本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 連接跨帳戶存取的政策 當 CA 管理員和憑證發行者位於不同的 AWS 帳戶中時,CA 管理員必須共用 CA 存取權。這可透過將資源型政策連接至 CA 來完成。政策會將發行許可授予特定委託人,該委託人可以是 AWS 帳戶擁有者、IAM 使用者、 AWS Organizations ID 或組織單位 ID。 CA 管理員可以透過下列方式連接和管理政策: + 在 管理主控台中,使用 AWS Resource Access Manager (RAM),這是跨帳戶共用 AWS 資源的標準方法。當您在 中 AWS RAM 與其他帳戶中的委託人共用 CA 資源時,所需的資源型政策會自動連接到 CA。如需 RAM 的詳細資訊,請參閱[AWS RAM 《 使用者指南》](https://docs.aws.amazon.com/ram/latest/userguide/)。 **注意** 您可以選擇 CA,然後選擇**動作**、**管理資源共享**,即可輕鬆開啟 RAM 主控台。 + 以程式設計方式使用 PCA APIs[PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)、[GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html) 和 [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html)。 + 手動使用 中的 PCA 命令 [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)、[get-policy ](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html)和 [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html) AWS CLI。 只有主控台方法需要 RAM 存取。 **跨帳戶案例 1:從主控台發行受管憑證** 在此情況下,CA 管理員會使用 AWS Resource Access Manager (AWS RAM) 與其他 AWS 帳戶共用 CA 存取權,以允許該帳戶發行受管 ACM 憑證。圖表顯示 AWS RAM 可以直接與帳戶共用 CA,或透過帳戶為成員的 AWS Organizations ID 間接共用 CA。 ![\[使用主控台發行跨帳戶\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/ca_access_2_accounts_console.png) RAM 透過 共用資源後 AWS Organizations,收件人委託人必須接受資源才能生效。收件人可以設定 AWS Organizations 自動接受提供的共用。 **注意** 收件人帳戶負責在 ACM 中設定自動續約。一般而言,在第一次使用共用 CA 時,ACM 會安裝服務連結角色,允許它在 上進行自動憑證呼叫 AWS 私有 CA。如果失敗 (通常是因為缺少許可),則不會自動續約 CA 的憑證。只有 ACM 使用者可以解決問題,而不是 CA 管理員。如需詳細資訊,請參閱[搭配 ACM 使用服務連結角色 (SLR)](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)。 **跨帳戶案例 2:使用 API 或 CLI 發行受管和未受管憑證** 第二個案例示範可使用 和 AWS 私有 CA API 的共用 AWS Certificate Manager 和發行選項。所有這些操作也可以使用對應的 AWS CLI 命令來執行。 ![\[使用 APIs發行跨帳戶\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/ca_access_2_accounts_api_options.png) 由於在此範例中直接使用 API 操作,憑證發行者可以選擇兩種 API 操作來發行憑證。PCA API 動作`IssueCertificate`會產生未受管憑證,不會自動續約,且必須匯出並手動安裝。ACM API 動作 [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) 會產生可輕易安裝在 ACM 整合服務上的受管憑證,並自動續約。 **注意** 收件人帳戶負責在 ACM 中設定自動續約。一般而言,在第一次使用共用 CA 時,ACM 會安裝服務連結角色,允許它在 上進行無人看管憑證呼叫 AWS 私有 CA。如果失敗 (通常是由於缺少許可),則 CA 的憑證不會自動續約,只有 ACM 使用者可以解決問題,而不是 CA 管理員。如需詳細資訊,請參閱[搭配 ACM 使用服務連結角色 (SLR)](https://docs.aws.amazon.com/acm/latest/userguide/acm-slr.html)。