기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Certificate Manager 는 AWS Identity and Access Management (IAM) 조건 키를 사용하여 인증서 요청에 대한 액세스를 제한합니다. IAM 정책 또는 서비스 제어 정책(SCP) 의 조건 키를 사용하여 조직의 지침을 준수하는 인증서 요청을 생성할 수 있습니다.
참고
ACM 조건 키를와 같은 AWS 글로벌 조건 키와 결합하여 특정 사용자 또는 역할로 작업을 추가로 제한aws:PrincipalArn합니다.
ACM에 지원되는 조건
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
| 조건 키 | 지원되는 ACM API 작업 | 유형 | 설명 |
|---|---|---|---|
|
|
문자열( |
ACM 검증 방법을 기준으로 요청 필터링 |
|
|
|
ArrayOfString |
ACM 요청에서 도메인 이름을 기준으로 필터링 |
|
|
|
String |
ACM 키 알고리즘 및 크기를 기준으로 요청 필터링 |
|
|
|
문자열( |
ACM 인증서 투명성 로깅 기본 설정을 기준으로 요청 필터링 |
|
|
|
ARN |
ACM 요청의 인증 기관을 기준으로 요청 필터링 |
예 1: 검증 방법 제한
다음 정책은 이메일 검증 방법(arn:aws:iam::123456789012:role/AllowedEmailValidation 역할을 사용한 요청 제외)을 사용하여 새 인증서 요청을 거부합니다.
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:ValidationMethod":"EMAIL"
},
"ArnNotLike": {
"aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
}
}
}
}
예 2: 와일드카드 도메인 방지
다음 정책은 와일드카드 도메인을 사용하는 새 ACM 인증서 요청을 거부합니다.
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringLike": {
"acm:DomainNames": [
"${*}.*"
]
}
}
}
}
예 3: 인증서 도메인 제한
다음 정책은 *.amazonaws.com(으)로 종료되지 않는 도메인에 대한 새 ACM 인증서 요청을 거부합니다
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringNotLike": {
"acm:DomainNames": ["*.amazonaws.com"]
}
}
}
}
정책을 특정 하위 도메인으로 추가로 제한할 수 있습니다. 이 정책은 모든 도메인이 하나 이상의 조건부 도메인 이름과 일치하는 요청만 허용합니다.
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAllValues:StringNotLike": {
"acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
}
}
}
}
예 4: 키 알고리즘 제한
다음 정책은 StringNotLike 조건 키를 사용하여 ECDSA 384비트(EC_secp384r1) 키 알고리즘으로 요청된 인증서만 허용합니다.
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike" : {
"acm:KeyAlgorithm":"EC_secp384r1"
}
}
}
}
다음 정책은 StringLike 조건 키 및 * 와일드카드를 사용하여 ACM에서 RSA 키 알고리즘으로 새 인증서를 요청하지 못하도록 매칭합니다.
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:KeyAlgorithm":"RSA*"
}
}
}
}
예 5: 인증 기관 제한
다음 정책은 제공된 사설 인증 기관(PCA) ARN을 사용한 사설 인증서 요청만 허용합니다.
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike": {
"acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
}
}
}
}
이 정책은 acm:CertificateAuthority 조건을 사용하여 Amazon Trust Service에서 발행한 공개적으로 신뢰할 수 있는 인증서에 대한 요청만 허용합니다. 인증 기관 ARN을 설정하면 false이(가) PCA의 사설 인증서 요청을 방지합니다.
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"Null" : {
"acm:CertificateAuthority":"false"
}
}
}
}
