View a markdown version of this page

Kebijakan berbasis sumber daya - AWS Private Certificate Authority
Contoh kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan berbasis sumber daya

Kebijakan berbasis sumber daya adalah kebijakan izin yang Anda buat dan lampirkan secara manual ke sumber daya (dalam hal ini, CA pribadi), bukan ke identitas atau peran pengguna. Atau, alih-alih membuat kebijakan sendiri, Anda dapat menggunakan kebijakan AWS terkelola untuk AWS Private CA. Menggunakan AWS RAM untuk menerapkan kebijakan berbasis sumber daya, AWS Private CA administrator dapat berbagi akses ke CA dengan pengguna di AWS akun yang berbeda secara langsung atau melalui. AWS Organizations Sebagai alternatif, AWS Private CA administrator dapat menggunakan PCA APIs PutPolicy, dan GetPolicy, atau AWS CLI perintah terkait put-policy DeletePolicy, get-policy, dan delete-policy, untuk menerapkan dan mengelola kebijakan berbasis sumber daya.

Untuk informasi umum tentang kebijakan berbasis sumber daya, lihat Kebijakan Berbasis Identitas dan Kebijakan Berbasis Sumber Daya dan Mengontrol Akses Menggunakan Kebijakan.

Untuk melihat daftar kebijakan berbasis sumber daya AWS terkelola AWS Private CA, navigasikan ke pustaka izin terkelola di AWS Resource Access Manager konsol, lalu cari. CertificateAuthority Seperti halnya kebijakan apa pun, sebelum Anda menerapkannya, kami sarankan untuk menerapkan kebijakan di lingkungan pengujian untuk memastikan bahwa kebijakan tersebut memenuhi persyaratan Anda.

AWS Private CA juga mendukung izin terkelola pelanggan RAM, yang memungkinkan Anda menentukan kombinasi tindakan khusus dari set berikut:DescribeCertificateAuthority,,GetCertificate,GetCertificateAuthorityCertificate,ListPermissions, ListTagsIssueCertificate, danRevokeCertificate. Izin terkelola pelanggan memberi Anda fleksibilitas untuk memberikan akses hak istimewa paling sedikit — misalnya, memberikan akses hanya-baca ke beberapa akun sambil mengizinkan orang lain menerbitkan dan mencabut sertifikat. Untuk informasi selengkapnya, lihat Izin yang dikelola pelanggan dalam RAM.

AWS Certificate Manager (ACM) pengguna dengan akses bersama lintas akun ke CA pribadi dapat menerbitkan sertifikat terkelola yang ditandatangani oleh CA. Saat Anda memberikan izin untuk IssueCertificate tindakan tersebut, Anda dapat membatasi templat sertifikat yang digunakan untuk penerbitan sertifikat dengan menambahkan acm-pca:TemplateArn Ketentuan ke kebijakan.

Contoh kebijakan

Bagian ini memberikan contoh kebijakan lintas akun untuk berbagai kebutuhan. Dalam semua kasus, pola perintah berikut digunakan untuk menerapkan kebijakan:

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

Selain menentukan ARN CA, administrator memberikan ID AWS akun atau ID AWS Organizations yang akan diberikan akses ke CA. JSON dari masing-masing kebijakan berikut diformat sebagai file untuk keterbacaan, tetapi juga dapat diberikan sebagai argumen CLI sebaris.

catatan

Struktur kebijakan berbasis sumber daya JSON yang ditunjukkan di bawah ini harus diikuti dengan tepat. Hanya bidang ID untuk prinsipal (nomor AWS akun atau ID AWS Organisasi) dan CA yang ARNs dapat dikonfigurasi oleh pelanggan.

  1. File: policy1.json — Berbagi akses ke CA dengan pengguna di akun yang berbeda

    Ganti 555555555555 dengan ID AWS akun yang membagikan CA.

    Untuk ARN sumber daya, ganti yang berikut ini dengan nilai Anda sendiri:

    • aws- AWS Partisi. Misalnya,, awsaws-us-gov,aws-cn, dll.

    • us-east-1- AWS Wilayah tempat sumber daya tersedia, sepertius-west-1.

    • 111122223333- ID AWS akun pemilik sumber daya.

    • 11223344-1234-1122-2233-112233445566- ID sumber daya dari otoritas sertifikat.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [{
            "Sid": "ExampleStatementID",
            "Effect": "Allow",
            "Principal": {
                "AWS": "555555555555"
            },
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListPermissions",
                "acm-pca:ListTags"
            ],
            "Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID"
        },
        {
            "Sid": "ExampleStatementID2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "555555555555"
            },
            "Action": [
                "acm-pca:IssueCertificate"
            ],
            "Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
                }
            }
        }
    ]
}

  2. File: policy2.json — Berbagi akses ke CA melalui AWS Organizations

    Ganti o-a1b2c3d4z5 dengan AWS Organizations ID.

    Untuk ARN sumber daya, ganti yang berikut ini dengan nilai Anda sendiri:

    • aws- AWS Partisi. Misalnya,, awsaws-us-gov,aws-cn, dll.

    • us-east-1- AWS Wilayah tempat sumber daya tersedia, sepertius-west-1.

    • 111122223333- ID AWS akun pemilik sumber daya.

    • 11223344-1234-1122-2233-112233445566- ID sumber daya dari otoritas sertifikat.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ExampleStatementID3",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "acm-pca:IssueCertificate",
            "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
                    "aws:PrincipalOrgID": "o-a1b2c3d4z5"
                },
                "StringNotEquals": {
                    "aws:PrincipalAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "ExampleStatementID4",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListPermissions",
                "acm-pca:ListTags"
            ],
            "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-a1b2c3d4z5"
                },
                "StringNotEquals": {
                    "aws:PrincipalAccount": "111122223333"
                }
            }
        }
    ]
}