[英]Create VPCPeeringConnection across AWS accounts via CloudFormation
[英]How to create and validate an AWS public certificate on a new subdomain (across AWS accounts)?
我可以访问属于某个客户的多个 AWS 账户,并希望使用 DNS 验证设置公共证书。 我相信这意味着我也需要设置 DNS。
我有两个帐户:
新的证书/DNS 应为:
gatekeeper.s.aws.example.com
这是在帐户dsc-staging
中设置的。 我已经完成了“DNS 验证”选项,它说它正在等待中。 首先,在任何一个帐户中都没有此名称的 DNS,所以如果这样下去,最终会失败。
因此,在同一个帐户中,我在 Route 53 中创建了一个 HostedZone,它创建了默认的 NS 和 SOA 记录。
现在,在另一个帐户eds-staging
中,存在以下记录:
s.aws.example.internal
(NS 记录,单个值中有四行)s.aws.example.internal
(SOA 记录)我在这里添加了验证记录,作为 CNAME。 (我被告知可以将验证记录放在本地 Route 53 中,但我现在选择在这里进行)。
现在,我认为我需要通知 AWS 如何将gatekeeper.s.aws.example.com
与已知的内部名称s.aws.example.internal
连接起来,该名称已经存在并被其他事物使用。 我相信将两者联系起来的过程称为“委托”。 我收到了一些指示,从本地帐户获取gatekeeper.s.aws.example.com
的 NS 记录,并将它们复制到另一个帐户的父域s.aws.example.internal
。
但是,Route 53 中的 AWS UI 似乎不允许添加另一条 NS 记录——是因为一条已经存在吗? 如果是这样,我可以将我的四条记录添加到现有的四条记录下(即在同一条记录中)吗?
我相信,如果我连接这个 DNS 使其可解析,证书将自动变为可验证,这将自动发生。 这个假设正确吗?
我会这样分解:
将域注册或转移到您的 AWS 主账单账户。 这是注册域的唯一帐户。
在每个子帐户(例如 dev prod)中,为步骤 1 中配置的顶级域创建一个 R53 托管区域。确保在此处将步骤 1 中的 NS 服务器分配给该区域。 密切注意他们同意服务器的名称和数量 - 通常是 4。
为根和通配符域 EG example.com 和 *.example.com 创建 ACM 证书请求。 请求 DNS 验证。 这里的关键是包括通配符。 这意味着它适用于域中的任何主机名。
在 ACM 中,请求服务为您创建 R53 验证 DNS 记录。 仅当您在同一帐户中完成了第 2 步时,才有可能这样做。
等待批准。 可能需要几分钟,到一整天。 每隔一小时左右检查一次。
如果严格遵循此过程,将始终提供适用于任何 AWS 支持的服务的经过验证的 ACM 证书,包括根域及其下的任何子主机。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.