ACM での条件キーの使用

AWS Certificate Manager は、AWS Identity and Access Management (IAM) 条件キーを使用して、証明書リクエストへのアクセスを制限します。IAM ポリシーまたはサービスコントロールポリシー (SCP) の条件キーを使用して、組織のガイドラインに準拠した証明書リクエストを作成できます。

注記

ACM 条件キーを aws:PrincipalArn などの AWS グローバル条件キーと組み合わせて、アクションを特定のユーザーまたはロールにさらに制限できます。

ACM のサポートされている条件

スクロールバーを使用して、テーブルの残りの部分を確認します。

ACM API オペレーションとサポートされている条件
条件キー	サポートされている ACM API オペレーション	型	説明
acm:ValidationMethod	RequestCertificate	文字列 (EMAIL、DNS)	ACM 検証方法に基づいてリクエストをフィルタリング
acm:DomainNames	RequestCertificate	ArrayOfString	ACM リクエストのドメイン名に基づいてフィルタリング
acm:KeyAlgorithm	RequestCertificate	文字列	ACM キーアルゴリズムとサイズに基づいてリクエストをフィルタリング
acm:CertificateTransparencyLogging	RequestCertificate	文字列 (ENABLED、DISABLED)	ACM 証明書の透明性ログ記録設定に基づいてリクエストをフィルタリング
acm:CertificateAuthority	RequestCertificate	ARN	ACM リクエストの認証機関に基づいてリクエストをフィルタリング

例 1: 検証方法の制限

次のポリシーは、arn:aws:iam::123456789012:role/AllowedEmailValidation ロールを使用して行われたリクエストを除き、E メール検証方式を使用する新しい証明書リクエストを拒否します。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}
        

例 2: ワイルドカードドメインの防止

次のポリシーは、ワイルドカードドメインを使用する新しい ACM 証明書リクエストをすべて拒否します。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}
        

例 3: 証明書ドメインの制限

次のポリシーは、末尾が *.amazonaws.com ではないドメインの新しい ACM 証明書リクエストをすべて拒否します。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}
        

ポリシーを特定のサブドメインにさらに制限することができます。このポリシーは、すべてのドメインが少なくとも 1 つの条件付きドメイン名と一致するリクエストのみを許可します。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}
        

例 4: キーアルゴリズムの制限

次のポリシーは、条件キー StringNotLike を使用して、ECDSA 384 ビット (EC_secp384r1) キーアルゴリズムで要求された証明書のみを許可します。

{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}
        

次のポリシーは、条件キー StringLike とワイルドカード * のマッチングを使用して、いずれかの RSA キーアルゴリズムを使用する ACM での新しい証明書のリクエストを防ぎます。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}
        

例 5: 認証機関の制限

以下のポリシーは、提供された Private Certificate Authority (PCA) ARN を使用するプライベート証明書のリクエストのみを許可します。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}
        

このポリシーは acm:CertificateAuthority 条件を使用して、Amazon Trust Services が発行した公的に信頼できる証明書のリクエストのみを許可します。認証機関 ARN を false に設定すると、PCA からのプライベート証明書のリクエストが防止されます。

{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}