Utilisez les clés de condition avec ACM - AWS Certificate Manager
Conditions prises en charge pour ACMExemple 1 : restreindre la méthode de validationExemple 2 : empêcher les domaines génériquesExemple 3 : restreindre les domaines de certificatsExemple 4 : restreindre les clés d'algorithmeExemple 5 : restreindre l'autorité de certification

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisez les clés de condition avec ACM

AWS Certificate Manager les usages AWS Identity and Access Management (IAM) clés de condition pour limiter l'accès aux demandes de certificat. À l'aide des clés de condition issues des IAM politiques ou des politiques de contrôle des services (SCP), vous pouvez créer des demandes de certificat conformes aux directives de votre organisation.

Note

Combinez les clés de ACM condition avec AWS des clés de condition globales, par exemple aws:PrincipalArn pour restreindre davantage les actions à des utilisateurs ou à des rôles spécifiques.

Conditions prises en charge pour ACM

Utilisez les barres de défilement pour voir le reste du tableau.

ACMAPIopérations et conditions prises en charge
Clé de condition ACMAPIOpérations prises en charge Type Description

acm:ValidationMethod

RequestCertificate

Chaîne (EMAIL, DNS)

Filtrer les demandes en fonction de la méthode ACM de validation

acm:DomainNames

RequestCertificate

ArrayOfString

Filtrer en fonction des noms de domaine contenus dans la ACM demande

acm:KeyAlgorithm

RequestCertificate

Chaîne

Filtrer les demandes en fonction de l'algorithme ACM clé et de la taille

acm:CertificateTransparencyLogging

RequestCertificate

Chaîne (ENABLED, DISABLED)

Filtrer les demandes en fonction des préférences de journalisation relatives à la transparence des ACM certificats

acm:CertificateAuthority

RequestCertificate

ARN

Filtrer les demandes en fonction des autorités de certification figurant dans la ACM demande

Exemple 1 : restreindre la méthode de validation

La stratégie suivante refuse les nouvelles demandes de certificat à l'aide de la méthode de validation des e-mails, à l'exception d'une requête effectuée à l'aide du rôle arn:aws:iam::123456789012:role/AllowedEmailValidation.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}

Exemple 2 : empêcher les domaines génériques

La politique suivante refuse toute nouvelle demande de ACM certificat utilisant des domaines génériques.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}

Exemple 3 : restreindre les domaines de certificats

La politique suivante refuse toute nouvelle demande de ACM certificat pour les domaines qui ne se terminent pas par *.amazonaws.com


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}

La stratégie peut également être restreinte à des sous-domaines spécifiques. Cette stratégie n'autorise que les requêtes pour lesquelles chaque domaine correspond à au moins un des noms de domaine conditionnels.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}

Exemple 4 : restreindre les clés d'algorithme

La politique suivante utilise la clé de condition StringNotLike pour autoriser uniquement les certificats demandés avec l'algorithme de clé ECDSA 384 bits (EC_secp384r1).


{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}

La politique suivante utilise la * correspondance entre la clé de condition StringLike et le caractère générique pour empêcher les demandes de nouveaux certificats ACM avec un algorithme RSA clé.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}

Exemple 5 : restreindre l'autorité de certification

La politique suivante n'autoriserait les demandes de certificats privés qu'à l'aide de l'autorité de certification privée (PCA) fournieARN. 


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}

Cette politique utilise la condition acm:CertificateAuthority pour n'autoriser que les demandes de certificats publiquement fiables émis par Amazon Trust Services. Configuration de l'autorité ARN de certification pour false empêcher les demandes de certificats privés provenant dePCA.


{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}