本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Certificate Manager 的動作、資源和條件索引鍵
AWS Certificate Manager (服務字首:acm
) 提供下列服務特有的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視此服務可用的 API 操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
AWS Certificate Manager 定義的動作
您可以在 IAM 政策陳述式的 Action
元素中指定下列動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用 動作時,通常會允許或拒絕存取具有相同名稱的 API 操作或 CLI 命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource
元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作的陳述式中指定該類型的 ARN。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在 IAM 政策中使用 Resource
元素限制資源存取,則必須為每個必要的資源類型包含 ARN 或模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition
元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
---|---|---|---|---|---|
AddTagsToCertificate | 准許將一個或多個標籤新增到憑證 | 標記 | |||
DeleteCertificate | 准許刪除憑證及其關聯的私有金鑰 | 寫入 | |||
DescribeCertificate | 准許擷取憑證及其中繼資料 | 讀取 | |||
ExportCertificate | 准許匯出 Private Certificate Authority (CA) 發行的私有憑證,以供隨處使用 | 讀取 | |||
GetAccountConfiguration | 准許從 AWS Certificate Manager 擷取帳戶層級組態 | 讀取 | |||
GetCertificate | 准許擷取憑證 ARN 的憑證和憑證鏈 | 讀取 | |||
ImportCertificate | 准許將第三方憑證匯入 AWS Certificate Manager (ACM) | 寫入 | |||
ListCertificates | 准許擷取憑證 ARNs 的清單和每個 ARN 的網域名稱 | 清單 | |||
ListTagsForCertificate | 准許列出已與憑證相關聯的標籤 | 讀取 | |||
PutAccountConfiguration | 准許更新 AWS Certificate Manager 中的帳戶層級組態 | 寫入 | |||
RemoveTagsFromCertificate | 准許從憑證移除一個或多個標籤 | 標記 | |||
RenewCertificate | 准許續訂合格的私有憑證 | 寫入 | |||
RequestCertificate | 准許請求公有或私有憑證 | 寫入 | |||
ResendValidationEmail | 准許重新傳送電子郵件,以請求網域擁有權驗證 | 寫入 | |||
UpdateCertificateOptions | 准許更新憑證組態。用此指定是否選擇加入或退出憑證透明度日誌記錄 | 寫入 |
AWS Certificate Manager 定義的資源類型
下列資源類型由此服務定義,可用於 IAM 許可政策陳述式的 Resource
元素。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
資源類型 | ARN | 條件索引鍵 |
---|---|---|
certificate |
arn:${Partition}:acm:${Region}:${Account}:certificate/${CertificateId}
|
AWS Certificate Manager 的條件索引鍵
AWS Certificate Manager 定義下列條件索引鍵,可用於 IAM 政策的 Condition
元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵。
條件索引鍵 | 描述 | Type |
---|---|---|
acm:CertificateAuthority | 在請求中依 certificateAuthority 篩選存取權。可用於限制哪些憑證授權機構可以核發憑證 | 字串 |
acm:CertificateTransparencyLogging | 在請求中依 certificateTransparencyLogging 選項篩選存取權。如果請求中沒有索引鍵,則預設 'ENABLED' | 字串 |
acm:DomainNames | 在請求中依 domainNames 篩選存取權。此索引鍵可用於限制憑證請求中可以包含哪些網域 | ArrayOfString |
acm:KeyAlgorithm | 在請求中依 keyAlgorithm 篩選存取權 | 字串 |
acm:ValidationMethod | 在請求中依 validationMethod 篩選存取權。如果請求中沒有索引鍵,則預設 'EMAIL' | 字串 |
aws:RequestTag/${TagKey} | 依請求中的標籤鍵值對是否存在篩選存取權 | 字串 |
aws:ResourceTag/${TagKey} | 依連接到資源的標籤鍵值對篩選存取權 | 字串 |
aws:TagKeys | 依請求中是否存在標籤索引鍵來篩選存取 | ArrayOfString |