发布于: Aug 17, 2020
AWS Certificate Manager (ACM) 私有证书颁发机构 (CA) 现在支持与任何 AWS 账户或在您的组织内共享私有 CA。客户可以管理中心账户中的私有 CA,并可以使用 AWS Resource Access Manager (RAM) 与将获颁 SSL/TLS 证书的其他账户或组织共享此 CA。这消除了在多账户环境中为每个账户提供重复资源的需要,从而降低了管理每个帐户中相应资源的成本和复杂性。
利用 RAM,客户可以与账户或 AWS 组织共享 CA。将 CA 共享与 AWS Certificate Manager 配合使用,指定的账户所有者便可以轻松地对共享私有 CA 中的私有证书进行预置、管理和部署。AWS Certificate Manager 可以自动续订和部署用于 ACM 集成服务(如 Elastic Load Balancing 和 API Gateway)的私有证书。ACM 私有 CA 提供 API 来自动创建和续订本地资源、EC2 实例和 IoT 设备的私有证书。或者,客户可以直接从指定账户调用私有 CA 来颁发证书。客户将 CA 保存在安全的中心账户并且只共享向他人颁发证书的能力即可遵守安全最佳实践。这有助于实现 CA 管理员功能(如 CA 的配置、审核和管理)与操作员操作(仅需颁发证书的访问权限)的分离。跨账户共享通过使用跨组织共享的单个 CA 来降低跨账户部署的 CA 拥有成本。 这项功能与 AWS App Mesh 和 Amazon Managed Streaming for Apache Kafka 等集成服务一起使用
ACM 私有 CA 是一种托管的私有 CA 服务,可帮助您以安全方式轻松管理私有证书的生命周期。ACM 私有 CA 为您提供高度可用的私有 CA 服务,而无需前期投资和操作私有 CA 所需的持续维护费用。ACM 私有 CA 将 ACM 的证书管理功能扩展到私有证书,从而使您能够集中管理公有证书和私有证书。
有关可使用 ACM 私有 CA 的区域列表,请参阅 AWS 区域和终端节点。
请访问 ACM 私有 CA 文档,以了解有关共享私有 CA 的更多信息。阅读这篇关于配置跨账户 CA 共享的 AWS 安全性博客,以便进行逐步配置。要开始使用,第一次使用 ACM 私有 CA 的客户可以免费试用该服务 30 天,以运行他们的第一个 CA。要了解有关 ACM 私有 CA 的更多信息,请访问 ACM 私有 CA 网站。