翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ACM での条件キーの使用

AWS Certificate Manager は、AWS Identity and Access Management (IAM) 条件キーを使用して、証明書リクエストへのアクセスを制限します。IAM ポリシーまたはサービスコントロールポリシー (SCP) の条件キーを使用して、組織のガイドラインに準拠した証明書リクエストを作成できます。

ACM のサポートされている条件

スクロールバーを使用して、テーブルの残りの部分を確認します。

例 1: 検証方法の制限

次のポリシーは、arn:aws:iam::123456789012:role/AllowedEmailValidation ロールを使用して行われたリクエストを除き、E メール検証方式を使用する新しい証明書リクエストを拒否します。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}
        

例 2: ワイルドカードドメインの防止

次のポリシーは、ワイルドカードドメインを使用する新しい ACM 証明書リクエストをすべて拒否します。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}
        

例 3: 証明書ドメインの制限

次のポリシーは、末尾が *.amazonaws.com ではないドメインの新しい ACM 証明書リクエストをすべて拒否します。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}
        

ポリシーを特定のサブドメインにさらに制限することができます。このポリシーは、すべてのドメインが少なくとも 1 つの条件付きドメイン名と一致するリクエストのみを許可します。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}
        

例 4: キーアルゴリズムの制限

次のポリシーは、条件キー StringNotLike を使用して、ECDSA 384 ビット (EC_secp384r1) キーアルゴリズムで要求された証明書のみを許可します。

{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}
        

次のポリシーは、条件キー StringLike とワイルドカード * のマッチングを使用して、いずれかの RSA キーアルゴリズムを使用する ACM での新しい証明書のリクエストを防ぎます。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}
        

例 5: 認証機関の制限

以下のポリシーは、提供された Private Certificate Authority (PCA) ARN を使用するプライベート証明書のリクエストのみを許可します。

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}
        

このポリシーは acm:CertificateAuthority 条件を使用して、Amazon Trust Services が発行した公的に信頼できる証明書のリクエストのみを許可します。認証機関 ARN を false に設定すると、PCA からのプライベート証明書のリクエストが防止されます。

{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}