Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Politiques basées sur les ressources
Les politiques basées sur les ressources sont des politiques d'autorisation que vous créez et associez manuellement à une ressource (dans ce cas, une autorité de certification privée) plutôt qu'à une identité ou à un rôle d'utilisateur. Ou, au lieu de créer vos propres politiques, vous pouvez utiliser des politiques AWS gérées pour AWS CA privée. AWS RAM Pour appliquer une politique basée sur les ressources, un Autorité de certification privée AWS administrateur peut partager l'accès à une autorité de certification avec un utilisateur d'un autre AWS compte, directement ou par le biais de celui-ci. AWS Organizations Un Autorité de certification privée AWS administrateur peut également utiliser le PCA APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html), [GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html)et ou les AWS CLI commandes correspondantes [put-policy [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html), get-policy et delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)[, pour appliquer et gérer](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) [des politiques basées sur les ressources](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html).
[Pour des informations générales sur les politiques basées sur les ressources, consultez les sections Politiques basées sur l'[identité et Stratégies basées sur les ressources et Contrôle de l'accès à l'aide de politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html).](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)
Pour afficher la liste des politiques basées sur les ressources AWS gérées pour AWS CA privée, accédez à la [bibliothèque d'autorisations gérées](https://console.aws.amazon.com/ram/home#Permissions:) dans la AWS Resource Access Manager console et recherchez. **CertificateAuthority** Comme pour toute politique, avant de l'appliquer, nous vous recommandons de l'appliquer dans un environnement de test afin de vous assurer qu'elle répond à vos exigences.
Autorité de certification privée AWS prend également en charge les autorisations gérées par les clients RAM, qui vous permettent de définir une combinaison personnalisée d'actions à partir de l'ensemble suivant : `DescribeCertificateAuthority` `GetCertificate``GetCertificateAuthorityCertificate`,`ListPermissions`,`ListTags`,,`IssueCertificate`, et`RevokeCertificate`. Les autorisations gérées par le client vous offrent la flexibilité d'accorder un accès avec le moindre privilège, par exemple en accordant un accès en lecture seule à certains comptes tout en permettant à d'autres d'émettre et de révoquer des certificats. Pour de plus amples informations, veuillez consulter [Autorisations gérées par le client dans la RAM](pca-cmp.md).
AWS Certificate Manager (ACM) disposant d'un accès partagé entre comptes à une autorité de certification privée peuvent émettre des certificats gérés signés par l'autorité de certification. Lorsque vous autorisez l'`IssueCertificate`action, vous pouvez restreindre les modèles de certificats utilisés pour l'émission de certificats en ajoutant une `acm-pca:TemplateArn` condition à la politique.
## Exemples de politiques
Cette section fournit des exemples de politiques multi-comptes adaptées à différents besoins. Dans tous les cas, le modèle de commande suivant est utilisé pour appliquer une politique :
```
$ aws acm-pca put-policy \
--region region \
--resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--policy file:///[path]/policyN.json
```
En plus de spécifier l'ARN d'une autorité de certification, l'administrateur fournit un identifiant de AWS compte ou un AWS Organizations identifiant qui sera autorisé à accéder à l'autorité de certification. Le JSON de chacune des politiques suivantes est formaté sous forme de fichier pour plus de lisibilité, mais peut également être fourni sous forme d'arguments de CLI en ligne.
**Note**
La structure des politiques basées sur les ressources JSON présentée ci-dessous doit être suivie avec précision. Seuls les champs d'identification des principaux (le numéro de AWS compte ou l'ID AWS des Organizations) et de l'autorité de certification ARNs peuvent être configurés par les clients.
1. **Fichier : policy1.json — Partage de l'accès à une autorité de certification avec un utilisateur d'un autre compte**
*555555555555*Remplacez-le par l'identifiant du AWS compte qui partage l'autorité de certification.
Pour l'ARN de la ressource, remplacez les valeurs suivantes par vos propres valeurs :
+ `aws`- La AWS cloison. Par exemple, `aws``aws-us-gov`,`aws-cn`,, etc.
+ `us-east-1`- La AWS région dans laquelle la ressource est disponible, par exemple`us-west-1`.
+ `111122223333`- L'identifiant de AWS compte du propriétaire de la ressource.
+ `11223344-1234-1122-2233-112233445566`- L'ID de ressource de l'autorité de certification.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "ExampleStatementID",
"Effect": "Allow",
"Principal": {
"AWS": "555555555555"
},
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID"
},
{
"Sid": "ExampleStatementID2",
"Effect": "Allow",
"Principal": {
"AWS": "555555555555"
},
"Action": [
"acm-pca:IssueCertificate"
],
"Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
}
}
]
}
```
------
1. **Fichier : policy2.json — Partage de l'accès à une autorité de certification via AWS Organizations**
Remplacez *o-a1b2c3d4z5* par l' AWS Organizations ID.
Pour l'ARN de la ressource, remplacez les valeurs suivantes par vos propres valeurs :
+ `aws`- La AWS cloison. Par exemple, `aws``aws-us-gov`,`aws-cn`,, etc.
+ `us-east-1`- La AWS région dans laquelle la ressource est disponible, par exemple`us-west-1`.
+ `111122223333`- L'identifiant de AWS compte du propriétaire de la ressource.
+ `11223344-1234-1122-2233-112233445566`- L'ID de ressource de l'autorité de certification.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExampleStatementID3",
"Effect": "Allow",
"Principal": "*",
"Action": "acm-pca:IssueCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
"aws:PrincipalOrgID": "o-a1b2c3d4z5"
},
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
},
{
"Sid": "ExampleStatementID4",
"Effect": "Allow",
"Principal": "*",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4z5"
},
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
------