Policy basate su risorse - AWS Private Certificate Authority
Esempi di policy

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Policy basate su risorse

Le politiche basate sulle risorse sono politiche di autorizzazione create e allegate manualmente a una risorsa (in questo caso, una CA privata) anziché all'identità o al ruolo di un utente. Oppure, invece di creare politiche personalizzate, puoi utilizzare AWS politiche gestite per. AWS Private CA Applicando AWS RAM una policy basata sulle risorse, un CA privata AWS amministratore può condividere l'accesso a una CA con un utente di un altro AWS account direttamente o tramite. AWS Organizations In alternativa, un CA privata AWS amministratore può utilizzare i comandi PCA APIs PutPolicyGetPolicy, and o i corrispondenti AWS CLI comandi put-policy DeletePolicy, get-policy e delete-policy per applicare e gestire politiche basate sulle risorse.

Per informazioni generali sulle politiche basate sulle risorse, vedere Politiche basate sull'identità e Politiche basate sulle risorse e Controllo dell'accesso tramite le politiche.

Per visualizzare l'elenco delle politiche basate sulle risorse AWS gestite per AWS Private CA, accedi alla libreria delle autorizzazioni gestite nella console e cerca. AWS Resource Access ManagerCertificateAuthority Come per qualsiasi politica, prima di applicarla, ti consigliamo di applicarla in un ambiente di test per assicurarti che soddisfi i tuoi requisiti.

AWS Certificate Manager (ACM) gli utenti con accesso condiviso tra più account a una CA privata possono emettere certificati gestiti firmati dalla CA. Gli emittenti con più account sono vincolati da una politica basata sulle risorse e hanno accesso solo ai seguenti modelli di certificato per entità finali:

Esempi di policy

Questa sezione fornisce esempi di politiche tra account per varie esigenze. In tutti i casi, per applicare una politica viene utilizzato il seguente schema di comandi:

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

Oltre a specificare il nome ARN di una CA, l'amministratore fornisce un ID AWS account o un AWS Organizations ID a cui verrà concesso l'accesso alla CA. Ciascuna JSON delle seguenti politiche è formattata come file per motivi di leggibilità, ma può anche essere fornita come argomenti in linea. CLI

Nota

La struttura delle politiche JSON basate sulle risorse mostrata di seguito deve essere seguita con precisione. Solo i campi ID per i principali (il numero di AWS account o l'ID AWS Organizations) e la CA ARNs possono essere configurati dai clienti.

  1. File: policy1.json — Condivisione dell'accesso a una CA con un utente in un account diverso

    Replace (Sostituisci) 555555555555 con l'ID dell' AWS account che condivide la CA.

    Per la risorsaARN, sostituisci quanto segue con i tuoi valori:

    • aws- La AWS partizione. Ad esempioaws,aws-us-gov,aws-cn, ecc.

    • us-east-1- La AWS regione in cui è disponibile la risorsa, ad esempious-west-1.

    • 111122223333- L'ID dell' AWS account del proprietario della risorsa.

    • 11223344-1234-1122-2233-112233445566- L'ID della risorsa dell'autorità di certificazione.

     {                        
   "Version":"2012-10-17",
   "Statement":[
      {    
         "Sid":"ExampleStatementID",
         "Effect":"Allow",         
         "Principal":{                                                                                                                                               
            "AWS":"555555555555"                                                                                
         },
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"                                                                                   
         ],                                                                                              
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
      },
      {
         "Sid":"ExampleStatementID2",  
         "Effect":"Allow",
         "Principal":{
            "AWS":"555555555555"
         },
         "Action":[
            "acm-pca:IssueCertificate"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
            }
         }
      }
   ]
}

  2. File: policy2.json — Condivisione dell'accesso a una CA tramite AWS Organizations

    Replace (Sostituisci) o-a1b2c3d4z5 con l'ID. AWS Organizations

    Per la risorsaARN, sostituisci quanto segue con i tuoi valori:

    • aws- La AWS partizione. Ad esempioaws,aws-us-gov,aws-cn, ecc.

    • us-east-1- La AWS regione in cui è disponibile la risorsa, ad esempious-west-1.

    • 111122223333- L'ID dell' AWS account del proprietario della risorsa.

    • 11223344-1234-1122-2233-112233445566- L'ID della risorsa dell'autorità di certificazione.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ExampleStatementID3",
         "Effect":"Allow",
         "Principal":"*",
         "Action":"acm-pca:IssueCertificate",
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1",
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
            }
         }
      },
      {
         "Sid":"ExampleStatementID4",
         "Effect":"Allow",
         "Principal":"*",
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
         }
      }
   ]
}