翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リソースベースのポリシー
リソースベースのポリシーは、ユーザー ID やロールではなく、ユーザーが作成してリソース (この場合はプライベート CA) に手動でアタッチするアクセス許可ポリシーです。または、独自のポリシーを作成する代わりに、 AWS マネージドポリシーを使用できます AWS Private CA。 AWS RAM を使用してリソースベースのポリシーを適用すると、 AWS Private CA 管理者は CA へのアクセスを別の AWS アカウントのユーザーと直接または を通じて共有できます AWS Organizations。または、 AWS Private CA 管理者は PCA APIs、PutPolicyGetPolicy、DeletePolicy、Word、または対応する AWS CLI コマンド put-policy、get-policy、delete-policy を使用して、リソースベースのポリシーを適用および管理できます。
リソースベースのポリシーに関する一般的な情報については、「アイデンティティベースのポリシーおよびリソースベースのポリシー」および「ポリシーを使用したアクセスの制御」を参照してください。
の AWS マネージドリソースベースのポリシーのリストを表示するには AWS Private CA、 AWS Resource Access Manager コンソールで マネージドアクセス許可ライブラリ
AWS Certificate Manager プライベート CA へのクロスアカウント共有アクセス権を持つ (ACM) ユーザーは、CA によって署名されたマネージド証明書を発行できます。クロスアカウント発行者はリソースベースのポリシーによって制約され、以下のエンドエンティティ証明書テンプレートにのみアクセスできます。
ポリシーの例
このセクションでは、さまざまなニーズに対応するクロスアカウントポリシーの例を示します。いずれの場合も、以下のコマンドパターンを使用してポリシーを適用します。
$
aws acm-pca put-policy \ --region
region
\ --resource-arn arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --policy file:///[path]
/policyN.json
CA の ARN を指定するだけでなく、管理者は CA へのアクセスを許可するアカウント ID または AWS Organizations ID を提供します AWS 。次の各ポリシーの JSON は読みやすいようにファイルとしてフォーマットされていますが、インライン CLI 引数として指定することもできます。
注記
以下に示す JSON リソースベースのポリシーの構造は、正確に順守する必要があります。お客様が設定できるのは、プリンシパルの ID フィールド ( AWS アカウント番号または AWS Organizations ID) と CA ARNs のみです。
-
ファイル: policy1.json — CA へのアクセスを別のアカウントのユーザーと共有する
置換
555555555555
CA を共有している AWS アカウント ID を持つ 。リソース ARN では、以下を独自の値に置き換えます。
- AWS パーティション。例えば、、aws
aws-cn
、aws
aws-us-gov
などです。
- など、リソースが利用可能な AWS リージョンus-east-1
us-west-1
。
- リソース所有者の AWS アカウント ID。111122223333
- 認証機関のリソース ID。11223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"
ExampleStatementID
", "Effect":"Allow", "Principal":{ "AWS":"555555555555
" }, "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" }, { "Sid":"ExampleStatementID2
", "Effect":"Allow", "Principal":{ "AWS":"555555555555
" }, "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] } -
ファイル: policy2.json – を介した CA へのアクセスの共有 AWS Organizations
置換
o-a1b2c3d4z5
AWS Organizations ID の 。リソース ARN では、以下を独自の値に置き換えます。
- AWS パーティション。例えば、、aws
aws-cn
、aws
aws-us-gov
などです。
- など、リソースが利用可能な AWS リージョンus-east-1
us-west-1
。
- リソース所有者の AWS アカウント ID。111122223333
- 認証機関のリソース ID。11223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"
ExampleStatementID3
", "Effect":"Allow", "Principal":"*", "Action":"acm-pca:IssueCertificate", "Resource":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1", "aws:PrincipalOrgID":"o-a1b2c3d4z5
" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333
" } } }, { "Sid":"ExampleStatementID4
", "Effect":"Allow", "Principal":"*", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":"o-a1b2c3d4z5
" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333
" } } ] }