기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

ACM에서 조건 키 사용

AWS Certificate Manager은(는) AWS Identity and Access Management (IAM) 조건 키를 사용하여 인증서 요청에 대한 액세스를 제한합니다. IAM 정책 또는 서비스 제어 정책(SCP) 의 조건 키를 사용하여 조직의 지침을 준수하는 인증서 요청을 생성할 수 있습니다.

ACM에 지원되는 조건

스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.

예 1: 검증 방법 제한

다음 정책은 이메일 검증 방법(arn:aws:iam::123456789012:role/AllowedEmailValidation 역할을 사용한 요청 제외)을 사용하여 새 인증서 요청을 거부합니다.

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}
        

예 2: 와일드카드 도메인 방지

다음 정책은 와일드카드 도메인을 사용하는 새 ACM 인증서 요청을 거부합니다.

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}
        

예 3: 인증서 도메인 제한

다음 정책은 *.amazonaws.com(으)로 종료되지 않는 도메인에 대한 새 ACM 인증서 요청을 거부합니다

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}
        

정책을 특정 하위 도메인으로 추가로 제한할 수 있습니다. 이 정책은 모든 도메인이 하나 이상의 조건부 도메인 이름과 일치하는 요청만 허용합니다.

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}
        

예 4: 키 알고리즘 제한

다음 정책은 StringNotLike 조건 키를 사용하여 ECDSA 384비트(EC_secp384r1) 키 알고리즘으로 요청된 인증서만 허용합니다.

{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}
        

다음 정책은 StringLike 조건 키 및 * 와일드카드를 사용하여 ACM에서 RSA 키 알고리즘으로 새 인증서를 요청하지 못하도록 매칭합니다.

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}
        

예 5: 인증 기관 제한

다음 정책은 제공된 사설 인증 기관(PCA) ARN을 사용한 사설 인증서 요청만 허용합니다.

{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}
        

이 정책은 acm:CertificateAuthority 조건을 사용하여 Amazon Trust Service에서 발행한 공개적으로 신뢰할 수 있는 인증서에 대한 요청만 허용합니다. 인증 기관 ARN을 설정하면 false이(가) PCA의 사설 인증서  요청을 방지합니다.

{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}