Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Verwenden Sie Bedingungsschlüssel mit ACM

PDF
RSS
Fokusmodus
Verwenden Sie Bedingungsschlüssel mit ACM - AWS Certificate Manager
Unterstützte Bedingungen für ACMBeispiel 1: Validierungsmethode einschränkenBeispiel 2: Platzhalter-Domains verhindernBeispiel 3: Zertifikatsdomains einschränkenBeispiel 4: Schlüsselalgorithmus einschränkenBeispiel 5: Zertifizierungsstelle einschränken

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Certificate Manager verwendet AWS Identity and Access Management (IAM-) Bedingungsschlüssel, um den Zugriff auf Zertifikatsanfragen zu beschränken. Mit Bedingungsschlüsseln aus IAM-Richtlinien oder Service-Kontrollrichtlinien (SCP) können Sie Zertifikatsanforderungen erstellen, die den Richtlinien Ihres Unternehmens entsprechen.

Anmerkung

Kombinieren Sie ACM-Bedingungsschlüssel mit AWS globalen Bedingungsschlüsselnaws:PrincipalArn, um beispielsweise Aktionen weiter auf bestimmte Benutzer oder Rollen zu beschränken.

Unterstützte Bedingungen für ACM

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

ACM-API-Operationen und unterstützte Bedingungen
Bedingungsschlüssel Unterstützte ACM-API-Operationen Typ Beschreibung

acm:ValidationMethod

RequestCertificate

Zeichenfolge (EMAIL, DNS)

Filtern Sie Anfragen basierend auf der ACM-Validierungsmethode

acm:DomainNames

RequestCertificate

ArrayOfString

Filter basierend auf Domainnamen in der ACM-Anfrage

acm:KeyAlgorithm

RequestCertificate

String

Filtern Sie Anfragen basierend auf ACM-Schlüsselalgorithmus und Größe

acm:CertificateTransparencyLogging

RequestCertificate

Zeichenfolge (ENABLED, DISABLED)

Filtern Sie Anfragen basierend auf der bevorzugten Protokollierung der ACM-Zertifikatstransparenz

acm:CertificateAuthority

RequestCertificate

ARN

Filtern Sie Anfragen basierend auf Zertifizierungsstellen in der ACM-Anfrage

Beispiel 1: Validierungsmethode einschränken

Die folgende Richtlinie verweigert neue Zertifikatsanträge, die die E-Mail-Validierungsmethode verwenden, mit Ausnahme von Anträgen, die über die arn:aws:iam::123456789012:role/AllowedEmailValidation-Rolle gestellt werden.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}

Beispiel 2: Platzhalter-Domains verhindern

Die folgende Richtlinie verweigert jede neue ACM-Zertifikatsanfrage, die Platzhalter-Domains verwendet.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}

Beispiel 3: Zertifikatsdomains einschränken

Die folgende Richtlinie verweigert jede neue ACM-Zertifikatsanforderung für Domains, die nicht auf *.amazonaws.com enden


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}

Die Richtlinie kann weiter auf bestimmte Subdomains beschränkt werden. Diese Richtlinie würde nur Anfragen zulassen, bei denen jede Domain mit mindestens einem der bedingten Domainnamen übereinstimmt.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}

Beispiel 4: Schlüsselalgorithmus einschränken

Die folgende Richtlinie verwendet den Bedingungsschlüssel StringNotLike, um nur Zertifikate zuzulassen, die mit dem Schlüsselalgorithmus ECDSA 384 bit (EC_secp384r1) angefordert wurden.


{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}

Die folgende Richtlinie verwendet den Bedingungsschlüssel StringLike und den Platzhalterabgleich *, um Anfragen für neue Zertifikate in ACM mit jedem RSA-Schlüsselalgorithmus zu verhindern.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}

Beispiel 5: Zertifizierungsstelle einschränken

Die folgende Richtlinie würde nur Anfragen für private Zertifikate zulassen, die den bereitgestellten ARN der Private Certificate Authority (PCA) verwenden. 


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}

Diese Richtlinie verwendet die Bedingung acm:CertificateAuthority, um nur Anfragen für öffentlich vertrauenswürdige Zertifikate zuzulassen, die von Amazon Trust Services ausgestellt wurden. Wenn Sie den ARN der Zertifizierungsstelle auf false setzen, werden Anfragen für private Zertifikate von PCA verhindert.


{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.