如何与其他 AWS 账户共享我的 ACM 私有证书颁发机构?

上次更新日期:2022 年 6 月 21 日

我在一个 AWS 账户中创建了 AWS Certificate Manager (ACM) 私有证书颁发机构 (ACM PCA)。我能否将其与其他 AWS 账户共享以颁发证书?

简短描述

您可以使用 AWS Resource Access Manager (AWS RAM) 创建资源共享,以便与其他 AWS 账户共享 ACM PCA。此外,您还可以与以下人员共享 ACM PCA:

  • 其他主体,例如 AWS Identify and Access Management (IAM) 用户和 IAM 角色。
  • 组织部门 (OU)。
  • 您的账户所属的整个 AWS 组织。

共享您的 ACM PCA 可允许其他账户中的用户和角色颁发由共享 PCA 签名的私有 x509 证书。

解决方案

在您的 ACM PCA 所在的账户中创建 AWS RAM 共享。

示例

账户 A 中已有 ACM PCA。您想与账户 B 共享此 ACM PCA。

  1. 在账户 A 中,于 AWS RAM 中创建资源共享。有关详细说明,请参阅创建资源共享中的控制台说明。
    注意:步骤 2:将权限与每种资源类型关联中,选择要颁发的证书类型的对应权限。例如:
    要使用默认证书模板 arn:aws:acm-pca:::template/EndEntityCertificate/V1 颁发最终实体证书:选择默认权限 AWSRAMDefaultPermissionCertificateAuthority
    要使用证书模板 arn:aws:acm-pca:::template/SubordinateCACertificate_PathLen0/V1 颁发从属证书 (PathLen0):选择 AWSRAMSubordinateCACertificatePathLen0IssuanceCertificateAuthority
  2. 接受共享账户(本例中为账户 B)中的共享资源。如果您与 AWS Organizations(已启用 AWS Organization 内的资源共享),则可以跳到步骤 6。
  3. 在共享账户(本例中为账户 B)中,在与步骤 1 相同的区域中打开 AWS RAM 控制台
  4. 与我共享下,选择资源共享。您会看到待处理的共享邀请。
  5. 选择共享资源的名称,然后选择接受资源共享。接受共享后,该共享将列为活动
  6. 在共享账户(本例中为账户 B)中,打开 PCA 所在区域的 ACM PCA 控制台。您可以在自己的账户中看到共享 PCA。您可以开始使用共享 PCA 颁发私有 x509 证书

这篇文章对您有帮助吗?


您是否需要账单或技术支持?