Verwenden Sie Bedingungstasten mit ACM - AWS Certificate Manager
Unterstützte Bedingungen für ACMBeispiel 1: Validierungsmethode einschränkenBeispiel 2: Platzhalter-Domains verhindernBeispiel 3: Zertifikatsdomains einschränkenBeispiel 4: Schlüsselalgorithmus einschränkenBeispiel 5: Zertifizierungsstelle einschränken

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie Bedingungstasten mit ACM

AWS Certificate Manager Verwendungszwecke AWS Identity and Access Management (IAM) Bedingungsschlüssel, um den Zugriff auf Zertifikatsanfragen einzuschränken. Mit Bedingungsschlüsseln aus IAM Richtlinien oder Service Control-Richtlinien (SCP) können Sie Zertifikatsanforderungen erstellen, die den Richtlinien Ihrer Organisation entsprechen.

Anmerkung

Kombinieren Sie ACM Bedingungsschlüssel mit AWS globale Bedingungsschlüsselaws:PrincipalArn, um beispielsweise Aktionen weiter auf bestimmte Benutzer oder Rollen zu beschränken.

Unterstützte Bedingungen für ACM

Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.

ACMAPIOperationen und unterstützte Bedingungen
Bedingungsschlüssel Unterstützte ACM API Operationen Typ Beschreibung

acm:ValidationMethod

RequestCertificate

Zeichenfolge (EMAIL, DNS)

Filtern Sie Anfragen auf der Grundlage der ACM Validierungsmethode

acm:DomainNames

RequestCertificate

ArrayOfString

Filtern Sie basierend auf den Domainnamen in der ACM Anfrage

acm:KeyAlgorithm

RequestCertificate

String

Filtern Sie Anfragen anhand des ACM Schlüsselalgorithmus und der Größe

acm:CertificateTransparencyLogging

RequestCertificate

Zeichenfolge (ENABLED, DISABLED)

Filtern Sie Anfragen anhand der Präferenz für die Protokollierung der ACM Zertifikatstransparenz

acm:CertificateAuthority

RequestCertificate

ARN

Filtern Sie Anfragen auf der Grundlage der in der ACM Anfrage enthaltenen Zertifizierungsstellen

Beispiel 1: Validierungsmethode einschränken

Die folgende Richtlinie verweigert neue Zertifikatsanträge, die die E-Mail-Validierungsmethode verwenden, mit Ausnahme von Anträgen, die über die arn:aws:iam::123456789012:role/AllowedEmailValidation-Rolle gestellt werden.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}

Beispiel 2: Platzhalter-Domains verhindern

Die folgende Richtlinie lehnt jede neue ACM Zertifikatsanforderung ab, die Platzhalterdomänen verwendet.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}

Beispiel 3: Zertifikatsdomains einschränken

Die folgende Richtlinie lehnt jede neue ACM Zertifikatsanforderung für Domänen ab, die nicht mit enden *.amazonaws.com


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}

Die Richtlinie kann weiter auf bestimmte Subdomains beschränkt werden. Diese Richtlinie würde nur Anfragen zulassen, bei denen jede Domain mit mindestens einem der bedingten Domainnamen übereinstimmt.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}

Beispiel 4: Schlüsselalgorithmus einschränken

Die folgende Richtlinie verwendet den BedingungsschlüsselStringNotLike, um nur Zertifikate zuzulassen, die mit dem ECDSA 384-Bit-Schlüsselalgorithmus (EC_secp384r1) angefordert wurden.


{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}

Die folgende Richtlinie verwendet den Bedingungsschlüssel StringLike und den * Platzhalterabgleich, um zu verhindern, dass Anfragen nach neuen Zertifikaten ACM mit einem beliebigen RSA Schlüsselalgorithmus angefordert werden.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}

Beispiel 5: Zertifizierungsstelle einschränken

Die folgende Richtlinie würde nur Anfragen nach privaten Zertifikaten über die bereitgestellte private Zertifizierungsstelle (PCA) ARN zulassen. 


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}

Diese Richtlinie verwendet die Bedingung acm:CertificateAuthority, um nur Anfragen für öffentlich vertrauenswürdige Zertifikate zuzulassen, die von Amazon Trust Services ausgestellt wurden. Wenn Sie die Zertifizierungsstelle ARN auf einstellen, false wird verhindert, dass Anfragen nach privaten Zertifikaten vonPCA.


{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}