内联策略 - Amazon Private Certificate Authority
私有上市 CAs检索私有 CA 证书导入私有 CA 证书删除私有 CATag-on-create:在创建 CA 时将标签附加到 CATag-on-create: 受限标记使用标签控制对私有 CA 的访问权限 只读访问权限 Amazon 私有 CA完全访问权限 Amazon 私有 CA
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

内联策略

内联策略是由您创建和管理的策略,它们直接嵌入在用户、组或角色中。以下策略示例说明如何分配执行 Amazon 私有 CA 操作的权限。有关内联策略的一般信息,请参阅《IAM 用户指南》https://docs.amazonaws.cn/IAM/latest/UserGuide/中的使用内联策略。您可以使用 Amazon Web Services Management Console、 Amazon Command Line Interface (Amazon CLI) 或 IAM API 来创建和嵌入内联策略。

重要

我们强烈建议您在访问时使用多因素身份验证 (MFA)。 Amazon 私有 CA

私有上市 CAs

以下策略允许用户列出账户 CAs 中的所有私人。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

检索私有 CA 证书

以下策略允许用户检索特定的私有 CA 证书。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

导入私有 CA 证书

以下策略允许用户导入私有 CA 证书。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

删除私有 CA

以下策略允许用户删除特定的私有 CA。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"   }
}

Tag-on-create:在创建 CA 时将标签附加到 CA

以下策略允许用户在创建 CA 期间应用标签。

JSON
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: 受限标记

以下 tag-on-create策略禁止在创建 CA 期间使用密钥值对 Environment=Prod。允许使用其他键值对进行标记。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

使用标签控制对私有 CA 的访问权限

以下策略仅允许使用键值对 Env CAs ironment= 进行访问。PreProd它还要求新增 CAs 包含此标签。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

只读访问权限 Amazon 私有 CA

以下策略允许用户描述和列出私有证书颁发机构并检索私有 CA 证书和证书链。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

完全访问权限 Amazon 私有 CA

以下策略允许用户执行任何 Amazon 私有 CA 操作。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}