本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 AWS 私有 CA 簽署 ACM 私有憑證的條件 在下列兩種情況下,您可以使用 AWS 私有 CA 來簽署 ACM 憑證: + **單一帳戶**:簽署 CA 和發行的 AWS Certificate Manager (ACM) 憑證位於同一個 AWS 帳戶中。 若要啟用單一帳戶發行和續約功能, AWS 私有 CA 管理員必須授與許可給 ACM 服務主體,才能建立、擷取和列出憑證。這是使用 API AWS 私有 CA 動作 [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html) 或 AWS CLI 命令 [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) 來完成。帳戶擁有者會將這些許可指派給負責發行憑證的 IAM 使用者、群組或角色。 + **跨帳戶**:簽署 CA 和發行的 ACM 憑證位於不同的 AWS 帳戶中,並且已將 CA 的存取權授予憑證所在的帳戶。 若要啟用跨帳戶發行和續約,管理員必須使用 AWS 私有 CA API AWS 私有 CA 動作 [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html) 或 AWS CLI 命令 [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html),將資源型政策連接至 CA。政策會指定其他帳戶中允許有限存取 CA 的委託人。如需詳細資訊,請參閱[搭配 ACM Private CA 使用資源型政策](https://docs.aws.amazon.com/privateca/latest/userguide/pca-rbp.html)。 跨帳戶案例也需要 ACM 設定服務連結角色 (SLR),才能以委託人身分與 PCA 政策互動。ACM 會在發行第一個憑證時自動建立 SLR。 ACM 可能會提醒您無法判斷您的帳戶中是否存在 SLR。如果必要的 `iam:GetRole` 許可已授與給您帳戶的 ACM SLR,則 SLR 建立後就不會再次發出提醒。如果再次發出提醒,表示您或您的帳戶管理員可能需要授與 `iam:GetRole` 許可給 ACM,或為您的帳戶與由 ACM 管理的政策 `AWSCertificateManagerFullAccess` 建立關聯。 如需詳細資訊,請參閱[搭配 ACM 使用服務連結角色](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)。 **重要** 您的 ACM 憑證必須主動與支援的 AWS 服務建立關聯,才能自動續約。如需有關 ACM 支援的資源的資訊,請參閱 [與 ACM 整合的服務](acm-services.md)。