本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
客户托管策略
作为最佳实践,请勿使用您的 Amazon Web Services 账户根用户 与之互动 Amazon,包括 Amazon 私有 CA。而是使用 Amazon Identity and Access Management (IAM) 来创建IAM用户、IAM角色或联合用户。创建管理员组并将自己添加到其中。然后作为管理员登录。根据需要向组添加其他用户。
另一种最佳做法是创建可以分配给用户的客户托管IAM策略。客户托管的策略是您可创建的基于身份的独立策略,您可以将这些策略附加到 Amazon 账户中的多个用户、组或角色。这样的策略限制用户只能执行您指定的 Amazon 私有 CA 操作。
下面的示例客户托管策略允许用户创建 CA 审计报告。这只是一个示例。你可以选择任何你想要的 Amazon 私有 CA 操作。有关更多示例,请参阅内联策略。
创建客户托管策略
-
使用 Amazon 管理员的凭据登录IAM控制台。
-
在控制台的导航窗格中,选择策略。
-
选择创建策略。
-
选择JSON选项卡。
-
复制以下策略并将其粘贴到编辑器中。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:CreateCertificateAuthorityAuditReport", "Resource":"*" } ] }
-
选择查看策略。
-
对于名称,键入
PcaListPolicy
。 -
(可选) 键入描述。
-
选择创建策略。
管理员可以将该策略附加到任何IAM用户,以限制该用户可以执行的操作。 Amazon 私有 CA 有关应用权限策略的方法,请参阅《IAM用户指南》中的更改IAM用户权限。