資源型政策

以資源為基礎的政策是您建立並手動連接至資源 （在此情況下為私有 CA) 而非使用者身分或角色的許可政策。或者，您可以使用 的 AWS 受管政策，而不是建立自己的政策 AWS Private CA。使用 AWS RAM 套用以資源為基礎的政策， AWS 私有 CA 管理員可以直接或透過 與不同 AWS 帳戶中的使用者共用 CA 的存取權 AWS Organizations。或者， AWS 私有 CA 管理員可以使用 PCA APIsPutPolicy、GetPolicy 和 DeletePolicy，或對應的 AWS CLI 命令 put-policy、get-policy 和 delete-policy，來套用和管理以資源為基礎的政策。

如需以資源為基礎的政策的一般資訊，請參閱以身分為基礎的政策和以資源為基礎的政策，以及使用政策控制存取。

若要檢視 的 AWS 受管資源型政策清單 AWS Private CA，請導覽至 AWS Resource Access Manager 主控台中的受管許可程式庫，然後搜尋 CertificateAuthority。如同任何政策，在您套用政策之前，建議您在測試環境中套用政策，以確保其符合您的需求。

AWS Certificate Manager 具有私有 CA 跨帳戶共用存取權的 (ACM) 使用者可以發行由 CA 簽署的受管憑證。跨帳戶發行者受到資源型政策的限制，只能存取下列終端實體憑證範本：

• EndEntityCertificate/V1

• EndEntityClientAuthCertificate/V1

• EndEntityServerAuthCertificate/V1

• BlankEndEntityCertificate_APIPassthrough/V1

• BlankEndEntityCertificate_APICSRPassthrough/V1

• SubordinateCACertificate_PathLen0/V1

政策範例

本節針對各種需求提供跨帳戶政策的範例。在所有情況下，都會使用下列命令模式來套用政策：

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

除了指定 CA 的 ARN 之外，管理員還提供帳戶 AWS ID 或將授予 CA 存取權的 AWS Organizations ID。下列每個政策的 JSON 會格式化為檔案，以供讀取，但也可以做為內嵌 CLI 引數提供。

注意

以下顯示的 JSON 資源型政策結構必須精確遵循。客戶只能設定委託人的 ID 欄位 ( AWS 帳戶號碼或 AWS 組織 ID) 和 CA ARNs。

1. 檔案： policy1.json – 與不同帳戶中的使用者共用 CA 的存取權

   將 AWS 555555555555 取代為共用 CA 的帳戶 ID。

   對於資源 ARN，請以您自己的值取代下列項目：

   • aws - AWS 分割區。例如，aws、aws-cn、 aws-us-gov等。

   • us-east-1 - 資源可用的 AWS 區域，例如 us-west-1。

   • 111122223333 - 資源擁有者 AWS 的帳戶 ID。

   • 11223344-1234-1122-2233-112233445566 - 憑證授權單位的資源 ID。

2. 檔案： policy2.json – 透過 共用 CA 的存取權 AWS Organizations

   將 o-a1b2c3d4z5 取代為 AWS Organizations ID。

   對於資源 ARN，請以您自己的值取代下列項目：

   • aws - AWS 分割區。例如，aws、aws-cn、 aws-us-gov等。

   • us-east-1 - 資源可用的 AWS 區域，例如 us-west-1。

   • 111122223333 - 資源擁有者 AWS 的帳戶 ID。

   • 11223344-1234-1122-2233-112233445566 - 憑證授權單位的資源 ID。