Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kebijakan berbasis sumber daya
Kebijakan berbasis sumber daya adalah kebijakan izin yang Anda buat dan lampirkan secara manual ke sumber daya (dalam hal ini, CA pribadi), bukan ke identitas atau peran pengguna. Atau, alih-alih membuat kebijakan sendiri, Anda dapat menggunakan kebijakan AWS terkelola untuk AWS Private CA. Menggunakan AWS RAM untuk menerapkan kebijakan berbasis sumber daya, AWS Private CA administrator dapat berbagi akses ke CA dengan pengguna di AWS akun yang berbeda secara langsung atau melalui. AWS Organizations Sebagai alternatif, AWS Private CA administrator dapat menggunakan PCA APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html), dan [GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html), atau AWS CLI perintah terkait [put-policy [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html), get-policy, dan delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)[, untuk menerapkan](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) [dan mengelola kebijakan berbasis sumber daya](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html).
Untuk informasi umum tentang kebijakan berbasis sumber daya, lihat [Kebijakan Berbasis Identitas dan Kebijakan Berbasis Sumber Daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) dan [Mengontrol Akses Menggunakan Kebijakan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html).
Untuk melihat daftar kebijakan berbasis sumber daya AWS terkelola AWS Private CA, navigasikan ke [pustaka izin terkelola](https://console.aws.amazon.com/ram/home#Permissions:) di AWS Resource Access Manager konsol, lalu cari. **CertificateAuthority** Seperti halnya kebijakan apa pun, sebelum Anda menerapkannya, kami sarankan untuk menerapkan kebijakan di lingkungan pengujian untuk memastikan bahwa kebijakan tersebut memenuhi persyaratan Anda.
AWS Private CA juga mendukung izin terkelola pelanggan RAM, yang memungkinkan Anda menentukan kombinasi tindakan khusus dari set berikut:`DescribeCertificateAuthority`,,`GetCertificate`,`GetCertificateAuthorityCertificate`,`ListPermissions`, `ListTags``IssueCertificate`, dan`RevokeCertificate`. Izin terkelola pelanggan memberi Anda fleksibilitas untuk memberikan akses hak istimewa paling sedikit — misalnya, memberikan akses hanya-baca ke beberapa akun sambil mengizinkan orang lain menerbitkan dan mencabut sertifikat. Untuk informasi selengkapnya, lihat [Izin yang dikelola pelanggan dalam RAM](pca-cmp.md).
AWS Certificate Manager (ACM) pengguna dengan akses bersama lintas akun ke CA pribadi dapat menerbitkan sertifikat terkelola yang ditandatangani oleh CA. Saat Anda memberikan izin untuk `IssueCertificate` tindakan tersebut, Anda dapat membatasi templat sertifikat yang digunakan untuk penerbitan sertifikat dengan menambahkan `acm-pca:TemplateArn` Ketentuan ke kebijakan.
## Contoh kebijakan
Bagian ini memberikan contoh kebijakan lintas akun untuk berbagai kebutuhan. Dalam semua kasus, pola perintah berikut digunakan untuk menerapkan kebijakan:
```
$ aws acm-pca put-policy \
--region region \
--resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--policy file:///[path]/policyN.json
```
Selain menentukan ARN CA, administrator memberikan ID AWS akun atau ID AWS Organizations yang akan diberikan akses ke CA. JSON dari masing-masing kebijakan berikut diformat sebagai file untuk keterbacaan, tetapi juga dapat diberikan sebagai argumen CLI sebaris.
**catatan**
Struktur kebijakan berbasis sumber daya JSON yang ditunjukkan di bawah ini harus diikuti dengan tepat. Hanya bidang ID untuk prinsipal (nomor AWS akun atau ID AWS Organisasi) dan CA yang ARNs dapat dikonfigurasi oleh pelanggan.
1. **File: policy1.json — Berbagi akses ke CA dengan pengguna di akun yang berbeda**
Ganti *555555555555* dengan ID AWS akun yang membagikan CA.
Untuk ARN sumber daya, ganti yang berikut ini dengan nilai Anda sendiri:
+ `aws`- AWS Partisi. Misalnya,, `aws``aws-us-gov`,`aws-cn`, dll.
+ `us-east-1`- AWS Wilayah tempat sumber daya tersedia, seperti`us-west-1`.
+ `111122223333`- ID AWS akun pemilik sumber daya.
+ `11223344-1234-1122-2233-112233445566`- ID sumber daya dari otoritas sertifikat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "ExampleStatementID",
"Effect": "Allow",
"Principal": {
"AWS": "555555555555"
},
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID"
},
{
"Sid": "ExampleStatementID2",
"Effect": "Allow",
"Principal": {
"AWS": "555555555555"
},
"Action": [
"acm-pca:IssueCertificate"
],
"Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
}
}
]
}
```
------
1. **File: policy2.json — Berbagi akses ke CA melalui AWS Organizations**
Ganti *o-a1b2c3d4z5* dengan AWS Organizations ID.
Untuk ARN sumber daya, ganti yang berikut ini dengan nilai Anda sendiri:
+ `aws`- AWS Partisi. Misalnya,, `aws``aws-us-gov`,`aws-cn`, dll.
+ `us-east-1`- AWS Wilayah tempat sumber daya tersedia, seperti`us-west-1`.
+ `111122223333`- ID AWS akun pemilik sumber daya.
+ `11223344-1234-1122-2233-112233445566`- ID sumber daya dari otoritas sertifikat.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExampleStatementID3",
"Effect": "Allow",
"Principal": "*",
"Action": "acm-pca:IssueCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
"aws:PrincipalOrgID": "o-a1b2c3d4z5"
},
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
},
{
"Sid": "ExampleStatementID4",
"Effect": "Allow",
"Principal": "*",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4z5"
},
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
------