本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
資源型政策
資源型政策是您建立並手動連接至資源 (在此情況下為私有 CA) 而非使用者身分或角色的許可政策。或者,您可以使用 的 AWS 受管政策,而不是建立自己的政策 AWS Private CA。使用 AWS RAM 套用以資源為基礎的政策, AWS 私有 CA 管理員可以直接或透過 與不同 AWS 帳戶中的使用者共用 CA 的存取權 AWS Organizations。或者, AWS 私有 CA 管理員可以使用 PCA APIsPutPolicy、GetPolicy 和 DeletePolicy,或對應的 AWS CLI 命令 put-policy、get-policy 和 delete-policy,來套用和管理以資源為基礎的政策。
如需資源型政策的一般資訊,請參閱身分型政策和資源型政策,以及使用政策控制存取。
若要檢視 的受 AWS 管資源型政策清單 AWS Private CA,請導覽至 AWS Resource Access Manager 主控台中的受管許可程式庫
AWS Certificate Manager 具有私有 CA 跨帳戶共用存取權的 (ACM) 使用者可以發行由 CA 簽署的受管憑證。跨帳戶發行者受到資源型政策的限制,只能存取下列終端實體憑證範本:
政策範例
本節提供適用於各種需求的跨帳戶政策範例。在所有情況下,下列命令模式會用來套用政策:
$aws acm-pca put-policy \ --regionregion\ --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --policy file:///[path]/policyN.json
除了指定 CA 的 ARN 之外,管理員還提供帳戶 AWS ID 或將授予 CA 存取權的 AWS Organizations ID。下列每個政策的 JSON 會格式化為檔案,以供讀取,但也可以做為內嵌 CLI 引數提供。
注意
以下顯示的 JSON 資源型政策結構必須精確遵循。客戶只能設定主體的 ID 欄位 ( AWS 帳戶號碼或 AWS 組織 ID) 和 CA ARNs。
-
檔案: policy1.json – 與不同帳戶中的使用者共用 CA 的存取權
將
555555555555取代為共用 CA AWS 的帳戶 ID。對於資源 ARN,將下列項目取代為您自己的值:
awsaws、aws-cn、aws-us-gov等。us-east-1us-west-1。11112222333311223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ExampleStatementID", "Effect":"Allow", "Principal":{ "AWS":"555555555555" }, "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }, { "Sid":"ExampleStatementID2", "Effect":"Allow", "Principal":{ "AWS":"555555555555" }, "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] } -
檔案: policy2.json – 透過 共用 CA 的存取權 AWS Organizations
將
o-a1b2c3d4z5取代為 AWS Organizations ID。對於資源 ARN,將下列項目取代為您自己的值:
awsaws、aws-cn、aws-us-gov等。us-east-1us-west-1。11112222333311223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ExampleStatementID3", "Effect":"Allow", "Principal":"*", "Action":"acm-pca:IssueCertificate", "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1", "aws:PrincipalOrgID":"o-a1b2c3d4z5" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333" } } }, { "Sid":"ExampleStatementID4", "Effect":"Allow", "Principal":"*", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":"o-a1b2c3d4z5" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333" } } ] }
