我在一個 AWS 帳戶中建立了 AWS Certificate Manager (ACM) Private Certificate Authority (ACM PCA)。我可與不同的 AWS 帳戶共用以核發憑證嗎?
簡短描述
您可使用 AWS Resource Access Manager (AWS RAM) 建立資源共用,以與另一個 AWS 帳戶共用 ACM PCA。此外,您可與下列共用 ACM PCA:
- 其他主體,例如 AWS Identify and Access Management (IAM) 使用者和 IAM 角色。
- 組織單位 (OU)。
- 您帳戶所屬的整個 AWS 組織。
共用 ACM PCA 可讓其他帳戶中的使用者和角色核發共用 PCA 簽署的私有 x509 憑證。
解決方案
在 ACM PCA 所在的帳戶中建立 AWS RAM 共用。
範例
您在帳戶 A 中有個現有的 ACM PCA。您想要與帳戶 B 共用。
- 於帳戶 A 中,在 AWS RAM 中建立資源共用。如需詳細指示,請參閱 建立資源共用中的主控台指示。
注意: 於步驟 2:將許可權限與每種資源類型相關聯中,選擇您要核發的憑證類型許可權限。例如:
如要使用預設憑證範本 arn:aws:acm-pca:::template/EndEntityCertificate/V1 來核發終端實體憑證:請選擇預設許可權限 AWSRAMDefaultPermissionCertificateAuthority。
如要使用憑證範本 arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 來核發從屬憑證 (PathLen0):請選擇 AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority。
- 接受共用帳戶中的共用資源 (在此範例中為帳戶 B)。若您與 AWS Organizations 共用 (在 AWS Organizations 內啟用資源共用),則可跳至步驟 6。
- 於共用帳戶 (本範例中為帳戶 B) 中,在與步驟 1 相同的區域中開啟 AWS RAM 主控台。
- 在 Shared with me (與我共享) 之下,選取 Resource shares (資源共享)。您會看到待處理的共享邀請。
- 選取共用資源的名稱,然後選擇 Accept resource share (接受資源共用)。接受共用後,共用便會列為 Active (作用中)。
- 於共用帳戶 (在此範例中為帳戶 B) 中,開啟 PCA 所在區域中的 ACM PCA 主控台。您會在帳戶中看到共用的 PCA。您可使用共用 PCA,開始 核發私有 x509 憑證。
相關資訊
如何使用 AWS RAM 共用您的 ACM 私有 CA 跨帳戶
建立 AWS RAM 中的資源共用