本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 控制私有 CA 的存取
<a name="granting-ca-access"></a>

對私有 CA 具有必要許可的任何使用者可以 AWS 私有 CA 使用該 CA 簽署其他憑證。CA 擁有者可以發行憑證，或將發行憑證所需的許可委派給位於相同 中的 AWS Identity and Access Management (IAM) 使用者 AWS 帳戶。如果 CA 擁有者透過[以資源為基礎的政策](pca-rbp.md)授權，則位於不同 AWS 帳戶中的使用者也可以發行憑證。

無論單一帳戶或跨帳戶，授權使用者都可以在發行憑證時使用 AWS 私有 CA 或 AWS Certificate Manager 資源。從 AWS 私有 CA [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) API 或 [issue-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/issue-certificate.html) CLI 命令發出的憑證不受管理。這類憑證需要在目標裝置上手動安裝，並在過期時手動續約。從 ACM 主控台、ACM [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) API 或 [request-certificate](https://docs.aws.amazon.com/cli/latest/reference/acm/request-certificate.html) CLI 命令發出的憑證會受到管理。這類憑證可以輕鬆安裝在與 ACM 整合的 服務中。如果 CA 管理員允許，且發行者的帳戶具有適用於 ACM [的服務連結角色](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)，則受管憑證會在過期時自動續約。

**Topics**
+ [為 IAM 使用者建立單一帳戶許可](assign-permissions.md)
+ [連接跨帳戶存取的政策](pca-ram.md)

# 為 IAM 使用者建立單一帳戶許可
<a name="assign-permissions"></a>

當 CA 管理員 （即 CA 擁有者） 和憑證發行者位於單一 AWS 帳戶中時，[最佳實務](ca-best-practices.md)是建立具有有限許可的 AWS Identity and Access Management (IAM) 使用者來區隔發行者和管理員角色。如需搭配 使用 IAM AWS 私有 CA以及範例許可的詳細資訊，請參閱 [的 Identity and Access Management (IAM) AWS 私有憑證授權單位](security-iam.md)。

**單一帳戶案例 1：發行未受管憑證**  
在此情況下，帳戶擁有者會建立私有 CA，然後建立具有許可的 IAM 使用者，以發行私有 CA 簽署的憑證。IAM 使用者透過呼叫 `IssueCertificate` API AWS 私有 CA 發出憑證。

![\[發行未受管憑證\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/ca_access_1_account_pca_api.png)


以這種方式發行的憑證不受管理，這表示管理員必須匯出憑證，並將其安裝在要使用它們的裝置上。它們也必須在過期時手動續約。使用此 API 發行憑證需要 [OpenSSL](https://www.openssl.org/) 或類似程式 AWS 私有 CA 在 外部產生的憑證簽署請求 (CSR) 和金鑰對。如需詳細資訊，請參閱 `IssueCertificate` [文件](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html)。

**單一帳戶案例 2：透過 ACM 發行受管憑證**  
第二個案例涉及來自 ACM 和 PCA 的 API 操作。帳戶擁有者會像以前一樣建立私有 CA 和 IAM 使用者。帳戶擁有者接著會將[許可授予](create-CA.md#PcaCreateAcmPerms) ACM 服務主體，以自動續約此 CA 簽署的任何憑證。IAM 使用者再次發出憑證，但這次呼叫處理 CSR 和金鑰產生的 ACM `RequestCertificate` API。當憑證過期時，ACM 會自動執行續約工作流程。

![\[發行受管憑證\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/ca_access_1_account_acm_api.png)


帳戶擁有者可以選擇在建立 CA 期間或之後，或使用 PCA `CreatePermission` API，透過管理主控台授予續約許可。從此工作流程建立的受管憑證可在 上使用與 ACM 整合的 AWS 服務。

下一節包含授予續約許可的程序。

## 將憑證續約許可指派給 ACM
<a name="PcaPermissions"></a>

在 AWS Certificate Manager (ACM) 中使用[受管續約](https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html)，您可以自動化公有和私有憑證的憑證續約程序。為了讓 ACM 自動續約私有 CA 產生的憑證，ACM 服務主體必須由 *CA 本身*授予所有可能的許可。如果 ACM 沒有這些續約許可，則 CA 的擁有者 （或授權代表） 必須在憑證過期時手動重新發行每個私有憑證。

**重要**  
指派續約許可的這些程序僅適用於 CA 擁有者和憑證發行者位於相同 AWS 帳戶中的情況。如需跨帳戶案例，請參閱 [連接跨帳戶存取的政策](pca-ram.md)。

您可以在[建立私有 CA](create-CA.md) 的期間，或是在其之後 CA 處於 `ACTIVE` 狀態的任何時間委派續約許可。

您可以透過 [AWS 私有 CA 主控台](https://console.aws.amazon.com/acm-pca)、[AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/reference/)，或 [AWS 私有 CA API](https://docs.aws.amazon.com/privateca/latest/APIReference/) 來管理私有 CA 許可：

**將私有 CA 許可指派給 ACM （主控台）**

1. 登入 AWS 您的帳戶，並在 https：//[https://console.aws.amazon.com/acm-pca/home](https://console.aws.amazon.com/acm-pca/home) 開啟 AWS 私有 CA 主控台。

1. 在**私有憑證授權單位頁面上**，從清單中選擇私有 CA。

1. 選擇**動作**、**設定 CA 許可**。

1. 選取**授權 ACM 存取以續約此帳戶請求的憑證**。

1. 選擇**儲存**。

**在 AWS 私有 CA (AWS CLI) 中管理 ACM 許可**  
使用 [create-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/create-permission.html) 命令將許可指派給 ACM。您必須指派必要的許可 (`IssueCertificate`、 `GetCertificate`和 `ListPermissions`)，ACM 才能自動續約您的憑證。

```
$ aws acm-pca create-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --actions IssueCertificate GetCertificate ListPermissions \
     --principal acm.amazonaws.com
```

使用 [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/list-permissions.html) 命令來列出 CA 委派的許可。

```
$ aws acm-pca list-permissions \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID
```

使用 [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-permission.html) 命令撤銷 CA 指派給 AWS 服務主體的許可。

```
$ aws acm-pca delete-permission \
     --certificate-authority-arn arn:aws:acm-pca:region:account:certificate-authority/CA_ID \
     --principal acm.amazonaws.com
```

# 連接跨帳戶存取的政策
<a name="pca-ram"></a>

當 CA 管理員和憑證發行者位於不同的 AWS 帳戶中時，CA 管理員必須共用 CA 存取權。這可透過將資源型政策連接至 CA 來完成。政策會將發行許可授予特定委託人，該委託人可以是 AWS 帳戶擁有者、IAM 使用者、 AWS Organizations ID 或組織單位 ID。

CA 管理員可以透過下列方式連接和管理政策：
+ 在 管理主控台中，使用 AWS Resource Access Manager (RAM)，這是跨帳戶共用 AWS 資源的標準方法。當您在 中 AWS RAM 與其他帳戶中的委託人共用 CA 資源時，所需的資源型政策會自動連接到 CA。如需 RAM 的詳細資訊，請參閱[AWS RAM 《 使用者指南》](https://docs.aws.amazon.com/ram/latest/userguide/)。
**注意**  
您可以選擇 CA，然後選擇**動作**、**管理資源共享**，即可輕鬆開啟 RAM 主控台。
+ 以程式設計方式使用 PCA APIs[PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)、[GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html) 和 [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html)。
+ 手動使用 中的 PCA 命令 [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)、[get-policy ](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html)和 [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) AWS CLI。

只有主控台方法需要 RAM 存取。

**跨帳戶案例 1：從主控台發行受管憑證**  
在此情況下，CA 管理員會使用 AWS Resource Access Manager (AWS RAM) 與其他 AWS 帳戶共用 CA 存取權，以允許該帳戶發行受管 ACM 憑證。圖表顯示 AWS RAM 可以直接與帳戶共用 CA，或透過帳戶為成員的 AWS Organizations ID 間接共用 CA。

![\[使用主控台發行跨帳戶\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/ca_access_2_accounts_console.png)


RAM 透過 共用資源後 AWS Organizations，收件人委託人必須接受資源才能生效。收件人可以設定 AWS Organizations 自動接受提供的共用。

**注意**  
收件人帳戶負責在 ACM 中設定自動續約。一般而言，在第一次使用共用 CA 時，ACM 會安裝服務連結角色，允許它在 上進行自動憑證呼叫 AWS 私有 CA。如果失敗 （通常是因為缺少許可），則不會自動續約 CA 的憑證。只有 ACM 使用者可以解決問題，而不是 CA 管理員。如需詳細資訊，請參閱[搭配 ACM 使用服務連結角色 (SLR)](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)。

**跨帳戶案例 2：使用 API 或 CLI 發行受管和未受管憑證**  
第二個案例示範可使用 和 AWS 私有 CA API 的共用 AWS Certificate Manager 和發行選項。所有這些操作也可以使用對應的 AWS CLI 命令來執行。

![\[使用 APIs發行跨帳戶\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png)


由於在此範例中直接使用 API 操作，憑證發行者可以選擇兩種 API 操作來發行憑證。PCA API 動作`IssueCertificate`會產生未受管憑證，不會自動續約，且必須匯出並手動安裝。ACM API 動作 [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) 會產生可輕易安裝在 ACM 整合服務上的受管憑證，並自動續約。

**注意**  
收件人帳戶負責在 ACM 中設定自動續約。一般而言，在第一次使用共用 CA 時，ACM 會安裝服務連結角色，允許它在 上進行無人看管憑證呼叫 AWS 私有 CA。如果失敗 （通常是由於缺少許可），則 CA 的憑證不會自動續約，只有 ACM 使用者可以解決問題，而不是 CA 管理員。如需詳細資訊，請參閱[搭配 ACM 使用服務連結角色 (SLR)](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)。