翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
リソースベースのポリシー
リソースベースのポリシーは、ユーザー ID やロールではなく、ユーザーが作成してリソース (この場合はプライベート CA) に手動でアタッチするアクセス許可ポリシーです。または、独自のポリシーを作成する代わりに、 の管理 AWS ポリシーを使用できます AWS Private CA。 AWS RAM を使用してリソースベースのポリシーを適用すると、 AWS Private CA 管理者は CA へのアクセスを別の AWS アカウントのユーザーと直接または を通じて共有できます AWS Organizations。または、 AWS Private CA 管理者はPCAAPIsPutPolicy、、GetPolicy、 DeletePolicyまたは対応する AWS CLI コマンド put-policy 、get-policy 、delete-policy を使用して、リソースベースのポリシーを適用および管理できます。
リソースベースのポリシーに関する一般的な情報については、「アイデンティティベースのポリシーおよびリソースベースのポリシー」および「ポリシーを使用したアクセスの制御」を参照してください。
の AWS マネージドリソースベースのポリシーのリストを表示するには AWS Private CA、 AWS Resource Access Manager コンソールで マネージドアクセス許可ライブラリ
AWS Certificate Manager (ACM) プライベート CA へのクロスアカウント共有アクセス権を持つユーザーは、CA によって署名されたマネージド証明書を発行できます。クロスアカウント発行者はリソースベースのポリシーによって制約され、以下のエンドエンティティ証明書テンプレートにのみアクセスできます。
ポリシーの例
このセクションでは、さまざまなニーズに対応するクロスアカウントポリシーの例を示します。いずれの場合も、以下のコマンドパターンを使用してポリシーを適用します。
$aws acm-pca put-policy \ --regionregion\ --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --policy file:///[path]/policyN.json
CA ARNの を指定するだけでなく、管理者は CA へのアクセスを許可するアカウント ID または AWS Organizations ID を提供します AWS 。次のJSON各ポリシーは、読みやすいようにファイルとしてフォーマットされていますが、インラインCLI引数として指定することもできます。
注記
以下に示すJSONリソースベースのポリシーの構造は、正確に順守する必要があります。プリンシパルの ID フィールド ( AWS アカウント番号または AWS Organizations ID) と CA のみがARNs、お客様が設定できます。
-
ファイル: policy1.json — CA へのアクセスを別のアカウントのユーザーと共有する
置換
555555555555CA を共有している AWS アカウント ID。リソース ではARN、以下を独自の値に置き換えます。
awsaws-cn、awsaws-us-govなどです。us-east-1us-west-1。11112222333311223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ExampleStatementID", "Effect":"Allow", "Principal":{ "AWS":"555555555555" }, "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }, { "Sid":"ExampleStatementID2", "Effect":"Allow", "Principal":{ "AWS":"555555555555" }, "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] } -
ファイル: policy2.json – 経由で CA へのアクセスを共有する AWS Organizations
置換
o-a1b2c3d4z5AWS Organizations ID を使用します。リソース ではARN、以下を独自の値に置き換えます。
awsaws-cn、awsaws-us-govなどです。us-east-1us-west-1。11112222333311223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ExampleStatementID3", "Effect":"Allow", "Principal":"*", "Action":"acm-pca:IssueCertificate", "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1", "aws:PrincipalOrgID":"o-a1b2c3d4z5" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333" } } }, { "Sid":"ExampleStatementID4", "Effect":"Allow", "Principal":"*", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":"o-a1b2c3d4z5" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333" } } ] }
