View a markdown version of this page

Politiques en ligne - AWS Autorité de certification privée
Répertorier des CA privéesRécupération d'un certificat CA privéImportation d'un certificat CA privéSupprimer une autorité de certification privéeTag-on-create: Attacher des tags à une autorité de certification au moment de sa créationTag-on-create: Balisage restreintContrôle de l'accès à l'autorité de certification privée à l'aide de balisesRead-only accès à Autorité de certification privée AWSAccès complet à Autorité de certification privée AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques en ligne

Les stratégies en ligne sont des stratégies que vous créez, gérez et intégrez directement à un utilisateur, un groupe ou un rôle. Les exemples de politique suivants montrent comment attribuer des autorisations pour effectuer des Autorité de certification privée AWS actions. Pour obtenir des informations générales sur les politiques intégrées, consultez la section Utilisation des politiques intégrées dans le guide de l'utilisateur IAM. Vous pouvez utiliser l'API AWS Management Console, le AWS Command Line Interface (AWS CLI) ou l'API IAM pour créer et intégrer des politiques intégrées.

Important

Nous vous recommandons vivement d'utiliser l'authentification multifactorielle (MFA) à chaque fois que vous y accédez. Autorité de certification privée AWS

Répertorier des CA privées

La stratégie suivante permet à un utilisateur d'établir la liste de toutes les autorités de certification privées figurant dans un compte.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

Récupération d'un certificat CA privé

La stratégie suivante permet à un utilisateur de récupérer un certificat d'une autorité de certification privée spécifique.

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

Importation d'un certificat CA privé

La stratégie suivante permet à un utilisateur d'importer un certificat d'une autorité de certification privée.

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

Supprimer une autorité de certification privée

La stratégie suivante permet à un utilisateur de supprimer une autorité de certification privée.

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"   }
}

Tag-on-create: Attacher des tags à une autorité de certification au moment de sa création

La politique suivante permet à un utilisateur d'appliquer des balises lors de la création de l'autorité de certification.

JSON
{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: Balisage restreint

La politique tag-on-create suivante empêche l'utilisation de la paire clé-valeur Environment=Prod lors de la création de l'autorité de certification. Le balisage avec d'autres paires clé-valeur est autorisé.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

Contrôle de l'accès à l'autorité de certification privée à l'aide de balises

La politique suivante n'autorise l'accès qu'aux autorités de certification dotées de la paire clé-valeur Environment=. PreProd Elle exige également que les nouvelles autorités de certification incluent cette balise.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

Read-only accès à Autorité de certification privée AWS

La stratégie suivante permet à un utilisateur de décrire et de répertorier des autorités de certification privées et de récupérer le certificat d'une autorité de certification privée et la chaîne de certificats.

JSON
{
    "Version":"2012-10-17",
    "Statement":{
       "Effect":"Allow",
       "Action":[
          "acm-pca:DescribeCertificateAuthority",
          "acm-pca:DescribeCertificateAuthorityAuditReport",
          "acm-pca:ListCertificateAuthorities",
          "acm-pca:ListTags",
          "acm-pca:GetCertificateAuthorityCertificate",
          "acm-pca:GetCertificateAuthorityCsr",
          "acm-pca:GetCertificate"
       ],
       "Resource":"*"
    }
}

Accès complet à Autorité de certification privée AWS

La politique suivante permet à un utilisateur d'effectuer n'importe quelle Autorité de certification privée AWS action.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}