本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AMS SSP AWS 私有憑證授權單位 在您的 AMS 帳戶中佈建
使用 AMS 自助式佈建 (SSP) 模式直接存取 AMS 受管帳戶中 AWS 私有憑證授權單位 的功能。私有憑證用於識別和保護私有網路上連線資源之間的通訊, 例如伺服器、 行動、 和 IoT 裝置和應用程式。 AWS 私有 CA 是一項受管私有 CA 服務,可協助您輕鬆安全地管理私有憑證的生命週期。 AWS 私有 CA 為您提供高可用性的私有 CA 服務,無需預付投資和持續的維護成本來操作您自己的私有 CA。 將 ACM 的憑證管理功能 AWS 私有 CA 延伸至私有憑證。 可讓您集中建立和管理公有和私有憑證。您可以使用 AWS 管理主控台或 ACM API,輕鬆建立和部署 AWS 資源的私有憑證。對於 EC2 執行個體、容器、IoT 裝置和內部部署資源,您可以輕鬆建立和追蹤私有憑證,並使用您自己的用戶端自動化程式碼進行部署。您也可以靈活地建立私有憑證,並針對需要自訂憑證生命週期、金鑰演算法或資源名稱的應用程式自行管理它們。如需進一步了解,請參閱 AWS 私有 CA
AWS 私有 CA AWS Managed Services 常見問答集中的
常見問題和解答:
問:如何在我的 AMS AWS 私有 CA 帳戶中請求存取權?
透過提交 AWS 服務 RFC 請求存取權 (管理 | AWS 服務 | 相容服務)。透過此 RFC,將在您的帳戶中佈建下列 IAM 角色:customer_acm_pca_role。在帳戶中佈建後,您必須在聯合解決方案中加入角色。
問:使用 有哪些限制 AWS 私有 CA?
目前, AWS Resource Access Manager (AWS RAM) 無法用來共用您的 AWS 私有 CA 跨帳戶。
問:要使用哪些先決條件或相依性 AWS 私有 CA?
1. 如果您打算建立 CRL,則需要 S3 儲存貯體來存放。 AWS 私有 CA 會自動將 CRL 存放在您指定的 Amazon S3 儲存貯體中,並定期更新。設定 CRL 之前,S3 儲存貯體必須具有下列儲存貯體政策。為了繼續此請求,請使用 ct-0fpjlxa808sh2 (管理 | 進階堆疊元件 | S3 儲存 | 更新政策) 建立 RFC,如下所示:
提供 S3 儲存貯體名稱或 ARN。
將下列政策複製到 RFC,並以您想要
bucket-name的 S3 儲存貯體名稱取代 。
2. 如果上述 S3 儲存貯體已加密,則 Service Principal acm-pca.amazonaws.com 需要解密許可。為了繼續此請求,請使用 ct-3ovo7px2vsa6n (管理 | 進階堆疊元件 | KMS 金鑰 | 更新) 建立 RFC,如下所示:
提供必須更新政策的 KMS 金鑰 ARN。
將下列政策複製到 RFC,並以您想要
bucket-name的 S3 儲存貯體名稱取代 。
{ "Sid":"Allow ACM-PCA use of the key", "Effect":"Allow", "Principal":{ "Service":"acm-pca.amazonaws.com" }, "Action":[ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource":"*", "Condition":{ "StringLike":{ "kms:EncryptionContext:aws:s3:arn":[ "arn:aws:s3:::bucket_name/acm-pca-permission-test-key", "arn:aws:s3:::bucket_name/acm-pca-permission-test-key-private", "arn:aws:s3:::bucket_name/audit-report/*", "arn:aws:s3:::bucket_name/crl/*" ] } } }
3. AWS 私有 CA CRLs不支援 S3 設定「封鎖透過新存取控制清單 (ACLs公開存取」。您必須使用 S3 帳戶和儲存貯體停用此設定,以允許 AWS 私有 CA 寫入 CRLs,如如何安全地建立和存放 ACM Private CA 的 CRL
