本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 為 IAM 使用者建立單一帳戶許可 當 CA 管理員 (即 CA 擁有者) 和憑證發行者位於單一 AWS 帳戶中時,[最佳實務](ca-best-practices.md)是建立具有有限許可的 AWS Identity and Access Management (IAM) 使用者來區隔發行者和管理員角色。如需搭配 使用 IAM AWS 私有 CA以及範例許可的詳細資訊,請參閱 [的 Identity and Access Management (IAM) AWS 私有憑證授權單位](security-iam.md)。 **單一帳戶案例 1:發行未受管憑證** 在此情況下,帳戶擁有者會建立私有 CA,然後建立具有許可的 IAM 使用者,以發行私有 CA 簽署的憑證。IAM 使用者透過呼叫 `IssueCertificate` API AWS 私有 CA 發出憑證。 ![發行未受管憑證](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/ca_access_1_account_pca_api.png) 以這種方式發行的憑證不受管理,這表示管理員必須匯出憑證,並將其安裝在要使用它們的裝置上。它們也必須在過期時手動續約。使用此 API 發行憑證需要由 [OpenSSL](https://www.openssl.org/) 或類似程式 AWS 私有 CA 在 外部產生的憑證簽署請求 (CSR) 和金鑰對。如需詳細資訊,請參閱 `IssueCertificate` [文件](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)。 **單一帳戶案例 2:透過 ACM 發行受管憑證** 第二個案例涉及來自 ACM 和 PCA 的 API 操作。帳戶擁有者會像以前一樣建立私有 CA 和 IAM 使用者。帳戶擁有者接著會將[許可授予](create-CA.md#PcaCreateAcmPerms) ACM 服務主體,以自動續約此 CA 簽署的任何憑證。IAM 使用者再次發出憑證,但這次呼叫 ACM `RequestCertificate` API 來處理 CSR 和金鑰產生。當憑證過期時,ACM 會自動執行續約工作流程。 ![發行受管憑證](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/ca_access_1_account_acm_api.png) 帳戶擁有者可以選擇在 CA 建立期間或之後,或使用 PCA `CreatePermission` API,透過管理主控台授予續約許可。從此工作流程建立的受管憑證可在 上使用與 ACM 整合的 AWS 服務。 下一節包含授予續約許可的程序。 ## 將憑證續約許可指派給 ACM 在 AWS Certificate Manager (ACM) 中使用[受管續約](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html),您可以自動化公有和私有憑證的憑證續約程序。為了讓 ACM 自動續約私有 CA 產生的憑證,ACM 服務主體必須獲得 *CA 本身*的所有可能許可。如果 ACM 沒有這些續約許可,則 CA 擁有者 (或授權代表) 必須在憑證過期時手動重新發行每個私有憑證。 **重要** 只有在 CA 擁有者和憑證發行者位於相同 AWS 帳戶中時,才會套用指派續約許可的這些程序。如需跨帳戶案例,請參閱 [連接跨帳戶存取的政策](pca-ram.md)。 您可以在[建立私有 CA](create-CA.md) 的期間,或是在其之後 CA 處於 `ACTIVE` 狀態的任何時間委派續約許可。 您可以透過 [AWS 私有 CA 主控台](https://console.aws.amazon.com/acm-pca)、[AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/),或 [AWS 私有 CA API](https://docs.aws.amazon.com/privateca/latest/APIReference/) 來管理私有 CA 許可: **將私有 CA 許可指派給 ACM (主控台)** 1. 登入 AWS 您的帳戶,並在 https://[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) 開啟 AWS 私有 CA 主控台。 1. 在**私有憑證授權單位頁面上**,從清單中選擇私有 CA。 1. 選擇**動作**、**設定 CA 許可**。 1. 選取**授權 ACM 存取以續約此帳戶請求的憑證**。 1. 選擇**儲存**。 **在 AWS 私有 CA (AWS CLI) 中管理 ACM 許可** 使用 [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) 命令將許可指派給 ACM。您必須指派必要的許可 (`IssueCertificate`、 `GetCertificate`和 `ListPermissions`),ACM 才能自動續約您的憑證。 ``` $ aws acm-pca create-permission \ --certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \ --actions {{IssueCertificate}} {{GetCertificate}} {{ListPermissions}} \ --principal acm.amazonaws.com ``` 使用 [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) 命令來列出 CA 委派的許可。 ``` $ aws acm-pca list-permissions \ --certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} ``` 使用 [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) 命令撤銷 CA 指派給 AWS 服務主體的許可。 ``` $ aws acm-pca delete-permission \ --certificate-authority-arn arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}} \ --principal acm.amazonaws.com ```