本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資源型政策
以資源為基礎的政策是您建立並手動連接至資源 (在此情況下為私有 CA) 而非使用者身分或角色的許可政策。或者,您可以使用 的 AWS 受管政策,而不是建立自己的政策 AWS Private CA。使用 AWS RAM 套用以資源為基礎的政策, AWS 私有 CA 管理員可以直接或透過 與不同 AWS 帳戶中的使用者共用 CA 的存取權 AWS Organizations。或者, AWS 私有 CA 管理員可以使用 PCA APIsPutPolicy、GetPolicy 和 DeletePolicy,或對應的 AWS CLI 命令 put-policy、get-policy 和 delete-policy,來套用和管理以資源為基礎的政策。
如需以資源為基礎的政策的一般資訊,請參閱以身分為基礎的政策和以資源為基礎的政策,以及使用政策控制存取。
若要檢視 的 AWS 受管資源型政策清單 AWS Private CA,請導覽至 AWS Resource Access Manager 主控台中的受管許可程式庫
AWS Certificate Manager 具有私有 CA 跨帳戶共用存取權的 (ACM) 使用者可以發行由 CA 簽署的受管憑證。跨帳戶發行者受到資源型政策的限制,只能存取下列終端實體憑證範本:
政策範例
本節提供適用於各種需求的範例跨帳戶政策。在所有情況下,都會使用下列命令模式來套用政策:
$
aws acm-pca put-policy \ --region
region
\ --resource-arn arn:aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
\ --policy file:///[path]
/policyN.json
除了指定 CA 的 ARN 之外,管理員還提供帳戶 AWS ID 或 AWS Organizations ID,以授予 CA 的存取權。下列每個政策的 JSON 會格式化為 檔案,以供讀取,但也可以做為內嵌 CLI 引數提供。
注意
以下顯示的 JSON 資源型政策結構必須精確遵循。客戶只能設定委託人的 ID 欄位 ( AWS 帳戶號碼或 AWS 組織 ID) 和 CA ARNs。
-
檔案: policy1.json – 與不同帳戶中的使用者共用 CA 的存取權
將 AWS
555555555555
取代為共用 CA 的帳戶 ID。對於資源 ARN,請以您自己的值取代下列項目:
-
- AWS 分割區。例如,aws
aws
、aws-cn
、aws-us-gov
等。 -
- 資源可用的 AWS 區域,例如us-east-1
us-west-1
。 -
- 資源擁有者 AWS 的帳戶 ID。111122223333
-
- 憑證授權單位的資源 ID。11223344-1234-1122-2233-112233445566
-
-
檔案: policy2.json – 透過 共用 CA 的存取權 AWS Organizations
將
o-a1b2c3d4z5
取代為 AWS Organizations ID。對於資源 ARN,請以您自己的值取代下列項目:
-
- AWS 分割區。例如,aws
aws
、aws-cn
、aws-us-gov
等。 -
- 資源可用的 AWS 區域,例如us-east-1
us-west-1
。 -
- 資源擁有者 AWS 的帳戶 ID。111122223333
-
- 憑證授權單位的資源 ID。11223344-1234-1122-2233-112233445566
-