Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Eingebundene Richtlinien
Eingebundene Richtlinien sind Richtlinien, die Sie erstellen und verwalten und die Sie direkt in einen Benutzer, eine Gruppe oder Rolle einbetten. Die folgenden Richtlinienbeispiele zeigen, wie Sie Berechtigungen zur Durchführung von AWS Private CA Aktionen zuweisen. Allgemeine Informationen zu Inline-Richtlinien finden Sie unter Arbeiten mit Inline-Richtlinien im IAM-Benutzerhandbuch. Sie können die AWS Management Console, AWS Command Line Interface (AWS CLI) oder die IAM-API verwenden, um Inline-Richtlinien zu erstellen und einzubetten.
Wichtig
Wir empfehlen dringend, bei jedem Zugriff die Multi-Faktor-Authentifizierung (MFA) zu verwenden. AWS Private CA
Themen
- Private Zertifizierungsstellen auflisten
- Ein privates CA-Zertifikat wird abgerufen
- Ein privates CA-Zertifikat importieren
- Löschen einer privaten CA
- Tag-on-create: Hinzufügen von Tags an eine CA zum Zeitpunkt der Erstellung
- Tag-on-create: Eingeschränktes Tagging
- Steuern des Zugriffs auf Private CA mithilfe von Tags
- Nur-Lese-Zugriff auf AWS Private CA
- Voller Zugriff auf AWS Private CA
- Administratorzugriff auf alle AWS -Ressourcen
Private Zertifizierungsstellen auflisten
Mit der folgenden Richtlinie können Benutzer alle privaten Zertifizierungsstellen in einem Konto auflisten.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:ListCertificateAuthorities", "Resource":"*" } ] }
Ein privates CA-Zertifikat wird abgerufen
Mit der folgenden Richtlinie können Benutzer ein bestimmtes privates Zertifizierungsstellenzertifikat abrufen.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:GetCertificateAuthorityCertificate", "Resource":"arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" } }
Ein privates CA-Zertifikat importieren
Mit der folgenden Richtlinie kann ein Benutzer ein privates Zertifizierungsstellenzertifikat importieren.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:ImportCertificateAuthorityCertificate", "Resource":"arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" } }
Löschen einer privaten CA
Mit der folgenden Richtlinie können Benutzer eine bestimmte private Zertifizierungsstelle löschen.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:DeleteCertificateAuthority", "Resource":"arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" } }
Tag-on-create: Hinzufügen von Tags an eine CA zum Zeitpunkt der Erstellung
Die folgende Richtlinie ermöglicht es einem Benutzer, während der Erstellung der CA Tags anzuwenden.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "acm-pca:CreateCertificateAuthority", "acm-pca:TagCertificateAuthority" ], "Effect": "Allow", "Resource": "*" } ] }
Tag-on-create: Eingeschränktes Tagging
Die folgende tag-on-create Richtlinie verhindert die Verwendung des Schlüssel-Wert-Paars Environment=Prod bei der Erstellung einer Zertifizierungsstelle. Das Markieren mit anderen Schlüssel-Wert-Paaren ist zulässig.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:*", "Resource":"*" }, { "Effect":"Deny", "Action":"acm-pca:TagCertificateAuthority", "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/Environment":[ "Prod" ] } } } ] }
Steuern des Zugriffs auf Private CA mithilfe von Tags
Die folgende Richtlinie erlaubt nur den Zugriff auf CAs mit dem Schlüssel-Wert-Paar Environment=. PreProd Außerdem müssen neue Zertifizierungsstellen dieses Tag enthalten.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/Environment":[ "PreProd" ] } } } ] }
Nur-Lese-Zugriff auf AWS Private CA
Mit der folgenden Richtlinie können Benutzer private Zertifizierungsstellen beschreiben und auflisten sowie das private CA-Zertifikat und die Zertifikatkette abrufen.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:DescribeCertificateAuthorityAuditReport", "acm-pca:ListCertificateAuthorities", "acm-pca:ListTags", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:GetCertificateAuthorityCsr", "acm-pca:GetCertificate" ], "Resource":"*" } }
Voller Zugriff auf AWS Private CA
Die folgende Richtlinie ermöglicht es einem Benutzer, jede AWS Private CA Aktion auszuführen.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:*" ], "Resource":"*" } ] }
Administratorzugriff auf alle AWS -Ressourcen
Die folgende Richtlinie ermöglicht es einem Benutzer, jede Aktion auf einer beliebigen AWS Ressource auszuführen.
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"*", "Resource":"*" } ] }