客户托管策略 - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

客户托管策略

作为最佳实践,请勿使用您的 Amazon Web Services 账户根用户 与之互动 Amazon,包括 Amazon 私有 CA。而是使用 Amazon Identity and Access Management (IAM) 来创建IAM用户、IAM角色或联合用户。创建管理员组并将自己添加到其中。然后作为管理员登录。根据需要向组添加其他用户。

另一种最佳做法是创建可以分配给用户的客户托管IAM策略。客户托管的策略是您可创建的基于身份的独立策略,您可以将这些策略附加到 Amazon 账户中的多个用户、组或角色。这样的策略限制用户只能执行您指定的 Amazon 私有 CA 操作。

下面的示例客户托管策略允许用户创建 CA 审计报告。这只是一个示例。你可以选择任何你想要的 Amazon 私有 CA 操作。有关更多示例,请参阅内联策略

创建客户托管策略
  1. 使用 Amazon 管理员的凭据登录IAM控制台。

  2. 在控制台的导航窗格中,选择策略

  3. 选择创建策略

  4. 选择JSON选项卡。

  5. 复制以下策略并将其粘贴到编辑器中。

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:CreateCertificateAuthorityAuditReport", "Resource":"*" } ] }
  6. 选择查看策略

  7. 对于名称,键入 PcaListPolicy

  8. (可选) 键入描述。

  9. 选择创建策略

管理员可以将该策略附加到任何IAM用户,以限制该用户可以执行的操作。 Amazon 私有 CA 有关应用权限策略的方法,请参阅《IAM用户指南》中的更改IAM用户权限