View a markdown version of this page

Kebijakan inline - AWS Private Certificate Authority
Mencantumkan CA privatMengambil sertifikat CA privatMengimpor sertifikat CA privatMenghapus CA privatTag-on-create: Melampirkan tag ke CA pada saat pembuatanTag-on-create: Penandaan terbatasMengontrol akses ke CA Pribadi menggunakan tagRead-only akses ke AWS Private CAAkses penuh ke AWS Private CA

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan inline

Kebijakan inline adalah kebijakan yang Anda buat dan kelola dan sematkan secara langsung ke dalam satu pengguna, grup, atau peran. Contoh kebijakan berikut menunjukkan cara menetapkan izin untuk melakukan tindakan AWS Private CA . Untuk informasi umum tentang mengelola kebijakan inline, lihat Bekerja dengan Kebijakan Inline di Panduan Pengguna IAM. Anda dapat menggunakan Konsol Manajemen AWS, the AWS Command Line Interface (AWS CLI), atau IAM API untuk membuat dan menyematkan kebijakan sebaris.

penting

Kami sangat menyarankan penggunaan otentikasi multi-faktor (MFA) setiap kali Anda mengakses. AWS Private CA

Mencantumkan CA privat

Kebijakan berikut memungkinkan pengguna untuk membuat daftar semua CA privat dalam akun.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

Mengambil sertifikat CA privat

Kebijakan berikut memungkinkan pengguna untuk mengambil sertifikat CA privat tertentu.

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

Mengimpor sertifikat CA privat

Kebijakan berikut memungkinkan pengguna untuk mengimpor sertifikat CA privat.

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

Menghapus CA privat

Kebijakan berikut memungkinkan pengguna untuk menghapus CA privat tertentu.

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"   }
}

Tag-on-create: Melampirkan tag ke CA pada saat pembuatan

Kebijakan berikut memungkinkan pengguna untuk menerapkan tag selama pembuatan CA.

JSON
{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: Penandaan terbatas

Kebijakan tag-on-create berikut mencegah penggunaan pasangan nilai kunci Environment=Prod selama pembuatan CA. Menandai dengan pasangan nilai kunci lainnya diperbolehkan.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

Mengontrol akses ke CA Pribadi menggunakan tag

Kebijakan berikut hanya mengizinkan akses ke CA dengan pasangan nilai kunci Environment=. PreProd Hal ini juga mengharuskan CA baru menyertakan tag ini.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

Read-only akses ke AWS Private CA

Kebijakan berikut memungkinkan pengguna untuk menjelaskan dan membuat daftar otoritas sertifikat privat dan untuk mengambil sertifikat CA privat dan rantai sertifikat.

JSON
{
    "Version":"2012-10-17",
    "Statement":{
       "Effect":"Allow",
       "Action":[
          "acm-pca:DescribeCertificateAuthority",
          "acm-pca:DescribeCertificateAuthorityAuditReport",
          "acm-pca:ListCertificateAuthorities",
          "acm-pca:ListTags",
          "acm-pca:GetCertificateAuthorityCertificate",
          "acm-pca:GetCertificateAuthorityCsr",
          "acm-pca:GetCertificate"
       ],
       "Resource":"*"
    }
}

Akses penuh ke AWS Private CA

Kebijakan berikut memungkinkan pengguna untuk melakukan AWS Private CA tindakan apa pun.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}