Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Eingebundene Richtlinien
Eingebundene Richtlinien sind Richtlinien, die Sie erstellen und verwalten und die Sie direkt in einen Benutzer, eine Gruppe oder Rolle einbetten. Die folgenden Richtlinienbeispiele zeigen, wie Sie Berechtigungen zur Durchführung von AWS Private CA Aktionen zuweisen. Allgemeine Informationen zu Inline-Richtlinien finden Sie unter [Arbeiten mit Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/). Sie können die AWS-Managementkonsole, AWS Command Line Interface (AWS CLI) oder die IAM-API verwenden, um Inline-Richtlinien zu erstellen und einzubetten.
**Wichtig**
Wir empfehlen dringend, bei jedem Zugriff die Multi-Faktor-Authentifizierung (MFA) zu verwenden. AWS Private CA
**Topics**
+ [Eintrag privat CAs](#policy-list-pcas)
+ [Ein privates CA-Zertifikat wird abgerufen](#policy-retrieve-pca)
+ [Ein privates CA-Zertifikat importieren](#policy-import-pca-cert)
+ [Löschen einer privaten CA](#policy-delete-pca)
+ [Tag-on-create: Hinzufügen von Tags an eine CA zum Zeitpunkt der Erstellung](#tag-on-create)
+ [Tag-on-create: Eingeschränktes Tagging](#tag-on-create-restricted1)
+ [Steuern des Zugriffs auf Private CA mithilfe von Tags](#tag-on-create-restricted2)
+ [Nur-Lese-Zugriff auf AWS Private CA](#policy-pca-read-only)
+ [Voller Zugriff auf AWS Private CA](#policy-pca-full-access)
## Eintrag privat CAs
Die folgende Richtlinie ermöglicht es einem Benutzer, alle privaten Daten CAs in einem Konto aufzulisten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:ListCertificateAuthorities",
"Resource":"*"
}
]
}
```
------
## Ein privates CA-Zertifikat wird abgerufen
Mit der folgenden Richtlinie können Benutzer ein bestimmtes privates Zertifizierungsstellenzertifikat abrufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:GetCertificateAuthorityCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
------
## Ein privates CA-Zertifikat importieren
Mit der folgenden Richtlinie kann ein Benutzer ein privates Zertifizierungsstellenzertifikat importieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:ImportCertificateAuthorityCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
------
## Löschen einer privaten CA
Mit der folgenden Richtlinie können Benutzer eine bestimmte private Zertifizierungsstelle löschen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:DeleteCertificateAuthority",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID" }
}
```
------
## Tag-on-create: Hinzufügen von Tags an eine CA zum Zeitpunkt der Erstellung
Die folgende Richtlinie ermöglicht es einem Benutzer, während der Erstellung der CA Tags anzuwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"acm-pca:CreateCertificateAuthority",
"acm-pca:TagCertificateAuthority"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Tag-on-create: Eingeschränktes Tagging
Die folgende tag-on-create Richtlinie *verhindert* die Verwendung des Schlüssel-Wert-Paars Environment=Prod während der CA-Erstellung. Das Markieren mit anderen Schlüssel-Wert-Paaren ist zulässig.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:*",
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"acm-pca:TagCertificateAuthority",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Environment":[
"Prod"
]
}
}
}
]
}
```
------
## Steuern des Zugriffs auf Private CA mithilfe von Tags
Die folgende Richtlinie erlaubt den Zugriff nur CAs mit dem Schlüssel-Wert-Paar Environment=. PreProd Sie erfordert außerdem, dass new dieses Tag CAs einschließt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm-pca:*"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Environment":[
"PreProd"
]
}
}
}
]
}
```
------
## Nur-Lese-Zugriff auf AWS Private CA
Mit der folgenden Richtlinie können Benutzer private Zertifizierungsstellen beschreiben und auflisten sowie das private CA-Zertifikat und die Zertifikatkette abrufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":[
"acm-pca:DescribeCertificateAuthority",
"acm-pca:DescribeCertificateAuthorityAuditReport",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:GetCertificateAuthorityCsr",
"acm-pca:GetCertificate"
],
"Resource":"*"
}
}
```
------
## Voller Zugriff auf AWS Private CA
Die folgende Richtlinie ermöglicht es einem Benutzer, jede AWS Private CA Aktion auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm-pca:*"
],
"Resource":"*"
}
]
}
```
------