View a markdown version of this page

Policy basate sulle risorse - AWS Autorità di certificazione privata
Esempi di policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy basate sulle risorse

Le politiche basate sulle risorse sono politiche di autorizzazione create e allegate manualmente a una risorsa (in questo caso, una CA privata) anziché all'identità o al ruolo di un utente. Oppure, invece di creare politiche personalizzate, puoi utilizzare AWS politiche gestite per. AWS Private CA Applicando AWS RAM una policy basata sulle risorse, un CA privata AWS amministratore può condividere l'accesso a una CA con un utente di un altro AWS account direttamente o tramite. AWS Organizations In alternativa, un CA privata AWS amministratore può utilizzare il PCA e APIs PutPolicyGetPolicy, o AWS CLI i comandi corrispondenti put-policy DeletePolicy, get-policy e delete-policy, per applicare e gestire politiche basate sulle risorse.

Per informazioni generali sulle politiche basate sulle risorse, vedere Politiche basate sull'identità e Politiche basate sulle risorse e Controllo dell'accesso tramite le politiche.

Per visualizzare l'elenco delle politiche basate sulle risorse AWS gestite per AWS Private CA, accedi alla libreria delle autorizzazioni gestite nella console e cerca. AWS Resource Access ManagerCertificateAuthority Come per qualsiasi politica, prima di applicarla, ti consigliamo di applicarla in un ambiente di test per assicurarti che soddisfi i tuoi requisiti.

CA privata AWS supporta anche le autorizzazioni RAM gestite dai clienti, che consentono di definire una combinazione personalizzata di azioni tra le seguenti serie: DescribeCertificateAuthorityGetCertificate,GetCertificateAuthorityCertificate,ListPermissions, ListTagsIssueCertificate, eRevokeCertificate. Le autorizzazioni gestite dai clienti offrono la flessibilità necessaria per concedere l'accesso con privilegi minimi, ad esempio concedendo l'accesso in sola lettura ad alcuni account e consentendo ad altri di emettere e revocare certificati. Per ulteriori informazioni, consulta Autorizzazioni gestite dal cliente nella RAM.

AWS Certificate Manager (ACM) gli utenti con accesso condiviso tra più account a una CA privata possono emettere certificati gestiti firmati dalla CA. Quando concedi l'autorizzazione all'IssueCertificateazione, puoi limitare i modelli di certificato utilizzati per l'emissione dei certificati aggiungendo una acm-pca:TemplateArn Condizione alla politica.

Esempi di policy

Questa sezione fornisce esempi di politiche interaccount per varie esigenze. In tutti i casi, per applicare una politica viene utilizzato il seguente schema di comandi:

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

Oltre a specificare l'ARN di una CA, l'amministratore fornisce un ID account o AWS AWS Organizations un ID a cui verrà concesso l'accesso alla CA. Il codice JSON di ciascuna delle seguenti politiche è formattato come file per motivi di leggibilità, ma può anche essere fornito come argomenti CLI in linea.

Nota

La struttura delle politiche basate sulle risorse JSON mostrate di seguito deve essere seguita con precisione. Solo i campi ID per i principali (il numero di AWS account o l'ID AWS Organizations) e la CA ARNs possono essere configurati dai clienti.

  1. File: policy1.json — Condivisione dell'accesso a una CA con un utente in un account diverso

    555555555555Sostituiscilo con l'ID AWS dell'account che condivide la CA.

    Per la risorsa ARN, sostituisci quanto segue con i tuoi valori:

    • aws- La AWS partizione. Ad esempioaws,aws-us-gov,aws-cn, ecc.

    • us-east-1- La AWS regione in cui è disponibile la risorsa, ad esempious-west-1.

    • 111122223333- L'ID dell' AWS account del proprietario della risorsa.

    • 11223344-1234-1122-2233-112233445566- L'ID della risorsa dell'autorità di certificazione.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [{
            "Sid": "ExampleStatementID",
            "Effect": "Allow",
            "Principal": {
                "AWS": "555555555555"
            },
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListPermissions",
                "acm-pca:ListTags"
            ],
            "Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID"
        },
        {
            "Sid": "ExampleStatementID2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "555555555555"
            },
            "Action": [
                "acm-pca:IssueCertificate"
            ],
            "Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
                }
            }
        }
    ]
}

  2. File: policy2.json — Condivisione dell'accesso a una CA tramite AWS Organizations

    Sostituisci con o-a1b2c3d4z5 l'ID. AWS Organizations

    Per la risorsa ARN, sostituisci quanto segue con i tuoi valori:

    • aws- La AWS partizione. Ad esempioaws,aws-us-gov,aws-cn, ecc.

    • us-east-1- La AWS regione in cui è disponibile la risorsa, ad esempious-west-1.

    • 111122223333- L'ID dell' AWS account del proprietario della risorsa.

    • 11223344-1234-1122-2233-112233445566- L'ID della risorsa dell'autorità di certificazione.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ExampleStatementID3",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "acm-pca:IssueCertificate",
            "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
                    "aws:PrincipalOrgID": "o-a1b2c3d4z5"
                },
                "StringNotEquals": {
                    "aws:PrincipalAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "ExampleStatementID4",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListPermissions",
                "acm-pca:ListTags"
            ],
            "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-a1b2c3d4z5"
                },
                "StringNotEquals": {
                    "aws:PrincipalAccount": "111122223333"
                }
            }
        }
    ]
}