Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Policy basate sulle risorse

PDF
RSS
Modalità Focus
Policy basate sulle risorse - AWS Private Certificate Authority
Esempi di policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le politiche basate sulle risorse sono politiche di autorizzazione create e allegate manualmente a una risorsa (in questo caso, una CA privata) anziché all'identità o al ruolo di un utente. Oppure, invece di creare politiche personalizzate, puoi utilizzare AWS politiche gestite per. AWS Private CA Applicando AWS RAM una policy basata sulle risorse, un CA privata AWS amministratore può condividere l'accesso a una CA con un utente di un altro AWS account direttamente o tramite. AWS Organizations In alternativa, un CA privata AWS amministratore può utilizzare il PCA e APIs PutPolicyGetPolicy, o AWS CLI i comandi corrispondenti put-policy DeletePolicy, get-policy e delete-policy, per applicare e gestire politiche basate sulle risorse.

Per informazioni generali sulle politiche basate sulle risorse, vedere Politiche basate sull'identità e Politiche basate sulle risorse e Controllo dell'accesso tramite le politiche.

Per visualizzare l'elenco delle politiche basate sulle risorse AWS gestite per AWS Private CA, accedi alla libreria delle autorizzazioni gestite nella console e cerca. AWS Resource Access ManagerCertificateAuthority Come per qualsiasi politica, prima di applicarla, ti consigliamo di applicarla in un ambiente di test per assicurarti che soddisfi i tuoi requisiti.

AWS Certificate Manager (ACM) gli utenti con accesso condiviso tra più account a una CA privata possono emettere certificati gestiti firmati dalla CA. Gli emittenti con più account sono vincolati da una politica basata sulle risorse e hanno accesso solo ai seguenti modelli di certificato per entità finali:

Esempi di policy

Questa sezione fornisce esempi di politiche interaccount per varie esigenze. In tutti i casi, per applicare una politica viene utilizzato il seguente schema di comandi:

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

Oltre a specificare l'ARN di una CA, l'amministratore fornisce un ID account o AWS AWS Organizations un ID a cui verrà concesso l'accesso alla CA. Il JSON di ciascuna delle seguenti policy è formattato come file per motivi di leggibilità, ma può anche essere fornito come argomenti CLI in linea.

Nota

La struttura delle policy basate sulle risorse JSON mostrate di seguito deve essere seguita con precisione. Solo i campi ID per i principali (il numero di AWS account o l'ID AWS Organizations) e la CA ARNs possono essere configurati dai clienti.

  1. File: policy1.json — Condivisione dell'accesso a una CA con un utente in un account diverso

    555555555555Sostituiscilo con l'ID AWS dell'account che condivide la CA.

    Per la risorsa ARN, sostituisci quanto segue con i tuoi valori:

    • aws- La AWS partizione. Ad esempioaws,aws-us-gov,aws-cn, ecc.

    • us-east-1- La AWS regione in cui è disponibile la risorsa, ad esempious-west-1.

    • 111122223333- L'ID dell' AWS account del proprietario della risorsa.

    • 11223344-1234-1122-2233-112233445566- L'ID della risorsa dell'autorità di certificazione.

     {                        
   "Version":"2012-10-17",
   "Statement":[
      {    
         "Sid":"ExampleStatementID",
         "Effect":"Allow",         
         "Principal":{                                                                                                                                               
            "AWS":"555555555555"                                                                                
         },
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"                                                                                   
         ],                                                                                              
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
      },
      {
         "Sid":"ExampleStatementID2",  
         "Effect":"Allow",
         "Principal":{
            "AWS":"555555555555"
         },
         "Action":[
            "acm-pca:IssueCertificate"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
            }
         }
      }
   ]
}

  2. File: policy2.json — Condivisione dell'accesso a una CA tramite AWS Organizations

    Sostituisci con o-a1b2c3d4z5 l'ID. AWS Organizations

    Per la risorsa ARN, sostituisci quanto segue con i tuoi valori:

    • aws- La AWS partizione. Ad esempioaws,aws-us-gov,aws-cn, ecc.

    • us-east-1- La AWS regione in cui è disponibile la risorsa, ad esempious-west-1.

    • 111122223333- L'ID dell' AWS account del proprietario della risorsa.

    • 11223344-1234-1122-2233-112233445566- L'ID della risorsa dell'autorità di certificazione.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ExampleStatementID3",
         "Effect":"Allow",
         "Principal":"*",
         "Action":"acm-pca:IssueCertificate",
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1",
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
            }
         }
      },
      {
         "Sid":"ExampleStatementID4",
         "Effect":"Allow",
         "Principal":"*",
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
         }
      }
   ]
}

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.