Políticas basadas en recursos - AWS Private Certificate Authority
Ejemplos de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas basadas en recursos

Las políticas basadas en recursos son políticas de permisos que se crean y asocian manualmente a un recurso (en este caso, una CA privada) en lugar de a una identidad o un rol de un usuario. O bien, en lugar de crear sus propias políticas, puede utilizar políticas AWS gestionadas para. AWS Private CA Al AWS RAM aplicar una política basada en recursos, un Autoridad de certificación privada de AWS administrador puede compartir el acceso a una CA con un usuario de una AWS cuenta diferente directamente o a través de ella. AWS Organizations Como alternativa, un Autoridad de certificación privada de AWS administrador puede usar los comandos PCA APIs PutPolicyGetPolicyDeletePolicy, y o los AWS CLI comandos correspondientes put-policy, get-policy y delete-policy para aplicar y administrar políticas basadas en recursos.

Para obtener más información acerca de las políticas de acceso basadas en recursos, consulte Políticas basadas en identidad y Políticas basadas en recursos y Control del acceso usando políticas.

Para ver la lista de políticas basadas en recursos AWS gestionados AWS Private CA, vaya a la biblioteca de permisos gestionados de la consola y busque. AWS Resource Access Manager CertificateAuthority Como ocurre con cualquier política, antes de aplicarla, le recomendamos que la aplique en un entorno de prueba para asegurarse de que cumple sus requisitos.

AWS Certificate Manager (ACM) los usuarios con acceso compartido entre cuentas a una CA privada pueden emitir certificados gestionados firmados por la CA. Los emisores multicuentas están limitados por una política basada en los recursos y solo tienen acceso a las siguientes plantillas de certificados de entidad final:

Ejemplos de políticas

En esta sección se proporcionan ejemplos de políticas multicuentas para diversas necesidades. En todos los casos, se utiliza el siguiente patrón de comandos para aplicar una política:

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

Además de especificar el ARN de una CA, el administrador proporciona un identificador de AWS cuenta o un AWS Organizations identificador que permitirá el acceso a la entidad emisora de certificados. Cada una JSON de las siguientes políticas tiene el formato de un archivo para facilitar la lectura, pero también se puede proporcionar como argumentos en línea. CLI

nota

La estructura de las políticas JSON basadas en los recursos que se muestra a continuación debe seguirse con precisión. Los clientes solo ARNs pueden configurar los campos de ID de los principales (el número de AWS cuenta o el ID de la AWS organización) y la CA.

  1. Archivo: policy1.json — Compartir el acceso a una CA con un usuario de una cuenta diferente

    Reemplazar 555555555555 con el ID de AWS cuenta que comparte la CA.

    Para el recursoARN, sustituya lo siguiente por sus propios valores:

    • aws- La AWS partición. Por ejemplo, awsaws-us-gov,aws-cn,, etc.

    • us-east-1- La AWS región en la que está disponible el recurso, por ejemplous-west-1.

    • 111122223333- El ID de AWS cuenta del propietario del recurso.

    • 11223344-1234-1122-2233-112233445566- El ID de recurso de la autoridad de certificación.

     {                        
   "Version":"2012-10-17",
   "Statement":[
      {    
         "Sid":"ExampleStatementID",
         "Effect":"Allow",         
         "Principal":{                                                                                                                                               
            "AWS":"555555555555"                                                                                
         },
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"                                                                                   
         ],                                                                                              
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
      },
      {
         "Sid":"ExampleStatementID2",  
         "Effect":"Allow",
         "Principal":{
            "AWS":"555555555555"
         },
         "Action":[
            "acm-pca:IssueCertificate"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
            }
         }
      }
   ]
}

  2. Archivo: policy2.json — Compartir el acceso a una CA mediante AWS Organizations

    Reemplazar o-a1b2c3d4z5 con el ID. AWS Organizations

    Para el recursoARN, sustituya lo siguiente por sus propios valores:

    • aws- La AWS partición. Por ejemplo, awsaws-us-gov,aws-cn,, etc.

    • us-east-1- La AWS región en la que está disponible el recurso, por ejemplous-west-1.

    • 111122223333- El ID de AWS cuenta del propietario del recurso.

    • 11223344-1234-1122-2233-112233445566- El ID de recurso de la autoridad de certificación.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ExampleStatementID3",
         "Effect":"Allow",
         "Principal":"*",
         "Action":"acm-pca:IssueCertificate",
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1",
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
            }
         }
      },
      {
         "Sid":"ExampleStatementID4",
         "Effect":"Allow",
         "Principal":"*",
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
         }
      }
   ]
}