Gunakan tombol kondisi dengan ACM - AWS Certificate Manager
Kondisi yang didukung untuk ACMContoh 1: Membatasi metode validasiContoh 2: Mencegah domain wildcardContoh 3: Membatasi domain sertifikatContoh 4: Membatasi algoritma kunciContoh 5: Membatasi otoritas sertifikat

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan tombol kondisi dengan ACM

AWS Certificate Manager menggunakan AWS Identity and Access Management (IAM) kunci kondisi untuk membatasi akses ke permintaan sertifikat. Dengan kunci kondisi dari IAM kebijakan atau Kebijakan Kontrol Layanan (SCP), Anda dapat membuat permintaan sertifikat yang sesuai dengan pedoman organisasi Anda.

catatan

Gabungkan tombol ACM kondisi dengan AWS kunci kondisi global seperti aws:PrincipalArn untuk membatasi tindakan lebih lanjut untuk pengguna atau peran tertentu.

Kondisi yang didukung untuk ACM

Gunakan bilah gulir untuk melihat seluruh tabel.

ACMAPIoperasi dan kondisi yang didukung
Kunci Syarat ACMAPIOperasi yang Didukung Tipe Deskripsi

acm:ValidationMethod

RequestCertificate

Tali (EMAIL,DNS)

Filter permintaan berdasarkan metode ACM validasi

acm:DomainNames

RequestCertificate

ArrayOfString

Filter berdasarkan nama domain dalam ACM permintaan

acm:KeyAlgorithm

RequestCertificate

String

Filter permintaan berdasarkan algoritma dan ukuran ACM kunci

acm:CertificateTransparencyLogging

RequestCertificate

Tali (ENABLED,DISABLED)

Filter permintaan berdasarkan preferensi logging transparansi ACM sertifikat

acm:CertificateAuthority

RequestCertificate

ARN

Filter permintaan berdasarkan otoritas sertifikat dalam ACM permintaan

Contoh 1: Membatasi metode validasi

Kebijakan berikut menolak permintaan sertifikat baru menggunakan metode Validasi Email kecuali permintaan yang dibuat menggunakan peran. arn:aws:iam::123456789012:role/AllowedEmailValidation


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}

Contoh 2: Mencegah domain wildcard

Kebijakan berikut menolak permintaan ACM sertifikat baru yang menggunakan domain wildcard.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}

Contoh 3: Membatasi domain sertifikat

Kebijakan berikut menolak permintaan ACM sertifikat baru untuk domain yang tidak diakhiri dengan *.amazonaws.com


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}

Kebijakan ini dapat dibatasi lebih lanjut untuk subdomain tertentu. Kebijakan ini hanya mengizinkan permintaan di mana setiap domain cocok dengan setidaknya satu dari nama domain bersyarat.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}

Contoh 4: Membatasi algoritma kunci

Kebijakan berikut menggunakan kunci kondisi StringNotLike untuk mengizinkan hanya sertifikat yang diminta dengan algoritma kunci ECDSA 384 bit (EC_secp384r1).


{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}

Kebijakan berikut menggunakan kunci kondisi StringLike dan * pencocokan wildcard untuk mencegah permintaan sertifikat baru ACM dengan algoritma RSA kunci apa pun.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}

Contoh 5: Membatasi otoritas sertifikat

Kebijakan berikut hanya akan mengizinkan permintaan sertifikat pribadi menggunakan Private Certificate Authority (PCA) yang disediakanARN. 


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}

Kebijakan ini menggunakan acm:CertificateAuthority ketentuan untuk hanya mengizinkan permintaan sertifikat tepercaya publik yang dikeluarkan oleh Amazon Trust Services. Mengatur Otoritas Sertifikat ARN untuk false mencegah permintaan sertifikat pribadiPCA.


{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}