Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Gunakan tombol kondisi dengan ACM

PDF
RSS
Mode fokus
Gunakan tombol kondisi dengan ACM - AWS Certificate Manager
Kondisi yang didukung untuk ACMContoh 1: Membatasi metode validasiContoh 2: Mencegah domain wildcardContoh 3: Membatasi domain sertifikatContoh 4: Membatasi algoritma kunciContoh 5: Membatasi otoritas sertifikat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Certificate Manager menggunakan kunci kondisi AWS Identity and Access Management (IAM) untuk membatasi akses ke permintaan sertifikat. Dengan kunci kondisi dari kebijakan IAM atau Kebijakan Kontrol Layanan (SCP), Anda dapat membuat permintaan sertifikat yang sesuai dengan pedoman organisasi Anda.

catatan

Gabungkan kunci kondisi ACM dengan kunci kondisi AWS global seperti aws:PrincipalArn untuk membatasi tindakan lebih lanjut pada pengguna atau peran tertentu.

Kondisi yang didukung untuk ACM

Gunakan bilah gulir untuk melihat seluruh tabel.

Operasi ACM API dan kondisi yang didukung
Kunci Syarat Operasi API ACM yang Didukung Tipe Deskripsi

acm:ValidationMethod

RequestCertificate

Tali (EMAIL,DNS)

Filter permintaan berdasarkan metode validasi ACM

acm:DomainNames

RequestCertificate

ArrayOfString

Filter berdasarkan nama domain dalam permintaan ACM

acm:KeyAlgorithm

RequestCertificate

String

Filter permintaan berdasarkan algoritma dan ukuran kunci ACM

acm:CertificateTransparencyLogging

RequestCertificate

Tali (ENABLED,DISABLED)

Filter permintaan berdasarkan preferensi pencatatan transparansi sertifikat ACM

acm:CertificateAuthority

RequestCertificate

ARN

Filter permintaan berdasarkan otoritas sertifikat dalam permintaan ACM

Contoh 1: Membatasi metode validasi

Kebijakan berikut menolak permintaan sertifikat baru menggunakan metode Validasi Email kecuali permintaan yang dibuat menggunakan peran tersebutarn:aws:iam::123456789012:role/AllowedEmailValidation.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}

Contoh 2: Mencegah domain wildcard

Kebijakan berikut menolak permintaan sertifikat ACM baru yang menggunakan domain wildcard.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}

Contoh 3: Membatasi domain sertifikat

Kebijakan berikut ini menolak permintaan sertifikat ACM baru untuk domain yang tidak diakhiri *.amazonaws.com


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}

Kebijakan ini dapat dibatasi lebih lanjut untuk subdomain tertentu. Kebijakan ini hanya mengizinkan permintaan di mana setiap domain cocok dengan setidaknya satu dari nama domain bersyarat.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}

Contoh 4: Membatasi algoritma kunci

Kebijakan berikut menggunakan kunci kondisi StringNotLike untuk mengizinkan hanya sertifikat yang diminta dengan algoritma kunci ECDSA 384 bit (EC_secp384r1).


{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}

Kebijakan berikut menggunakan kunci kondisi StringLike dan * pencocokan wildcard untuk mencegah permintaan sertifikat baru di ACM dengan algoritme RSA kunci apa pun.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}

Contoh 5: Membatasi otoritas sertifikat

Kebijakan berikut hanya akan mengizinkan permintaan sertifikat pribadi menggunakan ARN Private Certificate Authority (PCA) yang disediakan. 


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}

Kebijakan ini menggunakan acm:CertificateAuthority ketentuan untuk hanya mengizinkan permintaan sertifikat tepercaya publik yang dikeluarkan oleh Amazon Trust Services. Mengatur ARN Otoritas Sertifikat untuk false mencegah permintaan sertifikat pribadi dari PCA.


{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.