View a markdown version of this page

Policy inline - AWS Autorità di certificazione privata
Elencare CA privateRecupero di un certificato CA privatoImportazione di un certificato CA privatoEliminazione di una CA privataTag-on-create: allegare tag a una CA al momento della creazioneTag-on-create: etichettatura limitataControllo dell'accesso a Private CA tramite tagRead-only accesso a CA privata AWSAccesso completo a CA privata AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy inline

Le policy inline sono policy create, gestite e incorporate direttamente in un utente, gruppo o ruolo. I seguenti esempi di policy mostrano come assegnare le autorizzazioni per eseguire azioni. CA privata AWS Per informazioni generali sulle politiche in linea, consulta Working with Inline Policies nella IAM User Guide. Puoi utilizzare Console di gestione AWS, the AWS Command Line Interface (AWS CLI) o l'API IAM per creare e incorporare politiche in linea.

Importante

Consigliamo vivamente di utilizzare l'autenticazione a più fattori (MFA) ogni volta che si accede. CA privata AWS

Elencare CA private

La policy seguente permette a un utente di elencare tutte le CA private in un account.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

Recupero di un certificato CA privato

La policy seguente permette a un utente di recuperare un certificato CA privato specifico.

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

Importazione di un certificato CA privato

La policy seguente permette a un utente di importare un certificato CA privato.

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

Eliminazione di una CA privata

La policy seguente permette a un utente di eliminare un certificato CA privato specifico.

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"   }
}

Tag-on-create: allegare tag a una CA al momento della creazione

La seguente politica consente a un utente di applicare i tag durante la creazione di una CA.

JSON
{
   "Version":"2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: etichettatura limitata

La seguente politica tag-on-create impedisce l'uso della coppia chiave-valore Environment=Prod durante la creazione della CA. È consentita l'applicazione di tag con altre coppie chiave-valore.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

Controllo dell'accesso a Private CA tramite tag

La seguente politica consente l'accesso solo alle CA con la coppia chiave-valore Environment=. PreProd Richiede inoltre che le nuove CA includano questo tag.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

Read-only accesso a CA privata AWS

La policy seguente permette a un utente di descrivere ed elencare le autorità di certificazione private e di recuperare il certificato emesso da una CA privata e la catena di certificati.

JSON
{
    "Version":"2012-10-17",
    "Statement":{
       "Effect":"Allow",
       "Action":[
          "acm-pca:DescribeCertificateAuthority",
          "acm-pca:DescribeCertificateAuthorityAuditReport",
          "acm-pca:ListCertificateAuthorities",
          "acm-pca:ListTags",
          "acm-pca:GetCertificateAuthorityCertificate",
          "acm-pca:GetCertificateAuthorityCsr",
          "acm-pca:GetCertificate"
       ],
       "Resource":"*"
    }
}

Accesso completo a CA privata AWS

La seguente politica consente a un utente di eseguire qualsiasi CA privata AWS azione.

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}