本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Private Certificate Authority 的動作、資源和條件索引鍵
AWS Private Certificate Authority (服務字首:acm-pca) 提供下列服務特定的資源、動作和條件內容索引鍵,可用於 IAM 許可政策。
參考資料:
-
了解如何設定此服務。
-
檢視API此服務可用的操作清單。
-
了解如何使用 IAM 許可政策來保護此服務及其資源。
主題
AWS Private Certificate Authority 定義的動作
您可在 IAM 政策陳述式的 Action 元素中指定以下動作。使用政策來授予在 AWS中執行操作的許可。當您在政策中使用 動作時,通常會允許或拒絕存取具有相同名稱API的操作或CLI命令。不過,在某些情況下,單一動作可控制對多個操作的存取。或者,某些操作需要多種不同的動作。
「動作」資料表的資源類型欄會指出每個動作是否支援資源層級的許可。如果此欄沒有值,您必須在政策陳述式的 Resource 元素中指定政策適用的所有資源 ("*")。如果資料欄包含資源類型,則您可以在具有該動作ARN的陳述式中指定該類型的 。如果動作具有一或多個必要資源,呼叫者必須具有對這些資源使用動作的許可。表格中的必要資源會以星號 (*) 表示。如果您在 IAM 政策中限制使用 Resource元素存取資源,您必須為每個必要的資源類型包含 ARN或 模式。某些動作支援多種資源類型。如果資源類型是選用 (未顯示為必要),則您可以選擇使用其中一種選用資源類型。
「動作」資料表的條件索引鍵欄包含您可以在政策陳述式的 Condition 元素中指定的索引鍵。如需有關與服務資源相關聯之條件索引鍵的詳細資訊,請參閱「資源類型」資料表的條件索引鍵欄。
注意
資源條件索引鍵會列在資源類型資料表中。您可以在「動作」資料表的資源類型 (*必填) 欄中找到適用於動作的資源類型連結。「資源類型」資料表中的資源類型包括條件索引鍵欄,其中包含套用至「動作」資料表中動作的資源條件索引鍵。
如需下表各欄的詳細資訊,請參閱動作資料表。
| 動作 | 描述 | 存取層級 | 資源類型 (*必填項目) | 條件索引鍵 | 相依動作 |
|---|---|---|---|---|---|
| CreateCertificateAuthority | 准許建立 AWS 私有 CA 及其相關聯的私有金鑰和組態 | 寫入 | |||
| CreateCertificateAuthorityAuditReport | 准許為 AWS 私有 CA 建立稽核報告 | 寫入 | |||
| CreatePermission | 准許建立 AWS 私有 CA 的許可 | 許可管理 | |||
| DeleteCertificateAuthority | 准許刪除 AWS 私有 CA 及其相關聯的私有金鑰和組態 | 寫入 | |||
| DeletePermission | 准許刪除 AWS 私有 CA 的許可 | 許可管理 | |||
| DeletePolicy | 准許刪除 AWS 私有 CA 的政策 | 許可管理 | |||
| DescribeCertificateAuthority | 准許傳回指定 AWS Private CA 中包含的組態和狀態欄位清單 | 讀取 | |||
| DescribeCertificateAuthorityAuditReport | 准許傳回 AWS 私有 CA 稽核報告的狀態和資訊 | 讀取 | |||
| GetCertificate | 准許擷取由 指定的憑證授權單位的 AWS 私有 CA 憑證和憑證鏈 ARN | 讀取 | |||
| GetCertificateAuthorityCertificate | 准許擷取由 指定的憑證授權單位的 AWS 私有 CA 憑證和憑證鏈 ARN | 讀取 | |||
| GetCertificateAuthorityCsr | 准許擷取由 指定的憑證授權的 AWS 私有 CA 憑證簽署請求 (CSR) ARN | 讀取 | |||
| GetPolicy | 准許擷取 AWS 私有 CA 上的政策 | 讀取 | |||
| ImportCertificateAuthorityCertificate | 准許將 SSL/TLS 憑證匯入 AWS 私有 CA,以用作 AWS 私有 CA 的 CA 憑證 | 寫入 | |||
| IssueCertificate | 准許發出 AWS 私有 CA 憑證 | 寫入 | |||
| ListCertificateAuthorities | 准許擷取 AWS 私有 CA 憑證授權單位的清單ARNs,以及呼叫帳戶中每個 CA 的狀態摘要 | 清單 | |||
| ListPermissions | 准許列出已套用至 AWS 私有 CA 憑證授權單位的許可 | 讀取 | |||
| ListTags | 准許列出已套用至 AWS 私有 CA 憑證授權單位的標籤 | 讀取 | |||
| PutPolicy | 准許將政策放置在 AWS 私有 CA | 許可管理 | |||
| RestoreCertificateAuthority | 准許將 AWS 私有 CA 從刪除狀態還原至刪除時的狀態 | 寫入 | |||
| RevokeCertificate | 准許撤銷 AWS 私有 CA 發行的憑證 | 寫入 | |||
| TagCertificateAuthority | 准許將一或多個標籤新增至 AWS 私有 CA | 標記 | |||
| UntagCertificateAuthority | 准許從 AWS 私有 CA 移除一或多個標籤 | 標記 | |||
| UpdateCertificateAuthority | 准許更新 AWS 私有 CA 的組態 | 寫入 |
AWS Private Certificate Authority 定義的資源類型
此服務會定義下列資源類型,並可用在 IAM 許可政策陳述式的 Resource 元素中。動作表格中的每個動作都代表可使用該動作指定的資源類型。資源類型也能定義您可以在政策中包含哪些條件索引鍵。這些索引鍵都會顯示在「資源類型」資料表的最後一欄。如需下表各欄的詳細資訊,請參閱資源類型資料表。
| 資源類型 | ARN | 條件索引鍵 |
|---|---|---|
| certificate-authority |
arn:${Partition}:acm-pca:${Region}:${Account}:certificate-authority/${CertificateAuthorityId}
|
AWS Private Certificate Authority 的條件索引鍵
AWS Private Certificate Authority 定義了下列條件索引鍵,可用於 IAM政策的 Condition元素。您可以使用這些索引鍵來縮小套用政策陳述式的條件。如需下表各欄的詳細資訊,請參閱條件索引鍵表。
若要檢視所有服務都可使用的全域條件鍵,請參閱可用全域條件鍵。
| 條件索引鍵 | 描述 | Type |
|---|---|---|
| acm-pca:TemplateArn | 根據發行憑證要求中使用的憑證範本 ARN 來篩選存取權 | ARN |
| aws:RequestTag/${TagKey} | 依要求中傳遞的標籤來篩選存取權 | 字串 |
| aws:ResourceTag/${TagKey} | 依與資源關聯的標籤來篩選存取權 | 字串 |
| aws:TagKeys | 依要求中傳遞的標籤索引鍵來篩選存取權 | ArrayOfString |
