Eingebundene Richtlinien - AWS Private Certificate Authority
Private Zertifizierungsstellen auflistenEin privates CA-Zertifikat wird abgerufenEin privates CA-Zertifikat importierenLöschen einer privaten CATag-on-create: Hinzufügen von Tags an eine CA zum Zeitpunkt der ErstellungTag-on-create: Eingeschränktes TaggingSteuern des Zugriffs auf Private CA mithilfe von Tags Nur-Lese-Zugriff auf AWS Private CAVoller Zugriff auf AWS Private CAAdministratorzugriff auf alle AWS -Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Eingebundene Richtlinien

Eingebundene Richtlinien sind Richtlinien, die Sie erstellen und verwalten und die Sie direkt in einen Benutzer, eine Gruppe oder Rolle einbetten. Die folgenden Richtlinienbeispiele zeigen, wie Sie Berechtigungen zur Durchführung von AWS Private CA Aktionen zuweisen. Allgemeine Informationen zu Inline-Richtlinien finden Sie unter Arbeiten mit Inline-Richtlinien im IAM-Benutzerhandbuch. Sie können die AWS Management Console, AWS Command Line Interface (AWS CLI) oder die IAM-API verwenden, um Inline-Richtlinien zu erstellen und einzubetten.

Wichtig

Wir empfehlen dringend, bei jedem Zugriff die Multi-Faktor-Authentifizierung (MFA) zu verwenden. AWS Private CA

Private Zertifizierungsstellen auflisten

Mit der folgenden Richtlinie können Benutzer alle privaten Zertifizierungsstellen in einem Konto auflisten. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

Ein privates CA-Zertifikat wird abgerufen

Mit der folgenden Richtlinie können Benutzer ein bestimmtes privates Zertifizierungsstellenzertifikat abrufen. 

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Ein privates CA-Zertifikat importieren

Mit der folgenden Richtlinie kann ein Benutzer ein privates Zertifizierungsstellenzertifikat importieren. 

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Löschen einer privaten CA

Mit der folgenden Richtlinie können Benutzer eine bestimmte private Zertifizierungsstelle löschen.

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Tag-on-create: Hinzufügen von Tags an eine CA zum Zeitpunkt der Erstellung

Die folgende Richtlinie ermöglicht es einem Benutzer, während der Erstellung der CA Tags anzuwenden.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: Eingeschränktes Tagging

Die folgende tag-on-create Richtlinie verhindert die Verwendung des Schlüssel-Wert-Paars Environment=Prod bei der Erstellung einer Zertifizierungsstelle. Das Markieren mit anderen Schlüssel-Wert-Paaren ist zulässig. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

Steuern des Zugriffs auf Private CA mithilfe von Tags

Die folgende Richtlinie erlaubt nur den Zugriff auf CAs mit dem Schlüssel-Wert-Paar Environment=. PreProd Außerdem müssen neue Zertifizierungsstellen dieses Tag enthalten. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

Nur-Lese-Zugriff auf AWS Private CA

Mit der folgenden Richtlinie können Benutzer private Zertifizierungsstellen beschreiben und auflisten sowie das private CA-Zertifikat und die Zertifikatkette abrufen. 

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

Voller Zugriff auf AWS Private CA

Die folgende Richtlinie ermöglicht es einem Benutzer, jede AWS Private CA Aktion auszuführen. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}

Administratorzugriff auf alle AWS -Ressourcen

Die folgende Richtlinie ermöglicht es einem Benutzer, jede Aktion auf einer beliebigen AWS Ressource auszuführen. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"*",
         "Resource":"*"
      }
   ]
}