管理对您的 ACM 资源的访问概述 - Amazon Certificate Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

管理对您的 ACM 资源的访问概述

每个 Amazon Certificate Manager (ACM) 资源属于一个Amazon账户,而创建或访问资源的权限在该账户的权限策略中定义。账户管理员可以向 IAM 身份(即:用户、组和角色)附加权限策略。一些服务(包括 ACM)还支持向资源附加权限策略。

注意

账户管理员 (或管理员用户) 是具有管理员权限的用户。有关更多信息,请参阅 IAM 用户指南中的创建管理员用户和组

在管理权限时,您要决定谁可以获得权限、获得哪些资源的权限以及允许的特定操作。

ACM 资源和操作

在 ACM 中,主要资源是证书。证书具有关联的唯一 Amazon 资源名称 (ARN),如以下列表所示。

  • ACM 证书

    ARN 格式:

    arn:aws:acm:Amazon region:Amazon account ID:certificate/Certificate ID

    示例 ARN:

    arn:aws:acm:us-west-2:123456789012:certificate/12345678-12ab-34cd-56ef-12345678

了解资源所有权

资源所有者是创建资源的 Amazon 账户。也就是说,资源所有者是Amazon委托人实体 账户,可对创建相应资源的请求进行身份验证。(委托人实体可以是Amazon账户根用户、IAM 用户或 IAM 角色。) 以下示例说明了它的工作原理。

  • 如果您使用Amazon账户根用户的凭证创建 ACM 证书,则您的Amazon账户拥有该证书。

  • 如果您在自己的Amazon账户中创建 IAM 用户,您可以向该用户授予创建 ACM 证书的权限。但是,该用户所属的账户拥有该证书。

  • 如果您在自己的Amazon账户中创建 IAM 角色,并向该角色授予创建 ACM 证书的权限,则任何能够担任该角色的人员均可创建证书。但是,该角色所属的账户拥有该证书。

管理对 ACM 证书的访问

权限策略规定谁可以访问哪些内容。本部分介绍创建权限策略时的可用选项。

注意

本节讨论如何在 ACM 上下文中使用 IAM。这里不提供有关 IAM 服务的详细信息。有关完整的 IAM 文档,请参阅 IAM 用户指南。有关 IAM 策略语法和说明的信息,请参阅 IAM 策略参考

您可以使用 IAM 创建策略,以便对 IAM 用户、组和角色应用权限。这些策略称为基于身份的策略。IAM 提供了以下类型的基于身份的策略:

  • Amazon托管策略 - 由Amazon创建和管理的策略。这些策略是可以附加到 Amazon 账户中的多个用户、组和角色的独立策略。

  • 客户托管策略 - 您在Amazon账户中创建和管理的策略,可以将这些策略附加到多个用户、组和角色。与使用 Amazon 托管策略相比,使用客户托管策略可以更精确地进行控制。

  • 内联策略 - 您创建和管理的策略,您将它们直接嵌入到单个用户、组或角色中。

其他服务(如 Amazon S3)还支持基于资源的权限策略。例如,您可以将策略附加到 Amazon S3 存储桶以管理对该存储桶的访问权限。ACM 不支持基于资源的策略。