AWS 私有证书颁发机构文档

AWS 私有证书颁发机构（Private CA）是一项高度可用的托管式私有证书颁发机构（CA）服务。借助 AWS Private CA，您可以创建私有证书，以便识别资源和保护数据。使用 AWS Private CA 可以帮助您避免中断并提高正常运行时间，方法是使用 API 调用、AWS CLI 命令或 AWS CloudFormation 模板自动执行 CA 和证书管理。

该服务的 API 允许开发人员自定义和部署私有证书，管理员可以使用 AWS Private CA 创建完全基于云的 CA 层次结构或结合云和本地 CA 的混合层次结构。AWS Private CA 是一种加密敏捷服务，除了硬件保护的私钥外，还具有不同的密钥算法和密钥大小。 

AWS Private CA 为您的使用案例提供具有不同功能和定价的模式。AWS Private CA 的模式说明详见此处。AWS Private CA 模式的当前定价信息，请参阅 AWS Private CA 定价页面。

AWS Private CA 旨在保护和管理 CA 在签署证书时使用的密钥。AWS Private CA 使用 HSM，这些 HSM 遵循 FIPS 140-2 安全标准，以帮助保护您的私有 CA 免受密钥损害。

您可以使用 IAM 策略控制对 AWS Private CA 的访问。您可以创建策略，以授予负责 CA 管理的 IT 管理员完全访问权限以创建和配置私有 CA，同时授予仅需要颁发和撤销证书的开发人员和用户有限的访问权限。

AWS Private CA 允许您自定义私有证书，以满足组织身份或数据保护安全要求的需求。AWS Private CA 支持可自定义的名称，以及标准和非标准扩展。

您可以使用 AWS Private CA 跨组织或 AWS 账户共享 CA，以避免在每个 AWS 账户中创建和管理多个 CA 导致的成本和复杂工作。您可以通过 AWS Resource Access Manager（RAM）创建资源共享，其中包括您的私有 CA，并与一组账户或 AWS Organizations 相关联。此功能允许包含的账户通过与 AWS Certificate Manager（ACM）的集成，从共享 CA 签发私有证书。注意：ACM 无法颁发短期证书。

通过 AWS Private CA 与 AWS CloudTrail 的集成，您可以创建包括由 CA 签发的所有证书的状态的审计报告。CloudTrail 从 AWS Private CA 控制台、AWS 命令行界面（CLI）或您的代码捕获 API 调用，并将日志文件传输到您的 Amazon Simple Storage Service（S3）存储桶。

有关服务控制、安全特征和功能的更多信息，包括有关存储、检索、修改、限制和删除数据的信息（如适用），请参阅 https://docs.aws.amazon.com/index.html。就 http://aws.amazon.com/agreement 上的 AWS 客户协议或您与 AWS 之间签订的管理您使用 AWS 服务的其他协议而言，这些附加信息不构成文档的一部分。