本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Certificate Manager use AWS Identity and Access Management (IAM) 條件索引鍵可限制對憑證請求的存取。藉由 IAM 政策或服務控制政策 (SCP) 中的條件索引鍵,您可以建立符合組織準則的憑證請求。
注意
將 ACM 條件索引鍵與 AWS 全域條件索引鍵結合,例如 aws:PrincipalArn,以進一步限制特定使用者或角色的動作。
ACM 的支援條件
使用捲軸查看資料表的其餘部分。
| 條件索引鍵 | 支援的 ACM API 作業 | Type | 描述 |
|---|---|---|---|
|
|
字串 ( |
根據 ACM 驗證方法篩選請求 |
|
|
|
ArrayOfString |
根據 ACM 請求中的網域名稱篩選 |
|
|
|
字串 |
根據 ACM 索引鍵演算法和大小篩選請求 |
|
|
|
字串 ( |
根據 ACM 憑證透明度記錄偏好設定篩選請求 |
|
|
|
ARN |
根據 ACM 請求中的憑證授權機構篩選請求 |
範例 1:限制驗證方法
除了使用 arn:aws:iam::123456789012:role/AllowedEmailValidation 角色發送的請求之外,以下政策會拒絕使用電子郵件驗證方法傳送的新憑證請求。
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:ValidationMethod":"EMAIL"
},
"ArnNotLike": {
"aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
}
}
}
}
範例 2:防範萬用字元網域
以下政策會拒絕使用萬用字元網域的所有新 ACM 憑證請求。
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringLike": {
"acm:DomainNames": [
"${*}.*"
]
}
}
}
}
範例 3:限制憑證網域
以下政策會拒絕網域結尾不是 *.amazonaws.com 的所有新 ACM 憑證請求。
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringNotLike": {
"acm:DomainNames": ["*.amazonaws.com"]
}
}
}
}
政策可以進一步限制為特定的子網域。此政策只會允許每個網域符合至少一個網域名稱條件的請求。
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAllValues:StringNotLike": {
"acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
}
}
}
}
範例 4:限制索引鍵演算法
以下政策使用條件索引鍵 StringNotLike,只允許使用 ECDSA 384 位元 (EC_secp384r1) 索引鍵演算法請求取得憑證。
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike" : {
"acm:KeyAlgorithm":"EC_secp384r1"
}
}
}
}
以下政策使用條件索引鍵 StringLike 和萬用字元 * 比對功能,防範 ACM 中出現使用任何 RSA 索引鍵演算法的新憑證請求。
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:KeyAlgorithm":"RSA*"
}
}
}
}
範例 5:限制憑證授權機構
以下政策只允許使用所提供私有憑證授權機構 (PCA) ARN 的私有憑證請求。
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike": {
"acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
}
}
}
}
此政策使用 acm:CertificateAuthority 條件:僅允許 Amazon 信任服務發出的公開信任憑證請求。將憑證授權機構 ARN 設定為 false 可防範來自 PCA 的私有憑證請求。
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"Null" : {
"acm:CertificateAuthority":"false"
}
}
}
}
