控制私有 CA 的存取

對私有 CA 具有必要許可的任何使用者可以 AWS 私有 CA 使用該 CA 簽署其他憑證。CA 擁有者可以發行憑證，或將發行憑證所需的許可委派給位於相同 的 AWS Identity and Access Management (IAM) 使用者 AWS 帳戶。如果 CA 擁有者透過以資源為基礎的政策授權，則位於不同 AWS 帳戶中的使用者也可以發行憑證。

無論單一帳戶或跨帳戶，授權使用者都可以在發行憑證時使用 AWS 私有 CA 或 AWS Certificate Manager 資源。從 AWS 私有 CA IssueCertificate API 或 issue-certificate CLI 命令發出的憑證不受管理。這類憑證需要在目標裝置上手動安裝，並在過期時手動續約。從 ACM 主控台、ACM RequestCertificate API 或 request-certificate CLI 命令發出的憑證會受到管理。這類憑證可以輕鬆安裝在與 ACM 整合的 服務中。如果 CA 管理員允許，且發行者的帳戶具有適用於 ACM 的服務連結角色，則受管憑證會在過期時自動續約。