本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 用于签署 ACM 私有证书的条件 AWS 私有 CA 在以下两种情况下 AWS 私有 CA ,您可以使用对 ACM 证书进行签名: + **单一账户**:签名 CA 和颁发的 AWS Certificate Manager (ACM)证书位于同一 AWS 账户中。 要启用单账户颁发和续订, AWS 私有 CA 管理员必须向 ACM 服务主体授予创建、检索和列出证书的权限。这是使用 AWS 私有 CA API 操作[CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html)或 AWS CLI 命令[创建权限完成的](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html)。账户拥有者将这些权限分配给负责颁发证书的 IAM 用户、组或角色。 + **跨账户**:签名的 CA 和颁发的 ACM 证书位于不同的 AWS 账户中,并且证书所在的账户已被授予对 CA 的访问权限。 [要启用跨账户签发和续订, AWS 私有 CA 管理员必须使用 AWS 私有 CA API 操作[PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)或命令 put-policy 将基于资源的策略附加到 CA。 AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)该策略指定其他账户中允许对 CA 进行有限访问的主体。有关更多信息,请参阅[将基于资源的策略用于 ACM Private CA](https://docs.aws.amazon.com/privateca/latest/userguide/pca-rbp.html)。 跨账户方案还要求 ACM 设置服务关联角色 (SLR),以便作为主体与 PCA 策略进行交互。ACM 在颁发第一个证书时自动创建 SLR。 ACM 可能会提示您,它无法确定您的账户中是否存在 SLR。如果所需的 `iam:GetRole` 权限已被授予您账户的 ACM SLR,则在创建 SLR 后不会再发出提示。如果提示再次发生,那么您或您的账户管理员可能需要授予 `iam:GetRole` 访问 ACM 的权限,或者将您的账户与 ACM 托管策略 `AWSCertificateManagerFullAccess` 关联。 有关更多信息,请参阅[将服务相关角色用于 ACM](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)。 **重要** 您的 ACM 证书必须与支持的 AWS 服务主动关联,然后才能自动续订。有关 ACM 支持的资源的信息,请参阅 [与 ACM 集成的服务](acm-services.md)。