Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de claves de condición con ACM
AWS Certificate Manager utiliza claves de condición de AWS Identity and Access Management (IAM) para limitar el acceso a las solicitudes de certificados. Con las claves de condición de las políticas de IAM o las políticas de control de servicio (SCP), puede crear solicitudes de certificados que se ajusten a las directrices de su organización.
nota
Combine las claves de condición de ACM con las claves de condición globales de AWS, como aws:PrincipalArn, para restringir aún más las acciones a usuarios o roles específicos.
Condiciones compatibles con ACM
Utilice las barras de desplazamiento para ver el resto de la tabla.
Operaciones de la API de ACM y condiciones compatibles | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Clave de condición | Operaciones de la API de ACM compatibles | Tipo | Descripción | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Cadena ( |
Filtra las solicitudes en función del método de validación de ACM |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
ArrayOfString |
Filtra en función de los nombres de dominio en la solicitud de ACM |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Cadena |
Filtra las solicitudes en función del tamaño y algoritmo de clave de ACM |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
Cadena ( |
Filtra las solicitudes en función de la preferencia de registro de transparencia del certificado de ACM |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
ARN |
Filtra las solicitudes en función de las entidades de certificación en la solicitud de ACM |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Ejemplo 1: Restringir el método de validación
La siguiente política deniega las solicitudes de certificados nuevas mediante el método de Validación por correo electrónico, excepto en el caso de una solicitud que se realiza mediante el rol arn:aws:iam::123456789012:role/AllowedEmailValidation.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringLike" : { "acm:ValidationMethod":"EMAIL" }, "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"] } } } }
Ejemplo 2: Evitar los dominios comodín
La siguiente política deniega cualquier solicitud de certificado de ACM nueva que utilice dominios comodín.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition": { "ForAnyValue:StringLike": { "acm:DomainNames": [ "${*}.*" ] } } } }
Ejemplo 3: Restringir los dominios de certificados
La siguiente política deniega cualquier solicitud de certificado de ACM nueva para dominios que no terminen con *.amazonaws.com.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition": { "ForAnyValue:StringNotLike": { "acm:DomainNames": ["*.amazonaws.com"] } } } }
La política podría restringirse aún más a subdominios específicos. Esta política solo permitiría solicitudes en las que cada dominio coincida con al menos uno de los nombres de dominio condicionales.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition": { "ForAllValues:StringNotLike": { "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"] } } } }
Ejemplo 4: Restringir los algoritmos de clave
La siguiente política utiliza la clave de condición StringNotLike para permitir solo los certificados que se soliciten con el algoritmo de clave ECDSA de 384 bits (EC_secp384r1).
{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringNotLike" : { "acm:KeyAlgorithm":"EC_secp384r1" } } } }
La siguiente política utiliza la clave de condición StringLike y el comodín * coincidente para evitar las solicitudes de certificados nuevos en ACM con cualquier algoritmo de clave RSA.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringLike" : { "acm:KeyAlgorithm":"RSA*" } } } }
Ejemplo 5: Restringir la entidad de certificación
La siguiente política solo permitiría las solicitudes de certificados privados mediante el ARN de la entidad de certificación privada (PCA) proporcionado.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringNotLike": { "acm:CertificateAuthority":"arn:aws:acm-pca:" } } } }region:account:certificate-authority/CA_ID
Esta política utiliza la condición acm:CertificateAuthority para permitir solo las solicitudes de certificados de confianza públicos que emite Amazon Trust Services. Configurar el ARN de la entidad de certificación en false evita las solicitudes de certificados privados de la PCA.
{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "Null" : { "acm:CertificateAuthority":"false" } } } }
