資源型政策

以資源為基礎的政策是您建立並手動連接至資源 （在此情況下為私有 CA) 而非使用者身分或角色的許可政策。或者，您可以使用 的 AWS 受管政策，而不是建立自己的政策 AWS Private CA。使用 AWS RAM 套用以資源為基礎的政策， AWS 私有 CA 管理員可以直接或透過 與不同 AWS 帳戶中的使用者共用 CA 的存取權 AWS Organizations。或者， AWS 私有 CA 管理員可以使用 PCA APIsPutPolicy、GetPolicy 和 DeletePolicy，或對應的 AWS CLI 命令 put-policy、get-policy 和 delete-policy，來套用和管理以資源為基礎的政策。

如需以資源為基礎的政策的一般資訊，請參閱以身分為基礎的政策和以資源為基礎的政策，以及使用政策控制存取。

若要檢視 的 AWS 受管資源型政策清單 AWS Private CA，請導覽至 AWS Resource Access Manager 主控台中的受管許可程式庫，然後搜尋 CertificateAuthority。與任何政策一樣，在您套用之前，建議您在測試環境中套用政策，以確保其符合您的需求。

AWS Certificate Manager 具有私有 CA 跨帳戶共用存取權的 (ACM) 使用者可以發行由 CA 簽署的受管憑證。跨帳戶發行者受到資源型政策的限制，只能存取下列終端實體憑證範本：

• EndEntityCertificate/V1

• EndEntityClientAuthCertificate/V1

• EndEntityServerAuthCertificate/V1

• BlankEndEntityCertificate_APIPassthrough/V1

• BlankEndEntityCertificate_APICSRPassthrough/V1

• SubordinateCACertificate_PathLen0/V1

政策範例

本節提供適用於各種需求的範例跨帳戶政策。在所有情況下，都會使用下列命令模式來套用政策：

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

除了指定 CA 的 ARN 之外，管理員還提供帳戶 AWS ID 或 AWS Organizations ID，以授予 CA 的存取權。下列每個政策的 JSON 會格式化為 檔案，以供讀取，但也可以做為內嵌 CLI 引數提供。

注意

以下顯示的 JSON 資源型政策結構必須精確遵循。客戶只能設定委託人的 ID 欄位 ( AWS 帳戶號碼或 AWS 組織 ID) 和 CA ARNs。

1. 檔案： policy1.json – 與不同帳戶中的使用者共用 CA 的存取權

   將 AWS 555555555555 取代為共用 CA 的帳戶 ID。

   對於資源 ARN，請以您自己的值取代下列項目：

   • aws - AWS 分割區。例如，aws、aws-cn、 aws-us-gov等。

   • us-east-1 - 資源可用的 AWS 區域，例如 us-west-1。

   • 111122223333 - 資源擁有者 AWS 的帳戶 ID。

   • 11223344-1234-1122-2233-112233445566 - 憑證授權單位的資源 ID。

   JSON

    {                        
      "Version":"2012-10-17",
      "Statement":[
         {    
            "Sid":"ExampleStatementID",
            "Effect":"Allow",         
            "Principal":{                                                                                                                                               
               "AWS":"555555555555"                                                                                
            },
            "Action":[
               "acm-pca:DescribeCertificateAuthority",
               "acm-pca:GetCertificate",
               "acm-pca:GetCertificateAuthorityCertificate",
               "acm-pca:ListPermissions",
               "acm-pca:ListTags"                                                                                   
            ],                                                                                              
            "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
         },
         {
            "Sid":"ExampleStatementID2",  
            "Effect":"Allow",
            "Principal":{
               "AWS":"555555555555"
            },
            "Action":[
               "acm-pca:IssueCertificate"
            ],
            "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
            "Condition":{
               "StringEquals":{
                  "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
               }
            }
         }
      ]
   }
   

2. 檔案： policy2.json – 透過 共用 CA 的存取權 AWS Organizations

   將 o-a1b2c3d4z5 取代為 AWS Organizations ID。

   對於資源 ARN，請以您自己的值取代下列項目：

   • aws - AWS 分割區。例如，aws、aws-cn、 aws-us-gov等。

   • us-east-1 - 資源可用的 AWS 區域，例如 us-west-1。

   • 111122223333 - 資源擁有者 AWS 的帳戶 ID。

   • 11223344-1234-1122-2233-112233445566 - 憑證授權單位的資源 ID。

   JSON

   {
       "Version": "2012-10-17",
       "Statement": [
           {
               "Sid": "ExampleStatementID3",
               "Effect": "Allow",
               "Principal": "*",
               "Action": "acm-pca:IssueCertificate",
               "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
               "Condition": {
                   "StringEquals": {
                       "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
                       "aws:PrincipalOrgID": "o-a1b2c3d4z5"
                   },
                   "StringNotEquals": {
                       "aws:PrincipalAccount": "111122223333"
                   }
               }
           },
           {
               "Sid": "ExampleStatementID4",
               "Effect": "Allow",
               "Principal": "*",
               "Action": [
                   "acm-pca:DescribeCertificateAuthority",
                   "acm-pca:GetCertificate",
                   "acm-pca:GetCertificateAuthorityCertificate",
                   "acm-pca:ListPermissions",
                   "acm-pca:ListTags"
               ],
               "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
               "Condition": {
                   "StringEquals": {
                       "aws:PrincipalOrgID": "o-a1b2c3d4z5"
                   },
                   "StringNotEquals": {
                       "aws:PrincipalAccount": "111122223333"
                   }
               }
           }
       ]
   }