Listar CAs privadas Recuperar um certificado de CA privada Importar um certificado de CA privada Excluir uma CA privada Tag-on-create: Anexando tags a uma CA no momento da criação Tag-on-create: Marcação restrita Controlar o acesso à CA privada usando etiquetas Acesso somente para leitura a CA privada da AWS Acesso total ao CA privada da AWS Acesso de administrador a todos os recursos da AWS

Políticas em linha

As políticas em linha são políticas criadas, gerenciadas e incorporadas diretamente a um usuário, grupo ou função. Os exemplos de políticas a seguir mostram como atribuir permissões para realizar CA privada da AWS ações. Para obter informações gerais sobre políticas em linha, consulte Trabalhar com políticas em linha no Guia do usuário do IAM. Você pode usar a API AWS Management Console, the AWS Command Line Interface (AWS CLI) ou IAM para criar e incorporar políticas em linha.

Importante

É altamente recomendável usar a autenticação multifator (MFA) sempre que você acessar. CA privada da AWS

Tópicos

Listar CAs privadas
Recuperar um certificado de CA privada
Importar um certificado de CA privada
Excluir uma CA privada
Tag-on-create: Anexando tags a uma CA no momento da criação
Tag-on-create: Marcação restrita
Controlar o acesso à CA privada usando etiquetas
Acesso somente para leitura a CA privada da AWS
Acesso total ao CA privada da AWS
Acesso de administrador a todos os recursos da AWS

Listar CAs privadas

A política a seguir permite que um usuário liste todas as CAs privadas em uma conta.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

Recuperar um certificado de CA privada

A política a seguir permite que um usuário recupere um certificado de CA privada específico.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Importar um certificado de CA privada

A política a seguir permite que um usuário importe um certificado de CA privada.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Excluir uma CA privada

A política a seguir permite que um usuário exclua uma CA privada específica.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Tag-on-create: Anexando tags a uma CA no momento da criação

A política a seguir permite que um usuário aplique etiquetas durante a criação da CA.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: Marcação restrita

A tag-on-create política a seguir impede o uso do par de valores-chave Environment=Prod durante a criação da CA. A marcação com outros pares de chave/valor é permitida.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

Controlar o acesso à CA privada usando etiquetas

A política a seguir permite acesso somente às CAs com o par de valores-chave Environment=. PreProd Ela também exige que novas CAs incluam essa etiqueta.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

Acesso somente para leitura a CA privada da AWS

A política a seguir permite que um usuário descreva e liste autoridades de certificação privadas e recupere o certificado CA privado e a cadeia de certificados.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

Acesso total ao CA privada da AWS

A política a seguir permite que um usuário execute qualquer CA privada da AWS ação.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}

Acesso de administrador a todos os recursos da AWS

A política a seguir permite que um usuário execute qualquer ação em qualquer AWS recurso.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"*",
         "Resource":"*"
      }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Políticas gerenciadas pelo cliente

Acesso entre contas