View a markdown version of this page

Resource-based políticas - AWS Private Certificate Authority
Ejemplos de políticas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Resource-based políticas

Resource-based las políticas son políticas de permisos que se crean y se adjuntan manualmente a un recurso (en este caso, una CA privada) en lugar de a una identidad o rol de usuario. O bien, en lugar de crear sus propias políticas, puede utilizar políticas AWS administradas AWS Private CA. Al AWS RAM aplicar una política basada en recursos, un Autoridad de certificación privada de AWS administrador puede compartir el acceso a una CA con un usuario de una AWS cuenta diferente directamente o a través de ella. AWS Organizations Como alternativa, un Autoridad de certificación privada de AWS administrador puede usar las API PutPolicyde la PCA o los AWS CLI comandos correspondientes put-policy DeletePolicy, get-policy y delete-policy para aplicar y administrar políticas basadas en recursos. GetPolicy

Para obtener información general sobre las políticas basadas en recursos, consulte Políticas y políticas y Control del acceso mediante políticas. Identity-Based Resource-Based

Para ver la lista de políticas AWS gestionadas basadas en recursos AWS Private CA, vaya a la biblioteca de permisos gestionados de la AWS Resource Access Manager consola y busque. CertificateAuthority Como ocurre con cualquier política, antes de aplicarla, le recomendamos que la aplique en un entorno de prueba para asegurarse de que cumple sus requisitos.

Autoridad de certificación privada de AWS también admite los permisos de RAM gestionados por el cliente, que permiten definir una combinación personalizada de acciones del siguiente conjunto: DescribeCertificateAuthority GetCertificateGetCertificateAuthorityCertificate,ListPermissions,ListTags,IssueCertificate, yRevokeCertificate. Los permisos gestionados por el cliente le ofrecen la flexibilidad de conceder el acceso con los privilegios mínimos, por ejemplo, conceden acceso de solo lectura a algunas cuentas y permiten a otras emitir y revocar certificados. Para obtener más información, consulte Permisos gestionados por el cliente en la RAM.

AWS Certificate Manager (ACM) con acceso compartido entre cuentas a una entidad emisora de certificados privada pueden emitir certificados gestionados firmados por la entidad emisora de certificados. Al conceder el permiso a la IssueCertificate acción, puede restringir las plantillas de certificados utilizadas para la emisión de certificados añadiendo una acm-pca:TemplateArn condición a la política.

Ejemplos de políticas

En esta sección se proporcionan ejemplos de políticas multicuentas para diversas necesidades. En todos los casos, se utiliza el siguiente patrón de comandos para aplicar una política:

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

Además de especificar el ARN de una CA, el administrador proporciona un identificador de AWS cuenta o un AWS Organizations identificador al que se concederá acceso a la entidad emisora de certificados. El JSON de cada una de las siguientes políticas tiene el formato de un archivo para facilitar la lectura, pero también se puede proporcionar como argumentos CLI en línea.

nota

Debe seguirse con precisión la estructura de las políticas basadas en recursos de JSON que se muestra a continuación. Los clientes solo pueden configurar los campos de ID de los principales (el número de AWS cuenta o el ID de la AWS organización) y los ARN de CA.

  1. Archivo: policy1.json — Compartir el acceso a una CA con un usuario de una cuenta diferente

    Sustitúyalos por el ID de AWS cuenta 555555555555 con el que se comparte la CA.

    Para el ARN del recurso, sustituya lo siguiente por sus propios valores:

    • aws- La AWS partición. Por ejemplo, awsaws-us-gov,aws-cn,, etc.

    • us-east-1- La AWS región en la que está disponible el recurso, por ejemplous-west-1.

    • 111122223333- El ID de AWS cuenta del propietario del recurso.

    • 11223344-1234-1122-2233-112233445566- El ID de recurso de la autoridad de certificación.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [{
            "Sid": "ExampleStatementID",
            "Effect": "Allow",
            "Principal": {
                "AWS": "555555555555"
            },
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListPermissions",
                "acm-pca:ListTags"
            ],
            "Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID"
        },
        {
            "Sid": "ExampleStatementID2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "555555555555"
            },
            "Action": [
                "acm-pca:IssueCertificate"
            ],
            "Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
                }
            }
        }
    ]
}

  2. Archivo: policy2.json — Compartir el acceso a una CA mediante AWS Organizations

    o-a1b2c3d4z5Sustitúyalo por el ID AWS Organizations .

    Para el ARN del recurso, sustituya lo siguiente por sus propios valores:

    • aws- La AWS partición. Por ejemplo, awsaws-us-gov,aws-cn,, etc.

    • us-east-1- La AWS región en la que está disponible el recurso, por ejemplous-west-1.

    • 111122223333- El ID de AWS cuenta del propietario del recurso.

    • 11223344-1234-1122-2233-112233445566- El ID de recurso de la autoridad de certificación.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ExampleStatementID3",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "acm-pca:IssueCertificate",
            "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
                    "aws:PrincipalOrgID": "o-a1b2c3d4z5"
                },
                "StringNotEquals": {
                    "aws:PrincipalAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "ExampleStatementID4",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListPermissions",
                "acm-pca:ListTags"
            ],
            "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-a1b2c3d4z5"
                },
                "StringNotEquals": {
                    "aws:PrincipalAccount": "111122223333"
                }
            }
        }
    ]
}