享)以查看邀请。
- 选择共享资源的名称,然后选择 Accept resource share(接受资源共享)。
**注意:**接受共享后,状态将变为 Active(活动)。 - 在另一个账户中,在私有 CA 所在的区域中打开 AWS Private CA 控制台,以查看您账户中的共享私有 CA。
相关信息
How to use AWS RAM to share your AWS Certificate Manager (ACM) AWS Private CA cross-account
- 语言
- 中文 (简体)
