Menggunakan tombol kondisi dengan ACM - AWS Certificate Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan tombol kondisi dengan ACM

AWS Certificate Managermenggunakan kunci kondisi AWS Identity and Access Management (IAM) untuk membatasi akses ke permintaan sertifikat. Dengan kunci kondisi dari kebijakan IAM atau Kebijakan Kontrol Layanan (SCP), Anda dapat membuat permintaan sertifikat yang sesuai dengan pedoman organisasi Anda.

catatan

Gabungkan kunci kondisi ACM dengan kunci kondisi AWS global seperti aws:PrincipalArn untuk membatasi tindakan lebih lanjut pada pengguna atau peran tertentu.

Kondisi yang didukung untuk ACM

Gunakan bilah gulir untuk melihat seluruh tabel.

Operasi ACM API dan kondisi yang didukung
Kunci Syarat Operasi API ACM yang Didukung Tipe Deskripsi

acm:ValidationMethod

RequestCertificate

Tali (EMAIL,DNS)

Filter permintaan berdasarkan metode validasi ACM

acm:DomainNames

RequestCertificate

ArrayOfString

Filter berdasarkan nama domain dalam permintaan ACM

acm:KeyAlgorithm

RequestCertificate

String

Filter permintaan berdasarkan algoritma dan ukuran kunci ACM

acm:CertificateTransparencyLogging

RequestCertificate

Tali (ENABLED,DISABLED)

Filter permintaan berdasarkan preferensi pencatatan transparansi sertifikat ACM

acm:CertificateAuthority

RequestCertificate

ARN

Filter permintaan berdasarkan otoritas sertifikat dalam permintaan ACM

Contoh 1: Membatasi metode validasi

Kebijakan berikut menolak permintaan sertifikat baru menggunakan metode Validasi Email kecuali permintaan yang dibuat menggunakan peran tersebutarn:aws:iam::123456789012:role/AllowedEmailValidation.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringLike" : { "acm:ValidationMethod":"EMAIL" }, "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"] } } } }

Contoh 2: Mencegah domain wildcard

Kebijakan berikut menolak permintaan sertifikat ACM baru yang menggunakan domain wildcard.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition": { "ForAnyValue:StringLike": { "acm:DomainNames": [ "${*}.*" ] } } } }

Contoh 3: Membatasi domain sertifikat

Kebijakan berikut ini menolak permintaan sertifikat ACM baru untuk domain yang tidak diakhiri *.amazonaws.com

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition": { "ForAnyValue:StringNotLike": { "acm:DomainNames": ["*.amazonaws.com"] } } } }

Kebijakan ini dapat dibatasi lebih lanjut untuk subdomain tertentu. Kebijakan ini hanya mengizinkan permintaan di mana setiap domain cocok dengan setidaknya satu dari nama domain bersyarat.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition": { "ForAllValues:StringNotLike": { "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"] } } } }

Contoh 4: Membatasi algoritma kunci

Kebijakan berikut menggunakan kunci kondisi StringNotLike untuk mengizinkan hanya sertifikat yang diminta dengan algoritma kunci ECDSA 384 bit (EC_secp384r1).

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringNotLike" : { "acm:KeyAlgorithm":"EC_secp384r1" } } } }

Kebijakan berikut menggunakan kunci kondisi StringLike dan * pencocokan wildcard untuk mencegah permintaan sertifikat baru di ACM dengan algoritme RSA kunci apa pun.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringLike" : { "acm:KeyAlgorithm":"RSA*" } } } }

Contoh 5: Membatasi otoritas sertifikat

Kebijakan berikut hanya akan mengizinkan permintaan sertifikat pribadi menggunakan ARN Private Certificate Authority (PCA) yang disediakan.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringNotLike": { "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID" } } } }

Kebijakan ini menggunakan acm:CertificateAuthority ketentuan untuk hanya mengizinkan permintaan sertifikat tepercaya publik yang dikeluarkan oleh Amazon Trust Services. Mengatur ARN Otoritas Sertifikat untuk false mencegah permintaan sertifikat pribadi dari PCA.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "Null" : { "acm:CertificateAuthority":"false" } } } }