기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 리소스 기반 정책
리소스 기반 정책은 사용자 ID 또는 역할 대신 리소스(이 경우 프라이빗 CA)에 생성하여 수동으로 연결하는 권한 정책입니다. 또는 자체 정책을 생성하는 대신 AWS 관리형 정책을 사용할 수 있습니다 AWS Private CA. 를 사용하여 리소스 기반 정책을 적용 AWS RAM 하면 AWS Private CA 관리자는 CA에 대한 액세스를 다른 AWS 계정의 사용자와 직접 또는를 통해 공유할 수 있습니다 AWS Organizations. 또는 AWS Private CA 관리자는 PCA APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html), [GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html) 및 [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html) 또는 해당 AWS CLI 명령 [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html), [get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) 및 [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html)를 사용하여 리소스 기반 정책을 적용하고 관리할 수 있습니다.
리소스 기반 정책에 대한 일반적인 내용은 [자격 증명 기반 정책 및 리소스 기반 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) 및 정책을 [사용한 액세스 제어를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html).
에 대한 AWS 관리형 리소스 기반 정책 목록을 보려면 AWS Resource Access Manager 콘솔에서 [관리형 권한 라이브러리](https://console.aws.amazon.com/ram/home#Permissions:)로 AWS Private CA이동하여 **CertificateAuthority**를 검색합니다. 다른 정책과 마찬가지로 정책을 적용하기 전에 테스트 환경에 정책을 적용하여 요구 사항을 충족하는지 확인하는 것이 좋습니다.
AWS Private CA 는 RAM 고객 관리형 권한도 지원하므로 `DescribeCertificateAuthority`, , , `GetCertificate`, `GetCertificateAuthorityCertificate`, `ListPermissions`및 세트의 사용자 지정 작업 조합을 정의할 수 `ListTags` `IssueCertificate`있습니다`RevokeCertificate`. 고객 관리형 권한은 최소 권한 액세스 권한을 부여할 수 있는 유연성을 제공합니다. 예를 들어, 일부 계정에는 읽기 전용 액세스 권한을 부여하는 동시에 다른 계정은 인증서를 발급하고 취소할 수 있습니다. 자세한 내용은 [RAM의 고객 관리형 권한](pca-cmp.md) 단원을 참조하십시오.
AWS Certificate Manager 프라이빗 CA에 대한 교차 계정 공유 액세스 권한이 있는 (ACM) 사용자는 CA에서 서명한 관리형 인증서를 발급할 수 있습니다. `IssueCertificate` 작업에 권한을 부여할 때 정책에 `acm-pca:TemplateArn` 조건을 추가하여 인증서 발급에 사용되는 인증서 템플릿을 제한할 수 있습니다.
## 정책 예시
이 섹션에서는 다양한 요구 사항에 맞는 교차 계정 정책의 예제를 제공합니다. 모든 경우에 다음 명령 패턴을 사용하여 정책을 적용합니다.
```
$ aws acm-pca put-policy \
--region {{region}} \
--resource-arn arn:{{aws}}:acm-pca:{{us-east-1}}:{{111122223333}}:certificate-authority/{{11223344-1234-1122-2233-112233445566}} \
--policy file:///{{[path]}}/{{policyN.json}}
```
관리자는 CA의 ARN을 지정하는 것 외에도 CA에 대한 액세스 권한을 부여할 계정 ID 또는 AWS Organizations ID를 제공합니다 AWS . 다음 각 정책의 JSON은 가독성을 위해 파일로 포맷되지만 인라인 CLI 인수로 제공될 수도 있습니다.
**참고**
아래 표시된 JSON 리소스 기반 정책의 구조를 정확하게 따라야 합니다. 보안 주체의 ID 필드( AWS 계정 번호 또는 AWS 조직 ID)와 CA ARNs만 고객이 구성할 수 있습니다.
1. **File: policy1.json – Sharing access to a CA with a user in a different account**
{{555555555555}}을 CA를 공유하는 AWS 계정 ID로 바꿉니다.
리소스 ARN의 경우 다음을 자체 값으로 바꿉니다.
+ `{{aws}}` - 파티션입니다 AWS . 예: , `aws``aws-us-gov``aws-cn`, 등
+ `{{us-east-1}}` - AWS 와 같이 리소스를 사용할 수 있는 리전입니다`us-west-1`.
+ `{{111122223333}}` - 리소스 소유자의 AWS 계정 ID입니다.
+ `{{11223344-1234-1122-2233-112233445566}}` - 인증 기관의 리소스 ID입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "{{ExampleStatementID}}",
"Effect": "Allow",
"Principal": {
"AWS": "{{555555555555}}"
},
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource": "arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}"
},
{
"Sid": "{{ExampleStatementID2}}",
"Effect": "Allow",
"Principal": {
"AWS": "{{555555555555}}"
},
"Action": [
"acm-pca:IssueCertificate"
],
"Resource": "arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
}
}
]
}
```
------
1. **파일: policy2.json –를 통해 CA에 대한 액세스 공유 AWS Organizations**
{{o-a1b2c3d4z5}}를 ID로 바꿉니다 AWS Organizations .
리소스 ARN의 경우 다음을 자체 값으로 바꿉니다.
+ `{{aws}}` - 파티션입니다 AWS . 예: , `aws``aws-us-gov``aws-cn`, 등
+ `{{us-east-1}}` - AWS 와 같이 리소스를 사용할 수 있는 리전입니다`us-west-1`.
+ `{{111122223333}}` - 리소스 소유자의 AWS 계정 ID입니다.
+ `{{11223344-1234-1122-2233-112233445566}}` - 인증 기관의 리소스 ID입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "{{ExampleStatementID3}}",
"Effect": "Allow",
"Principal": "*",
"Action": "acm-pca:IssueCertificate",
"Resource":"arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
"aws:PrincipalOrgID": "{{o-a1b2c3d4z5}}"
},
"StringNotEquals": {
"aws:PrincipalAccount": "{{111122223333}}"
}
}
},
{
"Sid": "{{ExampleStatementID4}}",
"Effect": "Allow",
"Principal": "*",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource":"arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "{{o-a1b2c3d4z5}}"
},
"StringNotEquals": {
"aws:PrincipalAccount": "{{111122223333}}"
}
}
}
]
}
```
------