Elencare CA private Recupero di un certificato CA privato Importazione di un certificato CA privato Eliminazione di una CA privata Tag-on-create: Allegare tag a una CA al momento della creazione Tag-on-create: Etichettatura limitata Controllo dell'accesso a Private CA tramite tag Accesso in sola lettura a CA privata AWS Accesso completo a CA privata AWS Accesso amministratore a tutte le risorse AWS

Policy inline

Le policy inline sono policy create, gestite e incorporate direttamente in un utente, gruppo o ruolo. I seguenti esempi di policy mostrano come assegnare le autorizzazioni per eseguire azioni. CA privata AWS Per informazioni generali sulle politiche in linea, consulta Working with Inline Policies nella IAM User Guide. Puoi utilizzare AWS Management Console, the AWS Command Line Interface (AWS CLI) o l'API IAM per creare e incorporare politiche in linea.

Importante

Consigliamo vivamente di utilizzare l'autenticazione a più fattori (MFA) ogni volta che si accede. CA privata AWS

Argomenti

Elencare CA private
Recupero di un certificato CA privato
Importazione di un certificato CA privato
Eliminazione di una CA privata
Tag-on-create: Allegare tag a una CA al momento della creazione
Tag-on-create: Etichettatura limitata
Controllo dell'accesso a Private CA tramite tag
Accesso in sola lettura a CA privata AWS
Accesso completo a CA privata AWS
Accesso amministratore a tutte le risorse AWS

Elencare CA private

La policy seguente permette a un utente di elencare tutte le CA private in un account.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

Recupero di un certificato CA privato

La policy seguente permette a un utente di recuperare un certificato CA privato specifico.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Importazione di un certificato CA privato

La policy seguente permette a un utente di importare un certificato CA privato.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Eliminazione di una CA privata

La policy seguente permette a un utente di eliminare un certificato CA privato specifico.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Tag-on-create: Allegare tag a una CA al momento della creazione

La seguente politica consente a un utente di applicare i tag durante la creazione di una CA.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: Etichettatura limitata

La seguente tag-on-create politica impedisce l'uso della coppia chiave-valore Environment=Prod durante la creazione della CA. È consentita l'etichettatura con altre coppie chiave-valore.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

Controllo dell'accesso a Private CA tramite tag

La seguente politica consente l'accesso solo alle CA con la coppia chiave-valore Environment=. PreProd Richiede inoltre che le nuove CA includano questo tag.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

Accesso in sola lettura a CA privata AWS

La policy seguente permette a un utente di descrivere ed elencare le autorità di certificazione private e di recuperare il certificato emesso da una CA privata e la catena di certificati.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

Accesso completo a CA privata AWS

La seguente politica consente a un utente di eseguire qualsiasi CA privata AWS azione.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}

Accesso amministratore a tutte le risorse AWS

La seguente politica consente a un utente di eseguire qualsiasi azione su qualsiasi AWS risorsa.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"*",
         "Resource":"*"
      }
   ]
}

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Policy gestite dal cliente

Accesso multi-account