Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Uso de claves de condición con ACM

Modo de enfoque
Uso de claves de condición con ACM - AWS Certificate Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Certificate Manager utiliza claves de condición AWS Identity and Access Management (IAM) para limitar el acceso a las solicitudes de certificados. Con las claves de condición de las políticas de IAM o las políticas de control de servicio (SCP), puede crear solicitudes de certificados que se ajusten a las directrices de su organización.

nota

Combine las claves de condición de ACM con las claves de condición AWS globales aws:PrincipalArn para restringir aún más las acciones a usuarios o roles específicos.

Condiciones compatibles con ACM

Utilice las barras de desplazamiento para ver el resto de la tabla.

Operaciones de la API de ACM y condiciones compatibles
Clave de condición Operaciones de la API de ACM compatibles Tipo Descripción

acm:ValidationMethod

RequestCertificate

Cadena (EMAIL, DNS)

Filtra las solicitudes en función del método de validación de ACM

acm:DomainNames

RequestCertificate

ArrayOfString

Filtra en función de los nombres de dominio en la solicitud de ACM

acm:KeyAlgorithm

RequestCertificate

Cadena

Filtra las solicitudes en función del tamaño y algoritmo de clave de ACM

acm:CertificateTransparencyLogging

RequestCertificate

Cadena (ENABLED, DISABLED)

Filtra las solicitudes en función de la preferencia de registro de transparencia del certificado de ACM

acm:CertificateAuthority

RequestCertificate

ARN

Filtra las solicitudes en función de las entidades de certificación en la solicitud de ACM

Ejemplo 1: Restringir el método de validación

La siguiente política deniega las solicitudes de certificados nuevas mediante el método de Validación por correo electrónico, excepto en el caso de una solicitud que se realiza mediante el rol arn:aws:iam::123456789012:role/AllowedEmailValidation.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringLike" : { "acm:ValidationMethod":"EMAIL" }, "ArnNotLike": { "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"] } } } }

Ejemplo 2: Evitar los dominios comodín

La siguiente política deniega cualquier solicitud de certificado de ACM nueva que utilice dominios comodín.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition": { "ForAnyValue:StringLike": { "acm:DomainNames": [ "${*}.*" ] } } } }

Ejemplo 3: Restringir los dominios de certificados

La siguiente política deniega cualquier solicitud de certificado de ACM nueva para dominios que no terminen con *.amazonaws.com.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition": { "ForAnyValue:StringNotLike": { "acm:DomainNames": ["*.amazonaws.com"] } } } }

La política podría restringirse aún más a subdominios específicos. Esta política solo permitiría solicitudes en las que cada dominio coincida con al menos uno de los nombres de dominio condicionales.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition": { "ForAllValues:StringNotLike": { "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"] } } } }

Ejemplo 4: Restringir los algoritmos de clave

La siguiente política utiliza la clave de condición StringNotLike para permitir solo los certificados que se soliciten con el algoritmo de clave ECDSA de 384 bits (EC_secp384r1).

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringNotLike" : { "acm:KeyAlgorithm":"EC_secp384r1" } } } }

La siguiente política utiliza la clave de condición StringLike y el comodín * coincidente para evitar las solicitudes de certificados nuevos en ACM con cualquier algoritmo de clave RSA.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringLike" : { "acm:KeyAlgorithm":"RSA*" } } } }

Ejemplo 5: Restringir la entidad de certificación

La siguiente política solo permitiría las solicitudes de certificados privados mediante el ARN de la entidad de certificación privada (PCA) proporcionado.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "StringNotLike": { "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID" } } } }

Esta política utiliza la condición acm:CertificateAuthority para permitir solo las solicitudes de certificados de confianza públicos que emite Amazon Trust Services. Configurar el ARN de la entidad de certificación en false evita las solicitudes de certificados privados de la PCA.

{ "Version":"2012-10-17", "Statement":{ "Effect":"Deny", "Action":"acm:RequestCertificate", "Resource":"*", "Condition":{ "Null" : { "acm:CertificateAuthority":"false" } } } }
PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.