使用條件鍵 ACM - AWS Certificate Manager
支援的條件 ACM範例 1:限制驗證方法範例 2:防範萬用字元網域範例 3:限制憑證網域範例 4:限制索引鍵演算法範例 5:限制憑證授權機構

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用條件鍵 ACM

AWS Certificate Manager 使用 AWS Identity and Access Management (IAM) 限制憑證要求存取的條件金鑰。使用IAM原則或服務控制原則 (SCP) 中的條件金鑰,您可以建立符合組織準則的憑證要求。

注意

將ACM條件鍵與 AWS 全域條件鍵,例如aws:PrincipalArn進一步限制特定使用者或角色的動作。

支援的條件 ACM

使用捲軸查看資料表的其餘部分。

ACMAPI作業和支援的條件
條件索引鍵 支援的ACMAPI作業 Type 描述

acm:ValidationMethod

RequestCertificate

字串 (EMAILDNS)

根據ACM驗證方法篩選要求

acm:DomainNames

RequestCertificate

ArrayOfString

根據ACM要求中的網域名稱篩選

acm:KeyAlgorithm

RequestCertificate

字串

根據ACM金鑰演算法和大小篩選要求

acm:CertificateTransparencyLogging

RequestCertificate

字串 (ENABLEDDISABLED)

根據ACM憑證透明度記錄偏好設定篩選要求

acm:CertificateAuthority

RequestCertificate

ARN

根據要求中的憑證授權單位篩選ACM要求

範例 1:限制驗證方法

除了使用 arn:aws:iam::123456789012:role/AllowedEmailValidation 角色發送的請求之外,以下政策會拒絕使用電子郵件驗證方法傳送的新憑證請求。


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}

範例 2:防範萬用字元網域

下列原則會拒絕任何使用萬用字元網域的新ACM憑證要求。


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}

範例 3:限制憑證網域

下列原則會拒絕對未以下列結尾之網域的任何新ACM憑證要求 *.amazonaws.com


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}

政策可以進一步限制為特定的子網域。此政策只會允許每個網域符合至少一個網域名稱條件的請求。


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}

範例 4:限制索引鍵演算法

下列原則會使用條件金鑰,僅StringNotLike允許使用 ECDSA 384 bit (EC_secp384r1) 金鑰演算法要求的憑證。


{
    "Version":"2012-10-17",
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}

下列原則會使用條件金鑰StringLike和萬用字元*比對,以防止在任何RSA金鑰演算法中ACM要求新憑證。


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}

範例 5:限制憑證授權機構

下列原則只允許使用提供的私有憑證授權單位 (PCA) 要求私有憑證ARN。


{
    "Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
            }
        }
    }
}

此政策使用 acm:CertificateAuthority 條件:僅允許 Amazon 信任服務發出的公開信任憑證請求。ARN將憑證授權單位設定為false防止對私人憑證的要求PCA。


{
"Version":"2012-10-17",
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}