Anúncio privado CAs Recuperar um certificado de CA privada Importar um certificado de CA privada Excluir uma CA privada Tag-on-create: Anexando tags a uma CA no momento da criação Tag-on-create: Marcação restrita Controlar o acesso à CA privada usando etiquetas Acesso somente para leitura a CA privada da AWS Acesso total ao CA privada da AWS Acesso de administrador a todos os recursos da AWS

Políticas em linha

As políticas em linha são políticas criadas, gerenciadas e incorporadas diretamente a um usuário, grupo ou função. Os exemplos de políticas a seguir mostram como atribuir permissões para realizar CA privada da AWS ações. Para obter informações gerais sobre políticas em linha, consulte Como trabalhar com políticas embutidas no Guia do IAMusuário. Você pode usar o AWS Management Console, o AWS Command Line Interface (AWS CLI) ou o IAM API para criar e incorporar políticas em linha.

Importante

É altamente recomendável o uso da autenticação multifator (MFA) sempre que você acessar CA privada da AWS.

Tópicos

Anúncio privado CAs
Recuperar um certificado de CA privada
Importar um certificado de CA privada
Excluir uma CA privada
Tag-on-create: Anexando tags a uma CA no momento da criação
Tag-on-create: Marcação restrita
Controlar o acesso à CA privada usando etiquetas
Acesso somente para leitura a CA privada da AWS
Acesso total ao CA privada da AWS
Acesso de administrador a todos os recursos da AWS

Anúncio privado CAs

A política a seguir permite que um usuário liste todas as informações privadas CAs em uma conta.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

Recuperar um certificado de CA privada

A política a seguir permite que um usuário recupere um certificado de CA privada específico.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Importar um certificado de CA privada

A política a seguir permite que um usuário importe um certificado de CA privada.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Excluir uma CA privada

A política a seguir permite que um usuário exclua uma CA privada específica.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Tag-on-create: Anexando tags a uma CA no momento da criação

A política a seguir permite que um usuário aplique etiquetas durante a criação da CA.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: Marcação restrita

A tag-on-create política a seguir impede o uso do par de valores-chave Environment=Prod durante a criação da CA. A marcação com outros pares de chave/valor é permitida.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

Controlar o acesso à CA privada usando etiquetas

A política a seguir permite acesso somente CAs com o par de valores-chave Environment=. PreProd Também exige que o novo CAs inclua essa tag.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

Acesso somente para leitura a CA privada da AWS

A política a seguir permite que um usuário descreva e liste autoridades de certificação privadas e recupere o certificado CA privado e a cadeia de certificados.


{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

Acesso total ao CA privada da AWS

A política a seguir permite que um usuário execute qualquer CA privada da AWS ação.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}

Acesso de administrador a todos os recursos da AWS

A política a seguir permite que um usuário execute qualquer ação em qualquer AWS recurso.


{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"*",
         "Resource":"*"
      }
   ]
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Políticas gerenciadas pelo cliente

Acesso entre contas