內嵌政策 - AWS Private Certificate Authority
列出私有 CAs擷取私有 CA 憑證匯入私有 CA 憑證刪除私有 CATag-on-create:在建立時將標籤連接至 CATag-on-create:限制標記使用標籤控制對 Private CA 的存取 的唯讀存取權 AWS 私有 CA完整存取 AWS 私有 CA

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

內嵌政策

內嵌政策是您建立及管理的政策,且直接內嵌至單一使用者、群組或角色。下列政策範例示範如何指派執行 AWS 私有 CA 動作的許可。如需內嵌政策的一般資訊,請參閱《IAM 使用者指南》中的使用內嵌政策。您可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 IAM API 來建立和內嵌內嵌政策。

重要

強烈建議您隨時存取時使用多重驗證 (MFA) AWS 私有 CA。

列出私有 CAs

以下政策可讓使用者列出帳戶中的所有私有 CA。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

擷取私有 CA 憑證

以下政策可讓使用者擷取特定私有 CA 憑證。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

匯入私有 CA 憑證

以下政策可讓使用者匯入私有 CA 憑證。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

刪除私有 CA

以下政策可讓使用者刪除特定私有 CA。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"   }
}

Tag-on-create:在建立時將標籤連接至 CA

下列政策允許使用者在 CA 建立期間套用標籤。

JSON
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create:限制標記

下列tag-on-create政策可防止在 CA 建立期間使用鍵/值對環境=Prod。允許使用其他鍵/值對進行標記。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

使用標籤控制對 Private CA 的存取

下列政策僅允許存取鍵/值對環境=PreProd CAs。它還需要新的 CAs包含此標籤。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

的唯讀存取權 AWS 私有 CA

以下政策可讓使用者描述及列出私有憑證授權機構,並擷取私有 CA 憑證和憑證鏈。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

完整存取 AWS 私有 CA

下列政策允許使用者執行任何 AWS 私有 CA 動作。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}