翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
インラインポリシー
インラインポリシーとは、ユーザー、グループ、または役割りを作成、管理、または直接組み込むポリシーです。次のポリシー例は、 AWS Private CA アクションを実行するためのアクセス許可を割り当てる方法を示しています。インラインポリシーの一般的な情報については、IAM ユーザーガイドの「インラインポリシーの使用」を参照してください。 AWS Management Console、 AWS Command Line Interface (AWS CLI)、または IAM を使用して、インラインポリシーAPIを作成して埋め込むことができます。
重要
にアクセスするときはいつでも多要素認証 (MFA) を使用することを強くお勧めします AWS Private CA。
トピック
プライベートCAsの一覧表示
次のポリシーでは、ユーザーはアカウント内のすべてのプライベート CAs を一覧表示できます。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:ListCertificateAuthorities", "Resource":"*" } ] }
プライベート CA 証明書の取得
次のポリシーを使用すると、ユーザーは特定のプライベート CA 証明書を取得できます。
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:GetCertificateAuthorityCertificate", "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" } }
プライベート CA 証明書をインポートする
次のポリシーを使用すると、ユーザーはプライベート CA 証明書をインポートできます。
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:ImportCertificateAuthorityCertificate", "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" } }
プライベート CA の削除
次のポリシーを使用すると、ユーザーは特定のプライベート CA 証明書を削除できます。
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:DeleteCertificateAuthority", "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" } }
Tag-on-create: 作成時に CA にタグをアタッチする
以下のポリシーでは、CA の作成中にユーザーがタグを適用できます。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "acm-pca:CreateCertificateAuthority", "acm-pca:TagCertificateAuthority" ], "Effect": "Allow", "Resource": "*" } ] }
Tag-on-create: 制限付きタグ付け
次の tag-on-create ポリシーは、CA の作成中にキーと値のペア Environment=Prod の使用を防ぎます。他のキーと値のペアによるタグ付けは可能です。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:*", "Resource":"*" }, { "Effect":"Deny", "Action":"acm-pca:TagCertificateAuthority", "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/Environment":[ "Prod" ] } } } ] }
タグを使用したプライベート CA リソースへのアクセスの制御
次のポリシーでは、キーと値のペア Environment=CAs を持つ PreProd へのアクセスのみを許可します。また、新しい CAs にこのタグを含める必要もあります。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/Environment":[ "PreProd" ] } } } ] }
への読み取り専用アクセス AWS Private CA
次のポリシーを使用すると、ユーザーはプライベート証明書認証機関を説明、一覧表示し、また、プライベート CA 認定と証明書チェーンを取得できます。
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:DescribeCertificateAuthorityAuditReport", "acm-pca:ListCertificateAuthorities", "acm-pca:ListTags", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:GetCertificateAuthorityCsr", "acm-pca:GetCertificate" ], "Resource":"*" } }
へのフルアクセス AWS Private CA
次のポリシーでは、ユーザーに任意の AWS Private CA アクションを実行することを許可します。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:*" ], "Resource":"*" } ] }
すべての AWS リソースへの管理者アクセス
次のポリシーでは、ユーザーは任意の AWS リソースに対して任意のアクションを実行できます。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"*", "Resource":"*" } ] }
