本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 规划适应能力 AWS 私有 CA
<a name="disaster-recovery-resilience"></a>

 AWS 全球基础设施是围绕 AWS 区域和可用区构建的。 AWS 区域提供多个物理隔离和隔离的可用区，这些可用区通过低延迟、高吞吐量和高度冗余的网络相连。利用可用区，您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比，可用区具有更高的可用性、容错能力和可扩展性。

有关 AWS 区域和可用区的更多信息，请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。

## 冗余和灾难恢复
<a name="disaster-recovery"></a>

在规划 CA 层次结构时，请考虑冗余和灾难恢复。 AWS 私有 CA 在多个[区域](https://docs.aws.amazon.com/general/latest/gr/pca.html)中可用，这允许您在多个区域 CAs 中创建冗余。该 AWS 私有 CA 服务按照 99.9% 可用性的[服务级别协议](https://aws.amazon.com/certificate-manager/private-certificate-authority/sla/) (SLA) 运行。您至少有两种方法可以考虑用于冗余和灾难恢复。您可以在根 CA 或最高从属 CA 配置冗余。每种方法都各有优缺点。

1. 您可以在两个不同的 AWS 区域 CAs 中创建两个根以实现冗余和灾难恢复。使用此配置，每个根 CA 可以在一个 AWS 区域中独立运行，从而在发生单区域灾难时为您提供保护。但是，创建冗余根 CAs 确实会增加操作的复杂性：您需要将根 CA 证书分发到环境中浏览器和操作系统的信任存储区。

1. 您还可以创建冗余的从属服务器 CAs 以部署在每个 AWS 区域，并将它们链接到单个 AWS 区域中同一个唯一的根 CA。此方法的好处是，您只需要将单个根 CA 证书分发给环境中的信任存储。限制在于，如果发生影响您的根 CA 所在 AWS 区域的灾难，则您没有冗余的根 CA。