AWS 私有 CA 现在支持客户托管权限以实现跨账户共享

发布于: 2026年4月9日

在 AWS Resource Access Manager（AWS RAM）中，AWS 私有证书颁发机构（AWS 私有 CA）现在支持客户托管权限。AWS 私有 CA 允许您使用 AWS RAM 跨账户共享证书颁发机构（CA），这样您就可以集中管理您的 PKI，而不必在每个账户中创建单独的 CA。有了客户托管权限，您现在可以精确选择共享 CA 时允许哪些 AWS 私有 CA API 操作，只授权每个消费账户执行所需的特定操作。

以前，您只能使用 AWS 托管权限，这些权限提供预定义的操作集，并仅允许跨账户颁发机构使用特定证书模板。现在，您可以从读取操作（例如 DescribeCertificateAuthority、GetCertificate 和 GetCertificateAuthorityCertificate）和写入操作（例如 IssueCertificate 和 RevokeCertificate）中进行选择，为每个消费账户或组织单元量身定制访问权限。有了客户托管权限，跨账户颁发机构不再只能使用特定证书模板。

AWS 私有 CA 客户托管权限已在提供 AWS 私有 CA 和 AWS RAM 的所有 AWS 区域推出。要了解更多信息，请参阅《AWS 私有 CA 用户指南》中的 RAM 中的客户托管权限和《AWS RAM 用户指南》中的创建和使用客户托管权限。