内联策略 - Amazon Private Certificate Authority
列出私有 CA检索私有 CA 证书导入私有 CA 证书删除私有 CATag-on-create:在创建 CA 时将标签附加到 CATag-on-create: 受限标记使用标签控制对私有 CA 的访问权限 只读访问权限 Amazon 私有 CA完全访问权限 Amazon 私有 CA对所有 Amazon 资源的管理员访问权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

内联策略

内联策略是由您创建和管理的策略,它们直接嵌入在用户、组或角色中。以下策略示例说明如何分配执行 Amazon 私有 CA 操作的权限。有关内联策略的一般信息,请参阅《IAM 用户指南》https://docs.amazonaws.cn/IAM/latest/UserGuide/中的使用内联策略。您可以使用 Amazon Web Services Management Console、 Amazon Command Line Interface (Amazon CLI) 或 IAM API 来创建和嵌入内联策略。

重要

我们强烈建议您在访问时使用多因素身份验证 (MFA)。 Amazon 私有 CA

列出私有 CA

以下策略允许用户列出账户中的所有私有 CA。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

检索私有 CA 证书

以下策略允许用户检索特定的私有 CA 证书。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

导入私有 CA 证书

以下策略允许用户导入私有 CA 证书。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

删除私有 CA

以下策略允许用户删除特定的私有 CA。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Tag-on-create:在创建 CA 时将标签附加到 CA

以下策略允许用户在创建 CA 期间应用标签。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: 受限标记

以下 tag-on-create 策略禁止在创建 CA 期间使用密钥值对 Environment=Prod。允许使用其他键值对进行标记。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

使用标签控制对私有 CA 的访问权限

以下策略仅允许访问带有键值对 Environment= 的 CA。PreProd它还要求新 CA 包含此标签。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

只读访问权限 Amazon 私有 CA

以下策略允许用户描述和列出私有证书颁发机构并检索私有 CA 证书和证书链。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

完全访问权限 Amazon 私有 CA

以下策略允许用户执行任何 Amazon 私有 CA 操作。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}

对所有 Amazon 资源的管理员访问权限

以下策略允许用户对任何 Amazon 资源执行任何操作。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"*",
         "Resource":"*"
      }
   ]
}