本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 内联策略
内联策略是由您创建和管理的策略,它们直接嵌入在用户、组或角色中。以下策略示例说明如何分配执行 AWS 私有 CA 操作的权限。有关内联策略的一般信息,请参阅《IAM 用户指南》[https://docs.aws.amazon.com/IAM/latest/UserGuide/](https://docs.aws.amazon.com/IAM/latest/UserGuide/)中的[使用内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies)。您可以使用 AWS 管理控制台、 AWS Command Line Interface (AWS CLI) 或 IAM API 来创建和嵌入内联策略。
**重要**
我们强烈建议您在访问时使用多因素身份验证 (MFA)。 AWS 私有 CA
**Topics**
+ [私有上市 CAs](#policy-list-pcas)
+ [检索私有 CA 证书](#policy-retrieve-pca)
+ [导入私有 CA 证书](#policy-import-pca-cert)
+ [删除私有 CA](#policy-delete-pca)
+ [Tag-on-create:在创建 CA 时将标签附加到 CA](#tag-on-create)
+ [Tag-on-create: 受限标记](#tag-on-create-restricted1)
+ [使用标签控制对私有 CA 的访问权限](#tag-on-create-restricted2)
+ [只读访问权限 AWS 私有 CA](#policy-pca-read-only)
+ [完全访问权限 AWS 私有 CA](#policy-pca-full-access)
## 私有上市 CAs
以下策略允许用户列出账户 CAs 中的所有私人。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:ListCertificateAuthorities",
"Resource":"*"
}
]
}
```
------
## 检索私有 CA 证书
以下策略允许用户检索特定的私有 CA 证书。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:GetCertificateAuthorityCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
------
## 导入私有 CA 证书
以下策略允许用户导入私有 CA 证书。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:ImportCertificateAuthorityCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
------
## 删除私有 CA
以下策略允许用户删除特定的私有 CA。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:DeleteCertificateAuthority",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID" }
}
```
------
## Tag-on-create:在创建 CA 时将标签附加到 CA
以下策略允许用户在创建 CA 期间应用标签。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"acm-pca:CreateCertificateAuthority",
"acm-pca:TagCertificateAuthority"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Tag-on-create: 受限标记
以下 tag-on-create策略*禁止在创建 CA* 期间使用密钥值对 Environment=Prod。允许使用其他键值对进行标记。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:*",
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"acm-pca:TagCertificateAuthority",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Environment":[
"Prod"
]
}
}
}
]
}
```
------
## 使用标签控制对私有 CA 的访问权限
以下策略仅允许使用键值对 Env CAs ironment= 进行访问。PreProd它还要求新增 CAs 包含此标签。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm-pca:*"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Environment":[
"PreProd"
]
}
}
}
]
}
```
------
## 只读访问权限 AWS 私有 CA
以下策略允许用户描述和列出私有证书颁发机构并检索私有 CA 证书和证书链。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":[
"acm-pca:DescribeCertificateAuthority",
"acm-pca:DescribeCertificateAuthorityAuditReport",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:GetCertificateAuthorityCsr",
"acm-pca:GetCertificate"
],
"Resource":"*"
}
}
```
------
## 完全访问权限 AWS 私有 CA
以下策略允许用户执行任何 AWS 私有 CA 操作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm-pca:*"
],
"Resource":"*"
}
]
}
```
------