Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden Sie Bedingungsschlüssel mit ACM
AWS Certificate Manager verwendet AWS Identity and Access Management (IAM-) [Bedingungsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html), um den Zugriff auf Zertifikatsanfragen zu beschränken. Mit Bedingungsschlüsseln aus IAM-Richtlinien oder Service-Kontrollrichtlinien (SCP) können Sie Zertifikatsanforderungen erstellen, die den Richtlinien Ihres Unternehmens entsprechen.
**Anmerkung**
Kombinieren Sie ACM-Bedingungsschlüssel mit AWS [globalen Bedingungsschlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)`aws:PrincipalArn`, um beispielsweise Aktionen weiter auf bestimmte Benutzer oder Rollen zu beschränken.
## Unterstützte Bedingungen für ACM
Mit den Bildlaufleisten können Sie den Rest der Tabelle sehen.
**ACM-API-Operationen und unterstützte Bedingungen**
| Bedingungsschlüssel | Unterstützte ACM-API-Operationen | Typ | Description |
| --- | --- | --- | --- |
| `acm:ValidationMethod` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Zeichenfolge (`DNS`,`EMAIL`,`HTTP`) | Filtern Sie Anfragen basierend auf der ACM-[Validierungsmethode](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) |
| `acm:DomainNames` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ArrayOfString | Filter basierend auf [Domainnamen](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-dn) in der ACM-Anfrage |
| `acm:KeyAlgorithm` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Zeichenfolge | Filtern Sie Anfragen basierend auf ACM-[Schlüsselalgorithmus und Größe](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html#algorithms) |
| `acm:CertificateTransparencyLogging` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Zeichenfolge (`ENABLED`, `DISABLED`) | Filtern Sie Anfragen basierend auf der bevorzugten [Protokollierung der ACM-Zertifikatstransparenz](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-transparency) |
| `acm:CertificateAuthority` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ARN | Filtern Sie Anfragen basierend auf [Zertifizierungsstellen](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca) in der ACM-Anfrage |
## Beispiel 1: Validierungsmethode einschränken
Die folgende Richtlinie verweigert neue Zertifikatsanträge, die die [E-Mail-Validierungsmethode](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) verwenden, mit Ausnahme von Anträgen, die über die `arn:aws:iam::123456789012:role/AllowedEmailValidation`-Rolle gestellt werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:ValidationMethod":"EMAIL"
},
"ArnNotLike": {
"aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
}
}
}
}
```
------
## Beispiel 2: Platzhalter-Domains verhindern
Die folgende Richtlinie verweigert jede neue ACM-Zertifikatsanfrage, die Platzhalter-Domains verwendet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringLike": {
"acm:DomainNames": [
"${*}.*"
]
}
}
}
}
```
------
## Beispiel 3: Zertifikatsdomains einschränken
Die folgende Richtlinie verweigert jede neue ACM-Zertifikatsanforderung für Domains, die nicht auf `*.amazonaws.com` enden
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringNotLike": {
"acm:DomainNames": ["*.amazonaws.com"]
}
}
}
}
```
------
Die Richtlinie kann weiter auf bestimmte Subdomains beschränkt werden. Diese Richtlinie würde nur Anfragen zulassen, bei denen jede Domain mit mindestens einem der bedingten Domainnamen übereinstimmt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAllValues:StringNotLike": {
"acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
}
}
}
}
```
------
## Beispiel 4: Schlüsselalgorithmus einschränken
Die folgende Richtlinie verwendet den Bedingungsschlüssel `StringNotLike`, um nur Zertifikate zuzulassen, die mit dem Schlüsselalgorithmus ECDSA 384 bit (`EC_secp384r1`) angefordert wurden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike" : {
"acm:KeyAlgorithm":"EC_secp384r1"
}
}
}
}
```
------
Die folgende Richtlinie verwendet den Bedingungsschlüssel `StringLike` und den Platzhalterabgleich `*`, um Anfragen für neue Zertifikate in ACM mit jedem `RSA`-Schlüsselalgorithmus zu verhindern.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:KeyAlgorithm":"RSA*"
}
}
}
}
```
------
## Beispiel 5: Zertifizierungsstelle einschränken
Die folgende Richtlinie würde nur Anfragen für private Zertifikate zulassen, die den bereitgestellten ARN der Private Certificate Authority (PCA) verwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike": {
"acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
}
}
}
}
```
------
Diese Richtlinie verwendet die Bedingung `acm:CertificateAuthority`, um nur Anfragen für öffentlich vertrauenswürdige Zertifikate zuzulassen, die von Amazon Trust Services ausgestellt wurden. Wenn Sie den ARN der Zertifizierungsstelle auf `false` setzen, werden Anfragen für private Zertifikate von PCA verhindert.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"Null" : {
"acm:CertificateAuthority":"false"
}
}
}
}
```
------