本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AMS SSP AWS 私有证书颁发机构 在您的 AMS 账户中进行配置
使用 AMS 自助服务配置 (SSP) 模式直接访问您的 AMS 托管账户中的 AWS 私有证书颁发机构 功能。私有证书用于识别和保护私有网络上互联资源之间的通信,例如服务器、移动设备和物联网设备和应用程序。 AWS 私有 CA 是一项托管私有 CA 服务,可帮助您轻松安全地管理私有证书的生命周期。 AWS 私有 CA 为您提供高度可用的私有 CA 服务,无需支付运营自己的私有 CA 的前期投资和持续维护成本。 AWS 私有 CA 将 ACM 的证书管理功能扩展到私有证书,使您能够集中创建和管理公有和私有证书。您可以使用 AWS 管理控制台或 ACM API 轻松地为您的 AWS 资源创建和部署私有证书。对于 EC2 实例、容器、物联网设备和本地资源,您可以轻松创建和跟踪私有证书,并使用自己的客户端自动化代码进行部署。对于需要自定义证书生命周期、密钥算法或资源名称的应用程序,您还可以灵活地创建私有证书并自行管理这些证书。要了解更多信息,请参阅AWS 私有 CA
AWS 私有 CA 在 AWS Managed Services 常见问题中
常见问题和答案:
问:如何使用我的 AMS 账户申请访问权限 AWS 私有 CA ?
通过提交 AWS 服务 RFC(管理 | 服务 | 兼容 AWS 服务)来申请访问权限。通过此 RFC,将在您的账户中配置以下 IAM 角色:。customer_acm_pca_role在您的账户中配置该角色后,您必须在联合解决方案中加入该角色。
问:使用有哪些限制 AWS 私有 CA?
目前, AWS Resource Access Manager (AWS RAM) 不能用于共享您的 AWS 私有 CA 跨账户。
问:使用的先决条件或依赖关系 AWS 私有 CA是什么?
1. 如果您计划创建 CRL,则需要一个 S3 存储桶来存储它。 AWS 私有 CA 自动将 CRL 存入您指定的 Amazon S3 存储桶中,并定期对其进行更新。在设置 CRL 之前,S3 存储桶必须具有以下存储桶策略。要继续处理此请求,请按如下方式使用 ct-0fpjlxa808sh2(管理 | 高级堆栈组件 | S3 存储 | 更新策略)创建 RFC:
提供 S3 存储桶名称或 ARN。
将以下策略复制到 RFC 上,并
bucket-name替换为所需的 S3 存储桶名称。
2. 如果上述 S3 存储桶已加密,则服务主体 acm-pca.amazonaws.com 需要解密权限。要继续处理此请求,请按如下方式使用 ct-3ovo7px2vsa6n(管理 | 高级堆栈组件 | KMS 密钥 | 更新)创建 RFC:
提供必须更新策略的 KMS 密钥 ARN。
将以下策略复制到 RFC 上,并
bucket-name替换为所需的 S3 存储桶名称。
{ "Sid":"Allow ACM-PCA use of the key", "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::bucket_name/acm-pca-permission-test-key", "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private", "arn:aws:s3:::bucket_name/audit-report/*", "arn:aws:s3:::bucket_name/crl/*" ] } } }
3。 AWS 私有 CA CRLs 不支持 S3 设置 “阻止通过新的访问控制列表 (ACLs) 授予的对存储桶和对象的公开访问权限”。您必须对 S3 账户和存储桶禁用此设置才能允许写入, CRLs 如如何安全地创建和存储 ACM Private CA 的 CRL 中所述。如果您想禁用,请
