Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Ressourcenbasierte Richtlinien
Ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie erstellen und manuell einer Ressource (in diesem Fall einer privaten Zertifizierungsstelle) und nicht einer Benutzeridentität oder Rolle zuordnen. Anstatt Ihre eigenen Richtlinien zu erstellen, können Sie auch AWS verwaltete Richtlinien für verwenden. AWS Private CA Durch AWS RAM die Anwendung einer ressourcenbasierten Richtlinie kann ein AWS Private CA Administrator den Zugriff auf eine Zertifizierungsstelle direkt oder über einen Benutzer mit einem anderen AWS Konto teilen. AWS Organizations Alternativ kann ein AWS Private CA Administrator die PCA APIs [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html), [GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html)und oder die entsprechenden AWS CLI Befehle [put-policy [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html), get-policy und [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html)](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html) [verwenden, um ressourcenbasierte](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) Richtlinien anzuwenden und zu verwalten.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)
Um die Liste der AWS verwalteten ressourcenbasierten Richtlinien für anzuzeigen AWS Private CA, navigieren Sie in der Konsole zur [Bibliothek für verwaltete Berechtigungen](https://console.aws.amazon.com/ram/home#Permissions:) und suchen Sie nach. AWS Resource Access Manager **CertificateAuthority** Wie bei jeder Richtlinie empfehlen wir, die Richtlinie vor ihrer Anwendung in einer Testumgebung anzuwenden, um sicherzustellen, dass sie Ihren Anforderungen entspricht.
AWS Certificate Manager (ACM) Benutzer mit kontenübergreifendem gemeinsamen Zugriff auf eine private Zertifizierungsstelle können verwaltete Zertifikate ausstellen, die von der Zertifizierungsstelle signiert sind. Kontoübergreifende Aussteller sind durch eine ressourcenbasierte Richtlinie eingeschränkt und haben nur Zugriff auf die folgenden Vorlagen für Endzertifikate:
+ [EndEntityCertificate/V1](template-definitions.md#EndEntityCertificate-V1)
+ [EndEntityClientAuthCertificate/V1](template-definitions.md#EndEntityClientAuthCertificate-V1)
+ [EndEntityServerAuthCertificate/V1](template-definitions.md#EndEntityServerAuthCertificate-V1)
+ [BlankEndEntityCertificate\$1 /V1 APIPassthrough](template-definitions.md#BlankEndEntityCertificate_APIPassthrough)
+ [BlankEndEntityCertificate\$1 /V1 APICSRPassthrough](template-definitions.md#BlankEndEntityCertificate_APICSRPassthrough)
+ [Untergeordnet \$1 0/V1 CACertificate PathLen](template-definitions.md#SubordinateCACertificate_PathLen0-V1)
## Beispiele für Richtlinien
Dieser Abschnitt enthält Beispiele für kontoübergreifende Richtlinien für verschiedene Anforderungen. In allen Fällen wird das folgende Befehlsmuster verwendet, um eine Richtlinie anzuwenden:
```
$ aws acm-pca put-policy \
--region region \
--resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--policy file:///[path]/policyN.json
```
Zusätzlich zur Angabe des ARN einer CA gibt der Administrator eine AWS Konto-ID oder eine AWS Organizations ID an, der Zugriff auf die CA gewährt wird. Die JSON-Datei jeder der folgenden Richtlinien ist aus Gründen der Lesbarkeit als Datei formatiert, kann aber auch als Inline-CLI-Argumente bereitgestellt werden.
**Anmerkung**
Die unten aufgeführte Struktur der ressourcenbasierten JSON-Richtlinien muss genau eingehalten werden. Nur die ID-Felder für die Principals (die AWS Kontonummer oder die AWS Organisations-ID) und die CA ARNs können von Kunden konfiguriert werden.
1. **Datei: policy1.json — Teilen des Zugriffs auf eine CA mit einem Benutzer in einem anderen Konto**
*555555555555*Ersetzen Sie es durch die AWS Konto-ID, die die CA gemeinsam nutzt.
Ersetzen Sie für den Ressourcen-ARN Folgendes durch Ihre eigenen Werte:
+ `aws`- Die AWS Partition. Zum Beispiel`aws`, `aws-us-gov``aws-cn`,, usw.
+ `us-east-1`- Die AWS Region, in der die Ressource verfügbar ist, z. `us-west-1` B.
+ `111122223333`- Die AWS Konto-ID des Ressourcenbesitzers.
+ `11223344-1234-1122-2233-112233445566`- Die Ressourcen-ID der Zertifizierungsstelle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "ExampleStatementID",
"Effect": "Allow",
"Principal": {
"AWS": "555555555555"
},
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID"
},
{
"Sid": "ExampleStatementID2",
"Effect": "Allow",
"Principal": {
"AWS": "555555555555"
},
"Action": [
"acm-pca:IssueCertificate"
],
"Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
}
}
]
}
```
------
1. **Datei: policy2.json — Gemeinsamer Zugriff auf eine CA über AWS Organizations**
Durch die *o-a1b2c3d4z5* ID ersetzen. AWS Organizations
Ersetzen Sie für den Ressourcen-ARN Folgendes durch Ihre eigenen Werte:
+ `aws`- Die AWS Partition. Zum Beispiel`aws`, `aws-us-gov``aws-cn`,, usw.
+ `us-east-1`- Die AWS Region, in der die Ressource verfügbar ist, z. `us-west-1` B.
+ `111122223333`- Die AWS Konto-ID des Ressourcenbesitzers.
+ `11223344-1234-1122-2233-112233445566`- Die Ressourcen-ID der Zertifizierungsstelle.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExampleStatementID3",
"Effect": "Allow",
"Principal": "*",
"Action": "acm-pca:IssueCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
"aws:PrincipalOrgID": "o-a1b2c3d4z5"
},
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
},
{
"Sid": "ExampleStatementID4",
"Effect": "Allow",
"Principal": "*",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4z5"
},
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
------