本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 客户托管策略 作为最佳实践,请勿使用您的 AWS 账户根用户 与之互动 AWS,包括 AWS 私有 CA。而是使用 AWS Identity and Access Management (IAM) 创建 IAM 用户、IAM 角色或联合用户。创建管理员组并将自己添加到其中。然后作为管理员登录。根据需要向组添加其他用户。 另一个最佳实践是创建可分配给用户的客户托管的 IAM policy。客户托管的策略是您可创建的基于身份的独立策略,您可以将这些策略附加到 AWS 账户中的多个用户、组或角色。此类策略可限制用户仅执行您指定的 AWS 私有 CA 操作。 下面的示例[客户托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)允许用户创建 CA 审计报告。这只是一个示例。你可以选择任何你想要的 AWS 私有 CA 操作。有关更多示例,请参阅[内联策略](auth-InlinePolicies.md)。 **创建客户托管策略** 1. 使用 AWS 管理员的凭证登录 IAM 控制台。 1. 在控制台的导航窗格中,选择**策略**。 1. 选择**创建策略**。 1. 选择 **JSON** 选项卡。 1. 复制以下策略并将其粘贴到编辑器中。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:CreateCertificateAuthorityAuditReport", "Resource":"*" } ] } ``` ------ 1. 选择**查看策略**。 1. 对于**名称**,键入 `PcaListPolicy`。 1. (可选) 键入描述。 1. 选择**创建策略**。 管理员可以将策略附加到任何 IAM 用户以限制用户可以执行的 AWS 私有 CA 操作。有关应用权限策略的方法,请参阅《IAM 用户指南》**中的[更改 IAM 用户的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html)。