Kondisi yang didukung untuk ACM Contoh 1: Membatasi metode validasi Contoh 2: Mencegah domain wildcard Contoh 3: Membatasi domain sertifikat Contoh 4: Membatasi algoritma kunci Contoh 5: Membatasi otoritas sertifikat

Gunakan tombol kondisi dengan ACM

AWS Certificate Manager menggunakan AWS Identity and Access Management (IAM) kunci kondisi untuk membatasi akses ke permintaan sertifikat. Dengan kunci kondisi dari IAM kebijakan atau Kebijakan Kontrol Layanan (SCP), Anda dapat membuat permintaan sertifikat yang sesuai dengan pedoman organisasi Anda.

catatan

Gabungkan tombol ACM kondisi dengan AWS kunci kondisi global seperti aws:PrincipalArn untuk membatasi tindakan lebih lanjut untuk pengguna atau peran tertentu.

Kondisi yang didukung untuk ACM

Gunakan bilah gulir untuk melihat seluruh tabel.

ACMAPIoperasi dan kondisi yang didukung
Kunci Syarat	ACMAPIOperasi yang Didukung	Tipe	Deskripsi
`acm:ValidationMethod`	RequestCertificate	Tali (`EMAIL`,`DNS`)	Filter permintaan berdasarkan metode ACM validasi
`acm:DomainNames`	RequestCertificate	ArrayOfString	Filter berdasarkan nama domain dalam ACM permintaan
`acm:KeyAlgorithm`	RequestCertificate	String	Filter permintaan berdasarkan algoritma dan ukuran ACM kunci
`acm:CertificateTransparencyLogging`	RequestCertificate	Tali (`ENABLED`,`DISABLED`)	Filter permintaan berdasarkan preferensi logging transparansi ACM sertifikat
`acm:CertificateAuthority`	RequestCertificate	ARN	Filter permintaan berdasarkan otoritas sertifikat dalam ACM permintaan

Contoh 1: Membatasi metode validasi

Kebijakan berikut menolak permintaan sertifikat baru menggunakan metode Validasi Email kecuali permintaan yang dibuat menggunakan peran. arn:aws:iam::123456789012:role/AllowedEmailValidation



{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}

Contoh 2: Mencegah domain wildcard

Kebijakan berikut menolak permintaan ACM sertifikat baru yang menggunakan domain wildcard.



{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}

Contoh 3: Membatasi domain sertifikat

Kebijakan berikut menolak permintaan ACM sertifikat baru untuk domain yang tidak diakhiri dengan *.amazonaws.com



{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}

Kebijakan ini dapat dibatasi lebih lanjut untuk subdomain tertentu. Kebijakan ini hanya mengizinkan permintaan di mana setiap domain cocok dengan setidaknya satu dari nama domain bersyarat.



{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}

Contoh 4: Membatasi algoritma kunci

Kebijakan berikut menggunakan kunci kondisi StringNotLike untuk mengizinkan hanya sertifikat yang diminta dengan algoritma kunci ECDSA 384 bit (EC_secp384r1).



{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}

Kebijakan berikut menggunakan kunci kondisi StringLike dan * pencocokan wildcard untuk mencegah permintaan sertifikat baru ACM dengan algoritma RSA kunci apa pun.



{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}

Contoh 5: Membatasi otoritas sertifikat

Kebijakan berikut hanya akan mengizinkan permintaan sertifikat pribadi menggunakan Private Certificate Authority (PCA) yang disediakanARN.



{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}

Kebijakan ini menggunakan acm:CertificateAuthority ketentuan untuk hanya mengizinkan permintaan sertifikat tepercaya publik yang dikeluarkan oleh Amazon Trust Services. Mengatur Otoritas Sertifikat ARN untuk false mencegah permintaan sertifikat pribadiPCA.



{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Kebijakan yang dikelola oleh AWS

Gunakan peran tertaut layanan