Políticas basadas en recursos

Las políticas basadas en recursos son políticas de permisos que se crean y asocian manualmente a un recurso (en este caso, una CA privada) en lugar de a una identidad o un rol de un usuario. O bien, en lugar de crear sus propias políticas, puede utilizar políticas AWS administradas para. AWS Private CA Al AWS RAM aplicar una política basada en recursos, un Autoridad de certificación privada de AWS administrador puede compartir el acceso a una CA con un usuario de una AWS cuenta diferente directamente o a través de ella. AWS Organizations Como alternativa, un Autoridad de certificación privada de AWS administrador puede usar las API PutPolicyde la PCA o los AWS CLI comandos correspondientes put-policy DeletePolicy, get-policy y delete-policy para aplicar y administrar políticas basadas en recursos. GetPolicy

Para obtener más información acerca de las políticas de acceso basadas en recursos, consulte Políticas basadas en identidad y Políticas basadas en recursos y Control del acceso usando políticas.

Para ver la lista de políticas AWS gestionadas basadas en recursos AWS Private CA, vaya a la biblioteca de permisos gestionados de la consola y busque. AWS Resource Access ManagerCertificateAuthority Como ocurre con cualquier política, antes de aplicarla, le recomendamos que la aplique en un entorno de prueba para asegurarse de que cumple sus requisitos.

AWS Certificate Manager Los usuarios (ACM) con acceso compartido entre cuentas a una CA privada pueden emitir certificados gestionados firmados por la CA. Los emisores multicuentas están limitados por una política basada en los recursos y solo tienen acceso a las siguientes plantillas de certificados de entidad final:

• EndEntityCertificate/V1

• EndEntityClientAuthCertificate/V1

• EndEntityServerAuthCertificate/V1

• BlankEndEntityCertificate_API Passthrough/v1

• BlankEndEntityCertificate_API SRPassthrough/v1

• Certificado CA subordinado_ 0/V1 PathLen

Ejemplos de políticas

En esta sección se proporcionan ejemplos de políticas multicuentas para diversas necesidades. En todos los casos, se utiliza el siguiente patrón de comandos para aplicar una política:

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

Además de especificar el ARN de una CA, el administrador proporciona un identificador de AWS cuenta o un AWS Organizations identificador al que se concederá acceso a la entidad emisora de certificados. El JSON de cada una de las siguientes políticas tiene el formato de un archivo para facilitar la lectura, pero también se puede proporcionar como argumentos CLI en línea.

nota

Debe seguirse con precisión la estructura de las políticas basadas en recursos de JSON que se muestra a continuación. Los clientes solo pueden configurar los campos de ID de los principales (el número de AWS cuenta o el ID de la AWS organización) y los ARN de CA.

1. Archivo: policy1.json — Compartir el acceso a una CA con un usuario de una cuenta diferente

   Sustituya 555555555555 por el ID de AWS cuenta que comparte la CA.

   Para el ARN del recurso, sustituya lo siguiente por sus propios valores:

   • aws- La AWS partición. Por ejemplo, awsaws-us-gov,aws-cn,, etc.

   • us-east-1- La AWS región en la que está disponible el recurso, por ejemplous-west-1.

   • 111122223333- El ID de AWS cuenta del propietario del recurso.

   • 11223344-1234-1122-2233-112233445566- El ID de recurso de la autoridad de certificación.

    {                        
      "Version":"2012-10-17",
      "Statement":[
         {    
            "Sid":"ExampleStatementID",
            "Effect":"Allow",         
            "Principal":{                                                                                                                                               
               "AWS":"555555555555"                                                                                
            },
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"                                                                                   
            ],                                                                                              
            "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
         },
         {
            "Sid":"ExampleStatementID2",  
            "Effect":"Allow",
            "Principal":{
               "AWS":"555555555555"
            },
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         }
      ]
   }

2. Archivo: policy2.json — Compartir el acceso a una CA a través de AWS Organizations

   Sustituya o-a1b2c3d4z5 por el ID. AWS Organizations

   Para el ARN del recurso, sustituya lo siguiente por sus propios valores:

   • aws- La AWS partición. Por ejemplo, awsaws-us-gov,aws-cn,, etc.

   • us-east-1- La AWS región en la que está disponible el recurso, por ejemplous-west-1.

   • 111122223333- El ID de AWS cuenta del propietario del recurso.

   • 11223344-1234-1122-2233-112233445566- El ID de recurso de la autoridad de certificación.

   {
      "Version":"2012-10-17",
      "Statement":[
         {
            "Sid":"ExampleStatementID3",
            "Effect":"Allow",
            "Principal":"*",
            "Action":"acm-pca:IssueCertificate",
            "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1",
                  "aws:PrincipalOrgID":"o-a1b2c3d4z5"
               },
               "StringNotEquals":{
                  "aws:PrincipalAccount":"111122223333"
               }
            }
         },
         {
            "Sid":"ExampleStatementID4",
            "Effect":"Allow",
            "Principal":"*",
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"
            ],
            "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
            "Condition":{
               "StringEquals":{
                  "aws:PrincipalOrgID":"o-a1b2c3d4z5"
               },
               "StringNotEquals":{
                  "aws:PrincipalAccount":"111122223333"
            }
         }
      ]
   }