Uso de claves de condición con ACM - AWS Certificate Manager
Condiciones compatibles con ACMEjemplo 1: Restringir el método de validaciónEjemplo 2: Evitar los dominios comodínEjemplo 3: Restringir los dominios de certificadosEjemplo 4: Restringir los algoritmos de claveEjemplo 5: Restringir la entidad de certificación

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de claves de condición con ACM

AWS Certificate Manager utiliza claves de condición de AWS Identity and Access Management (IAM) para limitar el acceso a las solicitudes de certificados. Con las claves de condición de las políticas de IAM o las políticas de control de servicio (SCP), puede crear solicitudes de certificados que se ajusten a las directrices de su organización.

nota

Combine las claves de condición de ACM con las claves de condición globales de AWS, como aws:PrincipalArn, para restringir aún más las acciones a usuarios o roles específicos.

Condiciones compatibles con ACM

Utilice las barras de desplazamiento para ver el resto de la tabla.

Operaciones de la API de ACM y condiciones compatibles
Clave de condición Operaciones de la API de ACM compatibles Tipo Descripción

acm:ValidationMethod

RequestCertificate

Cadena (EMAIL, DNS)

Filtra las solicitudes en función del método de validación de ACM

acm:DomainNames

RequestCertificate

ArrayOfString

Filtra en función de los nombres de dominio en la solicitud de ACM

acm:KeyAlgorithm

RequestCertificate

Cadena

Filtra las solicitudes en función del tamaño y algoritmo de clave de ACM

acm:CertificateTransparencyLogging

RequestCertificate

Cadena (ENABLED, DISABLED)

Filtra las solicitudes en función de la preferencia de registro de transparencia del certificado de ACM

acm:CertificateAuthority

RequestCertificate

ARN

Filtra las solicitudes en función de las entidades de certificación en la solicitud de ACM

Ejemplo 1: Restringir el método de validación

La siguiente política deniega las solicitudes de certificados nuevas mediante el método de Validación por correo electrónico, excepto en el caso de una solicitud que se realiza mediante el rol arn:aws:iam::123456789012:role/AllowedEmailValidation.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}

Ejemplo 2: Evitar los dominios comodín

La siguiente política deniega cualquier solicitud de certificado de ACM nueva que utilice dominios comodín.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}

Ejemplo 3: Restringir los dominios de certificados

La siguiente política deniega cualquier solicitud de certificado de ACM nueva para dominios que no terminen con *.amazonaws.com.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}

La política podría restringirse aún más a subdominios específicos. Esta política solo permitiría solicitudes en las que cada dominio coincida con al menos uno de los nombres de dominio condicionales.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}

Ejemplo 4: Restringir los algoritmos de clave

La siguiente política utiliza la clave de condición StringNotLike para permitir solo los certificados que se soliciten con el algoritmo de clave ECDSA de 384 bits (EC_secp384r1).


{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}

La siguiente política utiliza la clave de condición StringLike y el comodín * coincidente para evitar las solicitudes de certificados nuevos en ACM con cualquier algoritmo de clave RSA.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}

Ejemplo 5: Restringir la entidad de certificación

La siguiente política solo permitiría las solicitudes de certificados privados mediante el ARN de la entidad de certificación privada (PCA) proporcionado. 


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}

Esta política utiliza la condición acm:CertificateAuthority para permitir solo las solicitudes de certificados de confianza públicos que emite Amazon Trust Services. Configurar el ARN de la entidad de certificación en false evita las solicitudes de certificados privados de la PCA.


{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}