内联策略 - AWS Private Certificate Authority
私有上市 CAs检索私有 CA 证书导入私有 CA 证书删除私有 CATag-on-create:在创建 CA 时将标签附加到 CATag-on-create: 受限标记使用标签控制对私有 CA 的访问权限 只读访问权限 AWS 私有 CA完全访问权限 AWS 私有 CA对所有 AWS 资源的管理员访问权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

内联策略

内联策略是由您创建和管理的策略,它们直接嵌入在用户、组或角色中。以下策略示例说明如何分配执行 AWS 私有 CA 操作的权限。有关内联策略的一般信息,请参阅《IAM用户指南》中的使用内联策略。您可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或IAMAPI来创建和嵌入内联策略。

重要

我们强烈建议您在访问 AWS 私有 CA时使用多因素身份验证 (MFA)。

私有上市 CAs

以下策略允许用户列出账户CAs中的所有私人。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

检索私有 CA 证书

以下策略允许用户检索特定的私有 CA 证书。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

导入私有 CA 证书

以下策略允许用户导入私有 CA 证书。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

删除私有 CA

以下策略允许用户删除特定的私有 CA。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Tag-on-create:在创建 CA 时将标签附加到 CA

以下策略允许用户在创建 CA 期间应用标签。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: 受限标记

以下 tag-on-create策略禁止在创建 CA 期间使用密钥值对 Environment=Prod。允许使用其他键值对进行标记。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

使用标签控制对私有 CA 的访问权限

以下策略仅允许使用键值对 Env CAs ironment= 进行访问。PreProd它还要求新增CAs包含此标签。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

只读访问权限 AWS 私有 CA

以下策略允许用户描述和列出私有证书颁发机构并检索私有 CA 证书和证书链。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

完全访问权限 AWS 私有 CA

以下策略允许用户执行任何 AWS 私有 CA 操作。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}

对所有 AWS 资源的管理员访问权限

以下策略允许用户对任何 AWS 资源执行任何操作。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"*",
         "Resource":"*"
      }
   ]
}