AWS Certificate Manager 的操作、资源和条件键
AWS Certificate Manager(服务前缀:acm)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
AWS Certificate Manager 定义的操作
您可以在 Action 策略语句的 IAM 元素中指定以下操作。可以使用策略授予在 AWS 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI
命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
Resource Types (资源类型) 列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定所有资源(“*”)。如果该列包含一种资源类型,则可以在含有该操作的语句中指定该类型的 ARN。必需资源在表中以星号 (*) 表示。如果在使用该操作的语句中指定资源级权限
ARN,则它必须属于该类型。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种类型而不使用其他类型。
有关下表中各列的详细信息,请参阅 操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件密钥 | 相关操作 |
|---|---|---|---|---|---|
| AddTagsToCertificate | 将一个或多个标签添加到证书中。 | 标记 | |||
| DeleteCertificate | 删除证书及其关联的私有密钥。 | 写入 | |||
| DescribeCertificate | 返回指定证书中包含的字段列表。 | Read | |||
| ExportCertificate | 导出私有证书颁发机构 (CA) 颁发的私有证书以在任何位置中使用。 | Read | |||
| GetCertificate | 检索证书以及 ARN 指定的证书的证书链。 | Read | |||
| ImportCertificate | 将第三方 SSL/TLS 证书导入到 AWS Certificate Manager (ACM) 中。 | 写入 | |||
| ListCertificates | 检索证书 ARN 以及每个 ARN 的域名列表。 | List | |||
| ListTagsForCertificate | 列出已应用于证书的标签。 | Read | |||
| RemoveTagsFromCertificate | 从证书中删除一个或多个标签。一个标签由一个键值对组成 | 标记 | |||
| RenewCertificate | 续订符合条件的私有证书。 | 写入 | |||
| RequestCertificate | 申请公有或私有证书。 | 写入 | |||
| ResendValidationEmail | 重新发送电子邮件以请求验证域所有权。 | 写入 | |||
| UpdateCertificateOptions | 更新证书。用于指定是选择加入还是退出证书透明度日志记录。 | 写入 |
AWS Certificate Manager 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅 资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| certificate |
arn:${Partition}:acm:${Region}:${Account}:certificate/${CertificateId}
|
AWS Certificate Manager 的条件键
AWS Certificate Manager 定义以下可以在 IAM 策略的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅 条件键表。
要查看适用于所有服务的全局条件键,请参阅 IAM 策略参考 中的可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 根据在请求中是否具有标签键值对以筛选操作 | 字符串 |
| aws:ResourceTag/${TagKey} | 根据附加到资源的标签键值对筛选操作 | 字符串 |
| aws:TagKeys | 根据在请求中是否具有标签键以筛选操作 | 字符串 |