本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 中規劃彈性 AWS 私有 CA
<a name="disaster-recovery-resilience"></a>

 AWS 全球基礎設施是以 AWS 區域和可用區域為基礎建置。 AWS 區域提供多個實體分隔和隔離的可用區域，這些可用區域以低延遲、高輸送量和高備援聯網連接。透過可用區域，您可以設計與操作的應用程式和資料庫，在可用區域之間自動容錯移轉而不會發生中斷。可用區域的可用性、容錯能力和擴展能力，均較單一或多個資料中心的傳統基礎設施還高。

如需 AWS 區域和可用區域的詳細資訊，請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。

## 備援和災難復原
<a name="disaster-recovery"></a>

在規劃 CA 階層時，請考慮備援和 DR。 AWS 私有 CA 可在多個[區域中](https://docs.aws.amazon.com/general/latest/gr/pca.html)使用，這可讓您在多個區域中建立備援 CAs。 AWS 私有 CA 服務以 99.9% 可用性[的服務水準協議](https://aws.amazon.com/certificate-manager/private-certificate-authority/sla/) (SLA) 運作。至少有兩種方法可供您考量備援和災難復原。您可以在根 CA 或最高次級 CA 設定備援。每種方法都有優缺點。

1. 您可以在兩個不同的 AWS 區域中建立兩個根 CAs，以進行備援和災難復原。使用此組態，每個根 CA 會在 區域中獨立運作 AWS ，在發生單一區域災難時保護您。不過，建立備援根 CA 會增加操作複雜性：您必須將這兩個根 CA 憑證分配至您環境中瀏覽器和作業系統的信任存放區。

1. 您也可以建立備援次級 CAs 以在每個 AWS 區域中部署，並將其連結到單一 AWS 區域中的相同唯一根 CA。採用這種方法的好處是，您只需要將單一根 CA 憑證分配至環境中的信任存放區即可。限制是發生會影響根 CA 所在 AWS 區域的災難時，您沒有備援根 CA。