本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資源型政策
以資源為基礎的策略是您建立並手動附加至資源 (在此情況下為私有 CA) 的權限原則,而非使用者身分識別或角色。或者,您可以將 AWS 受管政策用於,而不是建立自己的原則 AWS Private CA。使用套用 AWS RAM 以資源為基礎的策略, AWS 私有 CA 管理員可以直接或透過 AWS Organizations與不同 AWS 帳戶中的使用者共用 CA 的存取權。或者, AWS 私有 CA 系統管理員可以使用PCAAPIsPutPolicyGetPolicyDeletePolicy、和或對應的 AWS CLI 命令放入原則、取得原則和刪除原則來套用和管理以資源為基礎的策略。
如需以資源為基礎的原則的一般資訊,請參閱以身分識別為基礎的原則和以資源為基礎的原則和使用原則控
若要檢視以資源為基礎的 AWS 受管理策略清單 AWS Private CA,請導覽至 AWS Resource Access Manager 主控台中的受管理權限程式庫
AWS Certificate Manager (ACM) 對私有 CA 具有跨帳戶共用存取權的使用者可以發行由 CA 簽署的受管理憑證。跨帳戶發行者受到以資源為基礎的政策的限制,並且只能存取下列最終實體憑證範本:
政策範例
本節提供各種需求的跨帳戶策略範例。在所有情況下,都會使用下列命令模式來套用原則:
$aws acm-pca put-policy \ --regionregion\ --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --policy file:///[path]/policyN.json
除了指定 CA 之ARN外,管理員還提供 AWS 帳戶 ID 或將授與 CA 存取權的 AWS Organizations ID。以下每個原則的格式化為可讀性的檔案,但也可以作為內嵌CLI引數提供。JSON
注意
下面顯示的JSON基於資源的政策的結構必須精確遵循。客戶只能設定主參與者的 ID 欄位 ( AWS 帳號或 Organ AWS izations ID) 和 CA ARNs。
-
文件:政策 1.json-與不同帳戶中的用戶共享對 CA 的訪問
Replace (取代)
555555555555使用共用 CA 的 AWS 帳戶 ID。對於資源ARN,請用您自己的值替換以下內容:
awsawsaws-us-gov、aws-cn、等。us-east-1us-west-1。11112222333311223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ExampleStatementID", "Effect":"Allow", "Principal":{ "AWS":"555555555555" }, "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }, { "Sid":"ExampleStatementID2", "Effect":"Allow", "Principal":{ "AWS":"555555555555" }, "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] } -
文件:政策 2.json-通過共享對 CA 的訪問 AWS Organizations
Replace (取代)
o-a1b2c3d4z5與 AWS Organizations 身份證。對於資源ARN,請用您自己的值替換以下內容:
awsawsaws-us-gov、aws-cn、等。us-east-1us-west-1。11112222333311223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ExampleStatementID3", "Effect":"Allow", "Principal":"*", "Action":"acm-pca:IssueCertificate", "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1", "aws:PrincipalOrgID":"o-a1b2c3d4z5" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333" } } }, { "Sid":"ExampleStatementID4", "Effect":"Allow", "Principal":"*", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":"o-a1b2c3d4z5" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333" } } ] }
