Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity and Access Management (IAM) per AWS Autorità di certificazione privata
L'accesso a CA privata AWS richiede credenziali che AWS possono essere utilizzate per autenticare le richieste. I seguenti argomenti forniscono dettagli su come utilizzare [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) per proteggere le autorità di certificazione private (CAs) controllando chi può accedervi.
Nel CA privata AWS, la risorsa principale con cui lavori è un'*autorità di certificazione (CA)*. Ogni CA privata di proprietà o controllata dall'utente è identificata da un Amazon Resource Name (ARN), con il seguente formato.
```
arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566
```
Il *proprietario di una risorsa* è l'*entità principale* dell' AWS account in cui viene creata una AWS risorsa. Negli esempi seguenti viene illustrato il funzionamento.
+ Se utilizzi le tue credenziali Utente root dell'account AWS per creare una CA privata, il tuo AWS account possiede la CA.
**Importante**
Si sconsiglia di utilizzare un Utente root dell'account AWS per creare CAs.
Consigliamo vivamente di utilizzare l'autenticazione a più fattori (MFA) ogni volta che si accede. CA privata AWS
+ Se crei un utente IAM nel tuo AWS account, puoi concedere a quell'utente l'autorizzazione a creare una CA privata. Tuttavia l'account a cui appartiene l'utente è il proprietario della CA.
+ Se crei un ruolo IAM nel tuo AWS account e gli concedi l'autorizzazione a creare una CA privata, chiunque possa assumere il ruolo può creare la CA. Tuttavia, l'account a cui appartiene il ruolo è il proprietario della CA privata.
La *policy delle autorizzazioni* descrive chi ha accesso a cosa. Nella sezione seguente vengono descritte le opzioni disponibili per la creazione di policy relative alle autorizzazioni.
**Nota**
Questa documentazione descrive l'utilizzo di IAM nel contesto di CA privata AWS. Non vengono fornite informazioni dettagliate sul servizio IAM. Per la documentazione IAM completa, consulta la [Guida per l'utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html). Per informazioni sulla sintassi e le descrizioni delle policy IAM, consulta [AWS Referenza sulla Policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html).
# CA privata AWS Operazioni e autorizzazioni delle API
Quando configuri le politiche di controllo degli accessi e di autorizzazione che intendi allegare a un'identità IAM (politiche basate sull'identità), utilizza la tabella seguente come riferimento. La prima colonna della tabella elenca ogni operazione API. CA privata AWS È possibile specificare le operazioni nell'elemento `Action` di una policy. Le restanti colonne forniscono ulteriori informazioni.
| CA privata AWS Operazioni API | Autorizzazioni richieste | Resources |
| --- | --- | --- |
| [CreateCertificateAuthority](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreateCertificateAuthority.html) | `acm-pca:CreateCertificateAuthority` `acm-pca:TagCertificateAuthority`(Richiesto solo quando si crea una CA con tag.) | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [CreateCertificateAuthorityAuditReport](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreateCertificateAuthorityAuditReport.html) | `acm-pca:CreateCertificateAuthorityAuditReport` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [CreatePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_CreatePermission.html) | acm-pca:CreatePermission | arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 |
| [DeleteCertificateAuthority](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeleteCertificateAuthority.html) | `acm-pca:DeleteCertificateAuthority` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [DeletePermission](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePermission.html) | acm-pca:DeletePermission | arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 |
| [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html) | acm-pca:DeletePolicy | arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 |
| [DescribeCertificateAuthority](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DescribeCertificateAuthority.html) | `acm-pca:DescribeCertificateAuthority` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [DescribeCertificateAuthorityAuditReport](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DescribeCertificateAuthorityAuditReport.html) | `acm-pca:DescribeCertificateAuthorityAuditReport` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [GetCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificate.html) | `acm-pca:GetCertificate` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) | `acm-pca:GetCertificateAuthorityCertificate` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [GetCertificateAuthorityCsr](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCsr.html) | `acm-pca:GetCertificateAuthorityCsr` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html) | acm-pca:GetPolicy | arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 |
| [ImportCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_ImportCertificateAuthorityCertificate.html) | `acm-pca:ImportCertificateAuthorityCertificate` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [IssueCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_IssueCertificate.html) | `acm-pca:IssueCertificate` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [ListCertificateAuthorities](https://docs.aws.amazon.com/privateca/latest/APIReference/API_ListCertificateAuthorities.html) | `acm-pca:ListCertificateAuthorities` | N/D |
| [ListPermissions](https://docs.aws.amazon.com/privateca/latest/APIReference/API_ListPermissions.html) | acm-pca:ListPermissions | arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 |
| [ListTags](https://docs.aws.amazon.com/privateca/latest/APIReference/API_ListTags.html) | `acm-pca:ListTags` | N/D |
| [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html) | acm-pca:PutPolicy | arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 |
| [RevokeCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_RevokeCertificate.html) | `acm-pca:RevokeCertificate` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [TagCertificateAuthority](https://docs.aws.amazon.com/privateca/latest/APIReference/API_TagCertificateAuthority.html) | `acm-pca:TagCertificateAuthority` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [UntagCertificateAuthority](https://docs.aws.amazon.com/privateca/latest/APIReference/API_UntagCertificateAuthority.html) | `acm-pca:UntagCertificateAuthority` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
| [UpdateCertificateAuthority](https://docs.aws.amazon.com/privateca/latest/APIReference/API_UpdateCertificateAuthority.html) | `acm-pca:UpdateCertificateAuthority` | `arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566` |
Per fornire l’accesso, aggiungi autorizzazioni agli utenti, gruppi o ruoli:
+ Utenti e gruppi in AWS IAM Identity Center:
Crea un set di autorizzazioni. Segui le istruzioni riportate nella pagina [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) (Creazione di un set di autorizzazioni) nella *Guida per l’utente di AWS IAM Identity Center *.
+ Utenti gestiti in IAM tramite un provider di identità:
Crea un ruolo per la federazione delle identità. Segui le istruzioni riportate nella pagina [Create a role for a third-party identity provider (federation)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) della *Guida per l’utente IAM*.
+ Utenti IAM:
+ Crea un ruolo che l’utente possa assumere. Segui le istruzioni riportate nella pagina [Create a role for an IAM user](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) della *Guida per l’utente IAM*.
+ (Non consigliato) Collega una policy direttamente a un utente o aggiungi un utente a un gruppo di utenti. Segui le istruzioni riportate nella pagina [Aggiunta di autorizzazioni a un utente (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente IAM*.
# AWS politiche gestite
CA privata AWS include una serie di politiche AWS gestite predefinite per CA privata AWS amministratori, utenti e revisori. La comprensione di questi criteri può aiutarti a implementare [Policy gestite dal cliente](auth-CustManagedPolicies.md).
Scegli una delle politiche elencate di seguito per visualizzare i dettagli e un esempio di codice delle politiche.
## AWSPrivateCAFullAccesso
Garantisce un controllo amministrativo illimitato.
[Per un elenco in JSON dei dettagli delle policy, vedi Access. AWSPrivate CAFull](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateCAFullAccess.html)
## AWSPrivateCAReadSolo
Garantisce l'accesso limitato alle operazioni API di sola lettura.
[Per un elenco in JSON dei dettagli della policy, consulta Only. AWSPrivate CARead](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateCAReadOnly.html)
## AWSPrivateCAPrivilegedUser
Garantisce la possibilità di emettere e revocare certificati CA. Questa policy non ha altre funzionalità amministrative e non è in grado di emettere certificati di entità finale. Le autorizzazioni si escludono a vicenda con la policy **User**.
[Per un elenco in JSON dei dettagli della policy, consulta User. AWSPrivate CAPrivileged](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateCAPrivilegedUser.html)
## AWSPrivateCAUser
Concedi la possibilità di emettere e revocare certificati di entità finale. Questa policy non dispone di funzionalità amministrative e non è in grado di emettere certificati emessi da una CA. Le autorizzazioni si escludono a vicenda con la policy. **PrivilegedUser**
Per un elenco in formato JSON dei dettagli della policy, consulta. [AWSPrivateCAUser](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateCAUser.html)
## AWSPrivateCAAuditor
Concedi l'accesso alle operazioni API di sola lettura e l'autorizzazione a generare un rapporto di audit CA.
Per un elenco in formato JSON dei dettagli della policy, consulta. [AWSPrivateCAAuditor](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateCAAuditor.html)
## AWSPrivateCAConnectorForKubernetesPolicy
Concede le autorizzazioni essenziali per il AWS Private CA Connector for Kubernetes.
Per un elenco in JSON dei dettagli della policy, consulta. [AWSPrivateCAConnectorForKubernetesPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSPrivateCAConnectorForKubernetesPolicy.html)
## Aggiornamenti alle politiche AWS gestite per CA privata AWS
Nella tabella seguente, visualizza i dettagli sugli aggiornamenti alle politiche AWS gestite da CA privata AWS quando il servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici su tutte le modifiche apportate CA privata AWS, iscriviti al feed RSS sulla [Cronologia dei documenti](dochistory.md) pagina.
**Modifiche gestite alle politiche**
| Modifica | Descrizione | Data |
| --- | --- | --- |
| Nuova politica: AWS privata CAConnector ForKubernetesPolicy | Nuova policy gestita introdotta per l'uso con AWS Private CA Connector for Kubernetes. | 19 maggio 2025 |
| AWS CAPrivilegedUtente privato e AWS privatoCAUser : politica aggiornata | `ArnLike`Sostituito `StringLike` con e `StringNotLike` con`ArnNotLike`. Modello arn aggiornato per includere le wild card`arn:aws:acm-pca:::template`. `arn:aws:acm-pca:*:*:template` | 22 gennaio 2025 |
| Nuovi nomi delle politiche: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/privateca/latest/userguide/auth-AwsManagedPolicies.html) | I prefissi dei nomi delle politiche sono stati modificati da a`AWS CertificateManagerPrivateCA`. `AWS PrivateCA` La funzionalità rimane invariata. | 13 febbraio 2023 |
# Policy gestite dal cliente
Come best practice, non utilizzare le tue Utente root dell'account AWS per interagire con AWS, tra cui CA privata AWS. Utilizza invece AWS Identity and Access Management (IAM) per creare un utente IAM, un ruolo IAM o un utente federato. Creare un gruppo di amministratori e aggiungersi a tale gruppo, quindi accedere come amministratore. Aggiungi altri utenti al gruppo, se necessario.
Un'altra best practice consiste nel creare una policy IAM gestita dal cliente che puoi assegnare agli utenti. Le policy gestite dal cliente sono policy standalone basate sulle identità create dagli utenti e che possono essere collegate a più utenti, gruppi o ruoli nell'account AWS . Tale policy limita gli utenti a eseguire solo le operazioni CA privata AWS specificate.
La seguente [policy gestita dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) di esempio consente a un utente di creare un report di audit per la CA. Questo è solo un esempio. Puoi scegliere tutte CA privata AWS le operazioni che desideri. Per ulteriori esempi, consulta [Policy inline](auth-InlinePolicies.md).
**Per creare una policy gestita dal cliente**
1. Accedi alla console IAM utilizzando le credenziali di un AWS amministratore.
1. Nel riquadro di navigazione della console, scegliere **Policies (Policy)**.
1. Scegli **Crea policy**.
1. Scegliere la scheda **JSON**.
1. Copia il criterio seguente e incollalo nell'editor.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:CreateCertificateAuthorityAuditReport",
"Resource":"*"
}
]
}
```
------
1. Scegliere **Esamina policy**.
1. In **Name (Nome)** digitare `PcaListPolicy`.
1. (Opzionale) Digita una descrizione.
1. Scegli **Crea policy**.
Un amministratore può allegare la policy a qualsiasi utente IAM per limitare CA privata AWS le azioni che l'utente può eseguire. Per informazioni su come applicare una politica di autorizzazioni, consulta [Modifica delle autorizzazioni per un utente IAM nella Guida per l'utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html) *IAM*.
# Policy inline
Le policy inline sono policy create, gestite e incorporate direttamente in un utente, gruppo o ruolo. I seguenti esempi di policy mostrano come assegnare le autorizzazioni per eseguire azioni. CA privata AWS [Per informazioni generali sulle politiche in linea, consulta [Working with Inline Policies nella IAM User](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) Guide.](https://docs.aws.amazon.com/IAM/latest/UserGuide/) Puoi utilizzare Console di gestione AWS, the AWS Command Line Interface (AWS CLI) o l'API IAM per creare e incorporare politiche in linea.
**Importante**
Consigliamo vivamente di utilizzare l'autenticazione a più fattori (MFA) ogni volta che si accede. CA privata AWS
**Topics**
+ [Inserzione privata CAs](#policy-list-pcas)
+ [Recupero di un certificato CA privato](#policy-retrieve-pca)
+ [Importazione di un certificato CA privato](#policy-import-pca-cert)
+ [Eliminazione di una CA privata](#policy-delete-pca)
+ [Tag-on-create: Allegare tag a una CA al momento della creazione](#tag-on-create)
+ [Tag-on-create: Etichettatura limitata](#tag-on-create-restricted1)
+ [Controllo dell'accesso a Private CA tramite tag](#tag-on-create-restricted2)
+ [Accesso in sola lettura a CA privata AWS](#policy-pca-read-only)
+ [Accesso completo a CA privata AWS](#policy-pca-full-access)
## Inserzione privata CAs
La seguente politica consente a un utente di elencare tutti i dati privati CAs presenti in un account.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:ListCertificateAuthorities",
"Resource":"*"
}
]
}
```
------
## Recupero di un certificato CA privato
La policy seguente permette a un utente di recuperare un certificato CA privato specifico.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:GetCertificateAuthorityCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
------
## Importazione di un certificato CA privato
La policy seguente permette a un utente di importare un certificato CA privato.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:ImportCertificateAuthorityCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
------
## Eliminazione di una CA privata
La policy seguente permette a un utente di eliminare un certificato CA privato specifico.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:DeleteCertificateAuthority",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID" }
}
```
------
## Tag-on-create: Allegare tag a una CA al momento della creazione
La seguente politica consente a un utente di applicare i tag durante la creazione di una CA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"acm-pca:CreateCertificateAuthority",
"acm-pca:TagCertificateAuthority"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Tag-on-create: Etichettatura limitata
La seguente tag-on-create politica *impedisce* l'uso della coppia chiave-valore Environment=Prod durante la creazione della CA. È consentita l'etichettatura con altre coppie chiave-valore.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:*",
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"acm-pca:TagCertificateAuthority",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Environment":[
"Prod"
]
}
}
}
]
}
```
------
## Controllo dell'accesso a Private CA tramite tag
La seguente politica consente l'accesso solo CAs con la coppia chiave-valore Environment=. PreProd Richiede inoltre che new CAs includa questo tag.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm-pca:*"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Environment":[
"PreProd"
]
}
}
}
]
}
```
------
## Accesso in sola lettura a CA privata AWS
La policy seguente permette a un utente di descrivere ed elencare le autorità di certificazione private e di recuperare il certificato emesso da una CA privata e la catena di certificati.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":[
"acm-pca:DescribeCertificateAuthority",
"acm-pca:DescribeCertificateAuthorityAuditReport",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:GetCertificateAuthorityCsr",
"acm-pca:GetCertificate"
],
"Resource":"*"
}
}
```
------
## Accesso completo a CA privata AWS
La seguente politica consente a un utente di eseguire qualsiasi CA privata AWS azione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm-pca:*"
],
"Resource":"*"
}
]
}
```
------