Políticas insertadas - AWS Private Certificate Authority
Mostrar las CA privadasRecuperar el certificado de una CA privadaImportar el certificado de una CA privadaEliminar una CA privadaTag-on-create: Adjuntar etiquetas a una CA en el momento de su creaciónTag-on-create: Etiquetado restringidoControlar el acceso a una CA privada usando etiquetas Acceso de solo lectura a Autoridad de certificación privada de AWSAcceso completo a Autoridad de certificación privada de AWSAcceso de administrador a todos los recursos de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas insertadas

Las políticas insertadas son aquellas que se crean, administran e integran directamente en un usuario, grupo o función. Los siguientes ejemplos de políticas muestran cómo asignar permisos para realizar acciones Autoridad de certificación privada de AWS . Para obtener información general sobre las políticas insertadas, consulte Uso de políticas insertadas en la Guía del usuario de IAM. Puede usar la API AWS Management Console, la AWS Command Line Interface (AWS CLI) o la API de IAM para crear e integrar políticas integradas.

importante

Recomendamos encarecidamente el uso de la autenticación multifactor (MFA) cada vez que acceda. Autoridad de certificación privada de AWS

Mostrar las CA privadas

La siguiente política permite a un usuario mostrar todas las CA privadas de una cuenta. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

Recuperar el certificado de una CA privada

La siguiente política permite al usuario recuperar el certificado de una CA privada. 

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Importar el certificado de una CA privada

La siguiente política permite al usuario importar el certificado de una CA privada. 

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Eliminar una CA privada

La siguiente política permite al usuario eliminar el certificado de una CA privada.

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Tag-on-create: Adjuntar etiquetas a una CA en el momento de su creación

La siguiente política permite a los usuarios aplicar etiquetas durante la creación de una CA.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: Etiquetado restringido

La siguiente tag-on-create política impide el uso del par clave-valor Environment=Prod durante la creación de la CA. Se permite etiquetar con otros pares clave-valor. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

Controlar el acceso a una CA privada usando etiquetas

La siguiente política permite el acceso únicamente a las CA con el par clave-valor Environment=. PreProd También requiere que las nuevas CA incluyan esta etiqueta. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

Acceso de solo lectura a Autoridad de certificación privada de AWS

La siguiente política permite al usuario describir y mostrar las entidades de certificación privadas y recuperar el certificado de entidad de certificación privada y la cadena de certificados. 

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

Acceso completo a Autoridad de certificación privada de AWS

La siguiente política permite a un usuario realizar cualquier Autoridad de certificación privada de AWS acción. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}

Acceso de administrador a todos los recursos de AWS

La siguiente política permite a un usuario realizar cualquier acción en cualquier AWS recurso. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"*",
         "Resource":"*"
      }
   ]
}