內嵌政策 - AWS Private Certificate Authority
私人上市 CAs擷取私有 CA 憑證匯入私有 CA 憑證刪除私有 CATag-on-create:建立時將標籤附加至 CATag-on-create:限制標記使用標記控制私有 CA 的存取 唯讀存取權 AWS 私有 CA完全存取 AWS 私有 CA以管理員身分存取所有 AWS 資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

內嵌政策

內嵌政策是您建立及管理的政策,且直接內嵌至單一使用者、群組或角色。下列原則範例顯示如何指派執行 AWS 私有 CA 動作的權限。如需有關內嵌原則的一般資訊,請參閱使用指南中的IAM使用內嵌原則。您可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或IAMAPI來建立和內嵌內嵌政策。

重要

我們強烈建議您在存 AWS 私有 CA取任何時間使用多重要素驗證 (MFA)。

私人上市 CAs

以下策略允許用戶列出帳戶CAs中的所有私人信息。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

擷取私有 CA 憑證

以下政策可讓使用者擷取特定私有 CA 憑證。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

匯入私有 CA 憑證

以下政策可讓使用者匯入私有 CA 憑證。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

刪除私有 CA

以下政策可讓使用者刪除特定私有 CA。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
   }
}

Tag-on-create:建立時將標籤附加至 CA

下列原則可讓使用者在 CA 建立期間套用標記。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create:限制標記

下列 tag-on-create 原則會防止在 CA 建立期間使用金鑰值組環境 =Prod。允許使用其他鍵值對進行標記。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

使用標記控制私有 CA 的存取

以下策略僅允許使CAs用鍵值對環境 PreProd = 進行訪問。它還要求新CAs包含此標籤。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

唯讀存取權 AWS 私有 CA

以下政策可讓使用者描述及列出私有憑證授權機構,並擷取私有 CA 憑證和憑證鏈。

{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

完全存取 AWS 私有 CA

下列原則可讓使用者執行任何 AWS 私有 CA 動作。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}

以管理員身分存取所有 AWS 資源

以下策略允許使用者對任何 AWS 資源執行任何動作。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"*",
         "Resource":"*"
      }
   ]
}