Usa i tasti di condizione con ACM - AWS Certificate Manager
Condizioni supportate per ACMEsempio 1: limitazione del metodo di convalidaEsempio 2: prevenzione dei domini jollyEsempio 3: limitazione dei domini dei certificatiEsempio 4: limitazione dell'algoritmo della chiaveEsempio 5: limitazione dell'autorità di certificazione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Usa i tasti di condizione con ACM

AWS Certificate Manager utilizza AWS Identity and Access Management (IAM) chiavi di condizione per limitare l'accesso alle richieste di certificati. Con le chiavi di condizione contenute nelle IAM policy o nelle Service Control Policies (SCP) è possibile creare richieste di certificati conformi alle linee guida dell'organizzazione.

Nota

Combina i tasti di ACM condizione con AWS chiavi di condizione globali, aws:PrincipalArn ad esempio per limitare ulteriormente le azioni a utenti o ruoli specifici.

Condizioni supportate per ACM

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.

ACMAPIoperazioni e condizioni supportate
Chiave di condizione ACMAPIOperazioni supportate Tipo Descrizione

acm:ValidationMethod

RequestCertificate

Stringa (EMAIL, DNS)

Filtra le richieste in base al metodo di ACM convalida

acm:DomainNames

RequestCertificate

ArrayOfString

Filtra in base ai nomi di dominio presenti nella richiesta ACM

acm:KeyAlgorithm

RequestCertificate

Stringa

Filtra le richieste in base all'algoritmo e alla dimensione della ACM chiave

acm:CertificateTransparencyLogging

RequestCertificate

Stringa (ENABLED, DISABLED)

Filtra le richieste in base alle preferenze di registrazione della trasparenza dei ACM certificati

acm:CertificateAuthority

RequestCertificate

ARN

Filtra le richieste in base alle autorità di certificazione presenti nella ACM richiesta

Esempio 1: limitazione del metodo di convalida

La seguente policy nega nuove richieste di certificati utilizzando il metodo di convalida e-mail tranne che per una richiesta effettuata utilizzando il ruolo arn:aws:iam::123456789012:role/AllowedEmailValidation.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}

Esempio 2: prevenzione dei domini jolly

La seguente politica nega qualsiasi nuova richiesta di ACM certificato che utilizza domini wildcard.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}

Esempio 3: limitazione dei domini dei certificati

La seguente politica nega qualsiasi nuova richiesta di ACM certificato per i domini che non terminano con *.amazonaws.com


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}

La politica potrebbe essere ulteriormente limitata a sottodomini specifici. Questa policy consentirebbe solo le richieste in cui ogni dominio corrisponde ad almeno uno dei nomi di dominio condizionali.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}

Esempio 4: limitazione dell'algoritmo della chiave

La seguente politica utilizza la chiave condition StringNotLike per consentire solo i certificati richiesti con l'algoritmo a chiave a ECDSA 384 bit (EC_secp384r1).


{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}

La seguente politica utilizza la chiave di condizione StringLike e la * corrispondenza dei caratteri jolly per impedire che vengano richieste di nuovi certificati ACM con qualsiasi algoritmo di RSA chiave.


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}

Esempio 5: limitazione dell'autorità di certificazione

La seguente politica consentirebbe solo le richieste di certificati privati utilizzando la Private Certificate Authority (PCA) ARN fornita. 


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}

Questa policy utilizza la condizione acm:CertificateAuthority per consentire solo le richieste di certificati pubblicamente attendibili emessi da Amazon Trust Services. Impostazione dell'Autorità ARN di certificazione per false impedire che vengano richieste di certificati privatiPCA.


{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}