Ressourcenbasierte Richtlinien - AWS Private Certificate Authority
Beispiele für Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ressourcenbasierte Richtlinien

Ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie erstellen und manuell einer Ressource (in diesem Fall einer privaten Zertifizierungsstelle) und nicht einer Benutzeridentität oder Rolle zuordnen. Anstatt Ihre eigenen Richtlinien zu erstellen, können Sie auch AWS verwaltete Richtlinien für verwenden. AWS Private CA Durch AWS RAM die Anwendung einer ressourcenbasierten Richtlinie kann ein AWS Private CA Administrator den Zugriff auf eine Zertifizierungsstelle direkt oder über einen Benutzer mit einem anderen AWS Konto teilen. AWS Organizations Alternativ kann ein AWS Private CA Administrator die Befehle PCA APIs PutPolicy, GetPolicyund oder die entsprechenden AWS CLI Befehle put-policy DeletePolicy, get-policy und delete-policy verwenden, um ressourcenbasierte Richtlinien anzuwenden und zu verwalten.

Allgemeine Informationen zu ressourcenbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und Ressourcenbasierte Richtlinien und Zugriffskontrolle mithilfe von Richtlinien.

Um die Liste der AWS verwalteten ressourcenbasierten Richtlinien für anzuzeigen AWS Private CA, navigieren Sie in der Konsole zur Bibliothek für verwaltete Berechtigungen und suchen Sie nach. AWS Resource Access Manager CertificateAuthority Wie bei jeder Richtlinie empfehlen wir, die Richtlinie vor ihrer Anwendung in einer Testumgebung anzuwenden, um sicherzustellen, dass sie Ihren Anforderungen entspricht.

AWS Certificate Manager (ACM) Benutzer mit kontenübergreifendem gemeinsamen Zugriff auf eine private Zertifizierungsstelle können verwaltete Zertifikate ausstellen, die von der Zertifizierungsstelle signiert sind. Kontoübergreifende Aussteller sind durch eine ressourcenbasierte Richtlinie eingeschränkt und haben nur Zugriff auf die folgenden Vorlagen für Endzertifikate:

Beispiele für Richtlinien

Dieser Abschnitt enthält Beispiele für kontoübergreifende Richtlinien für verschiedene Bedürfnisse. In allen Fällen wird das folgende Befehlsmuster verwendet, um eine Richtlinie anzuwenden:

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

Zusätzlich zur Angabe ARN der Zertifizierungsstelle gibt der Administrator eine AWS Konto-ID oder eine AWS Organizations ID an, der Zugriff auf die Zertifizierungsstelle gewährt wird. Jede JSON der folgenden Richtlinien ist aus Gründen der Lesbarkeit als Datei formatiert, kann aber auch als Inline-Argumente angegeben werden. CLI

Anmerkung

Die unten dargestellte Struktur der JSON ressourcenbasierten Richtlinien muss genau eingehalten werden. Nur die ID-Felder für die Principals (die AWS Kontonummer oder die AWS Organisations-ID) und die CA ARNs können von Kunden konfiguriert werden.

  1. Datei: policy1.json — Teilen des Zugriffs auf eine CA mit einem Benutzer in einem anderen Konto

    Ersetzen 555555555555 mit der AWS Konto-ID, die sich die CA teilt.

    Ersetzen Sie für ARN die Ressource Folgendes durch Ihre eigenen Werte:

    • aws- Die AWS Partition. Zum Beispielaws, aws-us-govaws-cn,, usw.

    • us-east-1- Die AWS Region, in der die Ressource verfügbar ist, z. us-west-1 B.

    • 111122223333- Die AWS Konto-ID des Ressourcenbesitzers.

    • 11223344-1234-1122-2233-112233445566- Die Ressourcen-ID der Zertifizierungsstelle.

     {                        
   "Version":"2012-10-17",
   "Statement":[
      {    
         "Sid":"ExampleStatementID",
         "Effect":"Allow",         
         "Principal":{                                                                                                                                               
            "AWS":"555555555555"                                                                                
         },
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"                                                                                   
         ],                                                                                              
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
      },
      {
         "Sid":"ExampleStatementID2",  
         "Effect":"Allow",
         "Principal":{
            "AWS":"555555555555"
         },
         "Action":[
            "acm-pca:IssueCertificate"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
            }
         }
      }
   ]
}

  2. Datei: policy2.json — Gemeinsamer Zugriff auf eine CA über AWS Organizations

    Ersetzen o-a1b2c3d4z5 mit der ID. AWS Organizations

    Ersetzen Sie für ARN die Ressource Folgendes durch Ihre eigenen Werte:

    • aws- Die AWS Partition. Zum Beispielaws, aws-us-govaws-cn,, usw.

    • us-east-1- Die AWS Region, in der die Ressource verfügbar ist, z. us-west-1 B.

    • 111122223333- Die AWS Konto-ID des Ressourcenbesitzers.

    • 11223344-1234-1122-2233-112233445566- Die Ressourcen-ID der Zertifizierungsstelle.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ExampleStatementID3",
         "Effect":"Allow",
         "Principal":"*",
         "Action":"acm-pca:IssueCertificate",
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1",
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
            }
         }
      },
      {
         "Sid":"ExampleStatementID4",
         "Effect":"Allow",
         "Principal":"*",
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
         }
      }
   ]
}