本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
內嵌政策
內嵌政策是您建立及管理的政策,且直接內嵌至單一使用者、群組或角色。下列原則範例顯示如何指派執行 AWS 私有 CA 動作的權限。如需有關內嵌原則的一般資訊,請參閱使用指南中的IAM使用內嵌原則。您可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或IAMAPI來建立和內嵌內嵌政策。
重要
我們強烈建議您在存 AWS 私有 CA取任何時間使用多重要素驗證 (MFA)。
主題
私人上市 CAs
以下策略允許用戶列出帳戶CAs中的所有私人信息。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:ListCertificateAuthorities", "Resource":"*" } ] }
擷取私有 CA 憑證
以下政策可讓使用者擷取特定私有 CA 憑證。
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:GetCertificateAuthorityCertificate", "Resource":"arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" } }
匯入私有 CA 憑證
以下政策可讓使用者匯入私有 CA 憑證。
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:ImportCertificateAuthorityCertificate", "Resource":"arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" } }
刪除私有 CA
以下政策可讓使用者刪除特定私有 CA。
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":"acm-pca:DeleteCertificateAuthority", "Resource":"arn:
aws
:acm-pca:us-east-1
:111122223333
:certificate-authority/11223344-1234-1122-2233-112233445566
" } }
Tag-on-create:建立時將標籤附加至 CA
下列原則可讓使用者在 CA 建立期間套用標記。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "acm-pca:CreateCertificateAuthority", "acm-pca:TagCertificateAuthority" ], "Effect": "Allow", "Resource": "*" } ] }
Tag-on-create:限制標記
下列 tag-on-create 原則會防止在 CA 建立期間使用金鑰值組環境 =Prod。允許使用其他鍵值對進行標記。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"acm-pca:*", "Resource":"*" }, { "Effect":"Deny", "Action":"acm-pca:TagCertificateAuthority", "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/Environment":[ "Prod" ] } } } ] }
使用標記控制私有 CA 的存取
以下策略僅允許使CAs用鍵值對環境 PreProd = 進行訪問。它還要求新CAs包含此標籤。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:*" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:ResourceTag/Environment":[ "PreProd" ] } } } ] }
唯讀存取權 AWS 私有 CA
以下政策可讓使用者描述及列出私有憑證授權機構,並擷取私有 CA 憑證和憑證鏈。
{ "Version":"2012-10-17", "Statement":{ "Effect":"Allow", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:DescribeCertificateAuthorityAuditReport", "acm-pca:ListCertificateAuthorities", "acm-pca:ListTags", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:GetCertificateAuthorityCsr", "acm-pca:GetCertificate" ], "Resource":"*" } }
完全存取 AWS 私有 CA
下列原則可讓使用者執行任何 AWS 私有 CA 動作。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "acm-pca:*" ], "Resource":"*" } ] }
以管理員身分存取所有 AWS 資源
以下策略允許使用者對任何 AWS 資源執行任何動作。
{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"*", "Resource":"*" } ] }