本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 資源型政策
以資源為基礎的政策是您建立並手動連接至資源 (在此情況下為私有 CA) 而非使用者身分或角色的許可政策。或者,您可以使用 的 AWS 受管政策,而不是建立自己的政策 AWS 私有 CA。使用 AWS RAM 套用以資源為基礎的政策, AWS 私有 CA 管理員可以直接或透過 與不同 AWS 帳戶中的使用者共用 CA 的存取權 AWS Organizations。或者, AWS 私有 CA 管理員可以使用 PCA APIs[PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html)、[GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html) 和 [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html),或對應的 AWS CLI 命令 [put-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)、[get-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) 和 [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html),來套用和管理以資源為基礎的政策。
如需以資源為基礎的政策的一般資訊,請參閱[以身分為基礎的政策和以資源為基礎的政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html),以及[使用政策控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html)。
若要檢視 的 AWS 受管資源型政策清單 AWS 私有 CA,請導覽至 AWS Resource Access Manager 主控台中的[受管許可程式庫](https://console.aws.amazon.com/ram/home#Permissions:),然後搜尋 **CertificateAuthority**。如同任何政策,在您套用之前,建議您在測試環境中套用政策,以確保符合您的需求。
AWS 私有 CA 也支援 RAM 客戶受管許可,可讓您從下列集合定義動作的自訂組合:`DescribeCertificateAuthority`、`GetCertificate`、`GetCertificateAuthorityCertificate`、`ListPermissions``ListTags`、`IssueCertificate`、 和 `RevokeCertificate`。客戶受管許可可讓您靈活地授予最低權限存取權 – 例如,授予某些帳戶的唯讀存取權,同時允許其他帳戶發行和撤銷憑證。如需詳細資訊,請參閱[RAM 中的客戶受管許可](pca-cmp.md)。
AWS Certificate Manager 具有私有 CA 跨帳戶共用存取權的 (ACM) 使用者可以發行由 CA 簽署的受管憑證。當您授予 `IssueCertificate`動作的許可時,您可以透過將`acm-pca:TemplateArn`條件新增至政策來限制用於憑證發行的憑證範本。
## 政策範例
本節提供適用於各種需求的範例跨帳戶政策。在所有情況下,都會使用下列命令模式來套用政策:
```
$ aws acm-pca put-policy \
--region {{region}} \
--resource-arn arn:{{aws}}:acm-pca:{{us-east-1}}:{{111122223333}}:certificate-authority/{{11223344-1234-1122-2233-112233445566}} \
--policy file:///{{[path]}}/{{policyN.json}}
```
除了指定 CA 的 ARN 之外,管理員還提供帳戶 AWS ID 或 AWS Organizations ID,以授予 CA 的存取權。下列每個政策的 JSON 會格式化為 檔案以供讀取,但也可以做為內嵌 CLI 引數提供。
**注意**
以下顯示的 JSON 資源型政策結構必須精確遵循。客戶只能設定委託人的 ID 欄位 ( AWS 帳戶號碼或 AWS 組織 ID) 和 CA ARNs。
1. **檔案: policy1.json – 與不同帳戶中的使用者共用 CA 的存取權**
將 {{555555555555}} 取代為共用 CA AWS 的帳戶 ID。
對於資源 ARN,請以您自己的值取代下列項目:
+ `{{aws}}` - AWS 分割區。例如,`aws`、`aws-cn`、 `aws-us-gov`等。
+ `{{us-east-1}}` - 資源 AWS 可用的區域,例如 `us-west-1`。
+ `{{111122223333}}` - 資源擁有者 AWS 的帳戶 ID。
+ `{{11223344-1234-1122-2233-112233445566}}` - 憑證授權單位的資源 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "{{ExampleStatementID}}",
"Effect": "Allow",
"Principal": {
"AWS": "{{555555555555}}"
},
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource": "arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}"
},
{
"Sid": "{{ExampleStatementID2}}",
"Effect": "Allow",
"Principal": {
"AWS": "{{555555555555}}"
},
"Action": [
"acm-pca:IssueCertificate"
],
"Resource": "arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
}
}
]
}
```
------
1. **檔案: policy2.json – 透過 共用 CA 的存取權 AWS Organizations**
將 AWS Organizations {{o-a1b2c3d4z5}} 取代為 ID。
對於資源 ARN,請以您自己的值取代下列項目:
+ `{{aws}}` - AWS 分割區。例如,`aws`、`aws-cn`、 `aws-us-gov`等。
+ `{{us-east-1}}` - 資源 AWS 可用的區域,例如 `us-west-1`。
+ `{{111122223333}}` - 資源擁有者 AWS 的帳戶 ID。
+ `{{11223344-1234-1122-2233-112233445566}}` - 憑證授權單位的資源 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "{{ExampleStatementID3}}",
"Effect": "Allow",
"Principal": "*",
"Action": "acm-pca:IssueCertificate",
"Resource":"arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
"aws:PrincipalOrgID": "{{o-a1b2c3d4z5}}"
},
"StringNotEquals": {
"aws:PrincipalAccount": "{{111122223333}}"
}
}
},
{
"Sid": "{{ExampleStatementID4}}",
"Effect": "Allow",
"Principal": "*",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource":"arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "{{o-a1b2c3d4z5}}"
},
"StringNotEquals": {
"aws:PrincipalAccount": "{{111122223333}}"
}
}
}
]
}
```
------