本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 與 ACM 整合的服務 AWS Certificate Manager 支援越來越多 AWS 的服務。您無法直接在以 AWS 為基礎的網站或應用程式上安裝 ACM 憑證或私有 AWS 私有 CA 憑證。 **注意** 公有 ACM 憑證可以安裝在連接到 [Nitro Enclave](#acm-nitro-enclave) 的 Amazon EC2 執行個體上。您也可以[匯出公有憑證](export-public-certificate.md),以便在任何 Amazon EC2 執行個體上使用。如需了解如何在未連接至 Nitro Enclave 的 Amazon EC2 執行個體上設定獨立 Web 伺服器,請參閱[教學課程:在 Amazon Linux 2 上安裝 LAMP Web 伺服器](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-lamp-amazon-linux-2.html)或[教學課程:使用 Amazon Linux AMI 安裝 LAMP Web 伺服器](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/install-LAMP.html)。 下列服務支援 ACM 憑證: **Elastic Load Balancing** Elastic Load Balancing 會自動將您的傳入應用程式流量分散到多個 Amazon EC2 執行個體。它會偵測運作狀態不良的執行個體,並將流量重新路由至運作狀態良好的執行個體,直到運作狀態不良的執行個體恢復為止。Elastic Load Balancing 會自動擴展其處理容量的請求,以回應傳入的流量。如需負載平衡的詳細資訊,請參閱 [Elastic Load Balancing 使用者指南](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/)。 一般而言,為了透過 SSL/TLS 提供安全的內容,負載平衡器會要求在負載平衡器或後端 Amazon EC2 執行個體上安裝 SSL/TLS 憑證。ACM 已和 Elastic Load Balancing 整合,可在負載平衡器上部署 ACM 憑證。如需詳細資訊,請參閱[建立 Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html)。 **Amazon CloudFront** Amazon CloudFront 是一項 Web 服務,可透過從全球節點網路交付您的內容,以加速將動態和靜態 Web 內容分佈給最終使用者。最終使用者請求您透過 CloudFront 提供的內容時,系統會自動將該使用者路由到提供最低延遲的節點。這可確保盡可能以最佳效能交付內容。如果內容目前位於節點,CloudFront 會立即交付該內容。如果內容目前不在節點,CloudFront 會從您指定為最終內容來源的 Amazon S3 儲存貯體或 Web 伺服器擷取該內容。如需 CloudFront 的詳細資訊,請參閱 [Amazon CloudFront 開發人員指南](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/)。 為了透過 SSL/TLS 提供安全的內容,CloudFront 會要求在 CloudFront 分佈或後端內容來源上安裝 SSL/TLS 憑證。ACM 已和 CloudFront 整合,可在 CloudFront 分佈上部署 ACM 憑證。如需詳細資訊,請參閱[取得 SSL/TLS 憑證](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html#cnames-and-https-getting-certificates)。 若要搭配 CloudFront 使用 ACM 憑證,您必須在美國東部 (維吉尼亞北部) 區域請求或匯入憑證。 **Amazon Elastic Kubernetes Service** Amazon Elastic Kubernetes Service 是一項受管 Kubernetes 服務,可讓您輕鬆地在 上執行 Kubernetes, AWS 而無需安裝、操作和維護您自己的 Kubernetes 控制平面。如需 Amazon EKS 的詳細資訊,請參閱《[Amazon Elastic Kubernetes Service 使用者指南]()》。 您可以搭配 AWS Controllers for Kubernetes (ACK) 使用 ACM,以發行 TLS 憑證並將其匯出至 Kubernetes 工作負載。此整合可讓您在 Kubernetes 輸入或 AWS 負載平衡器保護 Amazon EKS Pod 並終止 TLS。ACM 會自動續約憑證,而 ACK 控制器會使用更新的憑證更新您的 Kubernetes Secrets。如需詳細資訊,請參閱[使用 ACM 憑證保護 Kubernetes 工作負載](exportable-certificates-kubernetes.md)。 **Amazon Cognito** Amazon Cognito 為您的 Web 和行動應用程式提供身分驗證、授權和使用者管理。使用者可以直接使用您的 AWS 帳戶 登入資料或透過 Facebook、Amazon、Google 或 Apple 等第三方登入。如需有關 Amazon Cognito 的詳細資訊,請參閱《[Amazon Cognito 開發人員指南](https://docs.aws.amazon.com/cognito/latest/developerguide/)》。 當您將 Cognito 使用者集區設定為使用 Amazon CloudFront 代理時,CloudFront 可能會放置 ACM 憑證來保護自訂網域。在這種情況下,請注意,您必須先移除憑證與 CloudFront 的關聯,才能刪除憑證。 **AWS Elastic Beanstalk** Elastic Beanstalk 可協助您在 AWS 雲端中部署和管理應用程式,而不必擔心執行這些應用程式的基礎設施。 AWS Elastic Beanstalk 可降低管理複雜性。您只需上傳應用程式,Elastic Beanstalk 就會自動處理容量佈建、負載平衡、擴展和應用程式運作狀態監控的細節。Elastic Beanstalk 使用 Elastic Load Balancing 服務來建立負載平衡器。如需 Elastic Beanstalk 的詳細資訊,請參閱 [AWS Elastic Beanstalk 開發人員指南](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/)。 若要選擇憑證,您必須在 Elastic Beanstalk 主控台中為您的應用程式設定負載平衡器。如需詳細資訊,請參閱[設定您 Elastic Beanstalk 環境的負載平衡器來終止 HTTPS](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/configuring-https-elb.html)。 **AWS App Runner** App Runner AWS 服務提供快速、簡單且符合成本效益的方式,可將原始碼或容器映像直接部署到 AWS 雲端中可擴展且安全的 Web 應用程式。您不需要學習新技術、決定要使用的運算服務,或知道如何佈建和設定 AWS 資源。如需 App Runner 的詳細資訊,請參閱 [AWS App Runner 開發人員指南](https://docs.aws.amazon.com/apprunner/latest/dg/)。 當您為自訂網域名稱與應用程式執行者服務建立關聯時,App Runner 會在內部建立可追蹤網域有效性的憑證。這些憑證會儲存在 ACM 中。取消網域與服務的關聯或刪除服務後的七天內,App Runner 不會刪除這些憑證。這整套程序都會自動執行,您不需要自行新增或管理任何憑證。如需詳細資訊,請參閱 *AWS App Runner 開發人員指南*中的[管理 App Runner 服務的自訂網域名稱](https://docs.aws.amazon.com/apprunner/latest/dg/manage-custom-domains.html)。 **Amazon API Gateway** 隨著行動裝置的普及和物聯網 (IoT) 的成長,建立可用來存取資料並與 AWS上的後端系統互動的 API 變得越來越普遍。您可以使用 API Gateway 發佈、維護、監控和保護您的 API。將 API 部署到 API Gateway 後,您可以[設定自訂網域名稱](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html)以簡化存取該 API 的作業。若要設定自訂網域名稱,您必須提供 SSL/TLS 憑證。您可以使用 ACM 產生或匯入憑證。如需有關 Amazon API Gateway 的詳細資訊,請參閱《[Amazon API Gateway 開發人員指南](https://docs.aws.amazon.com/apigateway/latest/developerguide/)》。 **AWS Nitro Enclaves** AWS Nitro Enclaves 是一種 Amazon EC2 功能,可讓您從 Amazon EC2 執行個體建立稱為 *enclaves* 的隔離執行環境。隔離區是獨立、強化且高度受限的虛擬機器。它們只提供與其上層執行個體的安全本機通訊端連線。不具有持久性儲存、互動式存取或外部聯網功能。使用者無法透過 SSH 進入隔離區,且上層執行個體的處理序、應用程式或使用者 (包括根或管理員) 都無法存取隔離區內的資料和應用程式。 連接到 Nitro Enclaves 的 EC2 執行個體支援 ACM 憑證。如需詳細資訊,請參閱[適用於 Nitro Enclaves 的AWS Certificate Manager](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-refapp.html)。 您無法將 ACM 憑證與未連接至 Nitro Enclave 的 EC2 執行個體建立關聯。 **AWS CloudFormation** CloudFormation 可協助您建立模型並設定 Amazon Web Services 資源。您可以建立範本來描述您想要使用 AWS 的資源,例如 Elastic Load Balancing 或 API Gateway。然後, CloudFormation 會負責佈建和設定這些資源。您不需要個別建立和設定 AWS 資源,並了解什麼依賴; CloudFormation 處理所有這些。ACM 憑證包含為範本資源,這表示 CloudFormation 可以請求可與 服務搭配使用 AWS 的 ACM 憑證,以啟用安全連線。此外,ACM 憑證包含許多您可以設定 AWS 的資源 CloudFormation。 如需有關 CloudFormation 的一般資訊,請參閱《[CloudFormation 使用者指南](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/)》。如需有關 CloudFormation 支援之 ACM 資源的詳細資源,請參閱 [AWS::CertificateManager::Certificate](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-certificatemanager-certificate.html)。 透過 提供的強大自動化 CloudFormation,您可以輕鬆超過[憑證配額](https://docs.aws.amazon.com/acm/latest/userguide/acm-limits.html),尤其是新 AWS 帳戶。我們建議您遵循 的 ACM [最佳實務](https://docs.aws.amazon.com/acm/latest/userguide/acm-bestpractices.html#best-practices-cloudformation) CloudFormation。 如果您使用 建立 ACM 憑證 CloudFormation, CloudFormation 堆疊會保持在 **CREATE\_IN\_PROGRESS** 狀態。任何進一步的堆疊操作都將被延遲,直到您根據憑證驗證電子郵件中的指示操作為止。如需詳細資訊,請參閱[在建立、更新或刪除堆疊操作期間,資源無法穩定](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/troubleshooting.html#troubleshooting-resource-did-not-stabilize)。 **AWS Amplify** Amplify 是一組專門建置的工具和功能,可讓前端 Web 和行動開發人員快速輕鬆地在其上建置完整的堆疊應用程式 AWS。Amplify 提供兩種服務:Amplify Hosting 和 Amplify Studio。Amplify Hosting 提供了一個 Git 型的工作流程,可用來託管具有連續部署的全堆疊無伺服器 Web 應用程式。Amplify Studio 是視覺化的開發環境,可簡化可擴展、全堆疊 Web 和行動應用程式的建立作業。使用 Studio 建置具有即時可用 UI 元件的前端 UI、建立應用程式後端,然後將兩者連接在一起。如需有關 Amplify 的詳細資訊,請參閱《[AWS Amplify](https://docs.aws.amazon.com/amplify/latest/userguide/welcome.html) 使用者指南》。 如果您將自訂網域連接到應用程式,則 Amplify 主控台會發行 ACM 憑證來保護應用程式。 **Amazon OpenSearch Service** Amazon OpenSearch Service 是一個搜尋和分析引擎,適用於日誌分析、即時應用程式監控及點擊流分析等使用案例。如需詳細資訊,請參閱《[Amazon OpenSearch Service 開發人員指南](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/)》。 當您建立包含了[自訂網域和端點](https://docs.aws.amazon.com/opensearch-service/latest/developerguide/customendpoint.html)的 OpenSearch Service 叢集時,您可以使用 ACM 來佈建具有憑證之關聯的 Application Load Balancer。 **AWS Network Firewall** AWS Network Firewall 是一種受管服務,可讓您輕鬆為所有 Amazon Virtual Private Clouds (VPCs) 部署基本網路保護。如需詳細資訊,請參閱 [AWS Network Firewall 開發人員指南](https://docs.aws.amazon.com/network-firewall/latest/developerguide/)。 Network Firewall 防火牆與 ACM 整合,可進行 TLS 檢查。如果您在 Network Firewall 中使用 TLS 檢查,則必須設定 ACM 憑證,以解密和重新加密通過防火牆的 SSL/TLS 流量。如需有關 Network Firewall 如何搭配 ACM 使用進行 TLS 檢查的詳細資訊,請參閱 *AWS Network Firewall 開發人員指南*中的[將 SSL/TLS 憑證與 TLS 檢查組態搭配使用的要求](https://docs.aws.amazon.com/network-firewall/latest/developerguide/tls-inspection-certificate-requirements.html)。