內嵌政策 - AWS Private Certificate Authority
列出私有 CAs擷取私有 CA 憑證匯入私有 CA 憑證刪除私有 CATag-on-create:建立時將標籤連接至 CATag-on-create:限制標記使用標籤控制對 Private CA 的存取 唯讀存取 AWS 私有 CA完整存取 AWS 私有 CA以管理員身分存取所有 AWS 資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

內嵌政策

內嵌政策是您建立及管理的政策,且直接內嵌至單一使用者、群組或角色。下列政策範例示範如何指派執行 AWS 私有 CA 動作的許可。如需內嵌政策的一般資訊,請參閱 IAM 使用者指南中的使用內嵌政策。您可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 IAM API來建立和內嵌內嵌政策。

重要

我們強烈建議您隨時存取時使用多重要素驗證 (MFA) AWS 私有 CA。

列出私有 CAs

下列政策可讓使用者列出帳戶中的所有私有 CAs。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

擷取私有 CA 憑證

以下政策可讓使用者擷取特定私有 CA 憑證。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

匯入私有 CA 憑證

以下政策可讓使用者匯入私有 CA 憑證。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

刪除私有 CA

以下政策可讓使用者刪除特定私有 CA。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Tag-on-create:建立時將標籤連接至 CA

下列政策允許使用者在 CA 建立期間套用標籤。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create:限制標記

下列 tag-on-create 政策可防止在 CA 建立期間使用鍵值對環境=Prod。允許使用其他鍵值對進行標記。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

使用標籤控制對 Private CA 的存取

下列政策僅允許存取 CAs 與鍵值對環境=PreProd。它也需要新的 CAs 包含此標籤。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

唯讀存取 AWS 私有 CA

以下政策可讓使用者描述及列出私有憑證授權機構,並擷取私有 CA 憑證和憑證鏈。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

完整存取 AWS 私有 CA

下列政策允許使用者執行任何 AWS 私有 CA 動作。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}

以管理員身分存取所有 AWS 資源

下列政策允許使用者對任何 AWS 資源執行任何動作。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"*",
         "Resource":"*"
      }
   ]
}