本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資源型政策
資源型政策是您建立並手動連接至資源 (在此情況下為私有 CA) 而非使用者身分或角色的許可政策。或者,您可以針對 使用 AWS 受管政策,而不是建立自己的政策 AWS Private CA。使用 AWS RAM 套用資源型政策, AWS 私有 CA 管理員可以直接或透過 與不同 AWS 帳戶中的使用者共用對 CA 的存取權 AWS Organizations。或者, AWS 私有 CA 管理員可以使用 PCA APIsPutPolicy、GetPolicy 和 DeletePolicy,或對應的 AWS CLI 命令 put-policy、get-policy 和 delete-policy,來套用和管理資源型政策。
如需資源型政策的一般資訊,請參閱身分型政策與資源型政策,以及使用政策控制存取。
若要檢視 的受 AWS 管資源型政策清單 AWS Private CA,請導覽至 AWS Resource Access Manager 主控台中的受管許可程式庫
AWS Certificate Manager 具有私有 CA 跨帳戶共用存取權的 (ACM) 使用者可以發行由 CA 簽署的受管憑證。跨帳戶發行者受到資源型政策的限制,只能存取下列終端實體憑證範本:
政策範例
本節提供適用於各種需求的跨帳戶政策範例。在所有情況下,下列命令模式會用來套用政策:
$aws acm-pca put-policy \ --regionregion\ --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --policy file:///[path]/policyN.json
除了指定 CA 的 ARN 之外,管理員還提供帳戶 AWS ID 或 ID AWS Organizations ,以授予 CA 的存取權。下列每個政策的 JSON 會格式化為檔案,以供讀取,但也可以作為內嵌 CLI 引數提供。
注意
必須精確遵循下列 JSON 資源型政策的結構。客戶只能設定主體的 ID 欄位 ( AWS 帳戶號碼或 AWS 組織 ID) 和 CA ARNs。
-
檔案: policy1.json – 與不同帳戶中的使用者共用 CA 的存取權
Replace (取代)
555555555555使用共用 CA AWS 的帳戶 ID。對於資源 ARN,將下列項目取代為您自己的值:
awsaws、aws-cn、aws-us-gov等。us-east-1us-west-1。11112222333311223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ExampleStatementID", "Effect":"Allow", "Principal":{ "AWS":"555555555555" }, "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }, { "Sid":"ExampleStatementID2", "Effect":"Allow", "Principal":{ "AWS":"555555555555" }, "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] } -
檔案: policy2.json – 透過 共用 CA 的存取權 AWS Organizations
Replace (取代)
o-a1b2c3d4z5使用 AWS Organizations ID。對於資源 ARN,將下列項目取代為您自己的值:
awsaws、aws-cn、aws-us-gov等。us-east-1us-west-1。11112222333311223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ExampleStatementID3", "Effect":"Allow", "Principal":"*", "Action":"acm-pca:IssueCertificate", "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1", "aws:PrincipalOrgID":"o-a1b2c3d4z5" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333" } } }, { "Sid":"ExampleStatementID4", "Effect":"Allow", "Principal":"*", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":"o-a1b2c3d4z5" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333" } } ] }
