Políticas insertadas - AWS Private Certificate Authority
Anuncio privado CAsRecuperar el certificado de una CA privadaImportar el certificado de una CA privadaEliminar una CA privadaTag-on-create: Adjuntar etiquetas a una CA en el momento de su creaciónTag-on-create: Etiquetado restringidoControlar el acceso a una CA privada usando etiquetas Acceso de solo lectura a Autoridad de certificación privada de AWSAcceso completo a Autoridad de certificación privada de AWSAcceso de administrador a todos los recursos de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas insertadas

Las políticas insertadas son aquellas que se crean, administran e integran directamente en un usuario, grupo o función. Los siguientes ejemplos de políticas muestran cómo asignar permisos para realizar acciones Autoridad de certificación privada de AWS . Para obtener información general sobre las políticas en línea, consulte Cómo trabajar con políticas en línea en la Guía del IAMusuario. Puede usar el AWS Management Console, el AWS Command Line Interface (AWS CLI) o el IAM API para crear e incrustar políticas en línea.

importante

Recomendamos encarecidamente el uso de la autenticación multifactorial (MFA) cada vez que acceda. Autoridad de certificación privada de AWS

Anuncio privado CAs

La siguiente política permite a un usuario incluir todos los datos privados CAs de una cuenta. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

Recuperar el certificado de una CA privada

La siguiente política permite al usuario recuperar el certificado de una CA privada. 

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Importar el certificado de una CA privada

La siguiente política permite al usuario importar el certificado de una CA privada. 

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Eliminar una CA privada

La siguiente política permite al usuario eliminar el certificado de una CA privada.

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Tag-on-create: Adjuntar etiquetas a una CA en el momento de su creación

La siguiente política permite a los usuarios aplicar etiquetas durante la creación de una CA.

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: Etiquetado restringido

La siguiente tag-on-create política impide el uso del par clave-valor Environment=Prod durante la creación de la CA. Se permite etiquetar con otros pares clave-valor. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

Controlar el acceso a una CA privada usando etiquetas

La siguiente política permite el acceso únicamente CAs con el par clave-valor Environment=. PreProd También requiere que los nuevos CAs incluyan esta etiqueta. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

Acceso de solo lectura a Autoridad de certificación privada de AWS

La siguiente política permite al usuario describir y mostrar las entidades de certificación privadas y recuperar el certificado de entidad de certificación privada y la cadena de certificados. 

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

Acceso completo a Autoridad de certificación privada de AWS

La siguiente política permite a un usuario realizar cualquier Autoridad de certificación privada de AWS acción. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}

Acceso de administrador a todos los recursos de AWS

La siguiente política permite a un usuario realizar cualquier acción en cualquier AWS recurso. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"*",
         "Resource":"*"
      }
   ]
}