Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de claves de condición con ACM
AWS Certificate Manager utiliza [claves de condición AWS Identity and Access Management (IAM) para limitar el acceso a las](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) solicitudes de certificados. Con las claves de condición de las políticas de IAM o las políticas de control de servicio (SCP), puede crear solicitudes de certificados que se ajusten a las directrices de su organización.
**nota**
Combine las claves de condición de ACM con [las claves de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) `aws:PrincipalArn` para restringir aún más las acciones a usuarios o roles específicos.
## Condiciones compatibles con ACM
Utilice las barras de desplazamiento para ver el resto de la tabla.
**Operaciones de la API de ACM y condiciones compatibles**
| Clave de condición | Operaciones de la API de ACM compatibles | Tipo | Description (Descripción) |
| --- | --- | --- | --- |
| `acm:ValidationMethod` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Cadena (`DNS`,`EMAIL`,`HTTP`) | Filtra las solicitudes en función del [método de validación](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) de ACM |
| `acm:DomainNames` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ArrayOfString | Filtra en función de los [nombres de dominio](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-dn) en la solicitud de ACM |
| `acm:KeyAlgorithm` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Cadena | Filtra las solicitudes en función del [tamaño y algoritmo de clave](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html#algorithms) de ACM |
| `acm:CertificateTransparencyLogging` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Cadena (`ENABLED`, `DISABLED`) | Filtra las solicitudes en función de la [preferencia de registro de transparencia del certificado](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-transparency) de ACM |
| `acm:CertificateAuthority` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ARN | Filtra las solicitudes en función de las [entidades de certificación](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca) en la solicitud de ACM |
## Ejemplo 1: Restringir el método de validación
La siguiente política deniega las solicitudes de certificados nuevas mediante el método de [Validación por correo electrónico](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html), excepto en el caso de una solicitud que se realiza mediante el rol `arn:aws:iam::123456789012:role/AllowedEmailValidation`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:ValidationMethod":"EMAIL"
},
"ArnNotLike": {
"aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
}
}
}
}
```
------
## Ejemplo 2: Evitar los dominios comodín
La siguiente política deniega cualquier solicitud de certificado de ACM nueva que utilice dominios comodín.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringLike": {
"acm:DomainNames": [
"${*}.*"
]
}
}
}
}
```
------
## Ejemplo 3: Restringir los dominios de certificados
La siguiente política deniega cualquier solicitud de certificado de ACM nueva para dominios que no terminen con `*.amazonaws.com`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringNotLike": {
"acm:DomainNames": ["*.amazonaws.com"]
}
}
}
}
```
------
La política podría restringirse aún más a subdominios específicos. Esta política solo permitiría solicitudes en las que cada dominio coincida con al menos uno de los nombres de dominio condicionales.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAllValues:StringNotLike": {
"acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
}
}
}
}
```
------
## Ejemplo 4: Restringir los algoritmos de clave
La siguiente política utiliza la clave de condición `StringNotLike` para permitir solo los certificados que se soliciten con el algoritmo de clave ECDSA de 384 bits (`EC_secp384r1`).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike" : {
"acm:KeyAlgorithm":"EC_secp384r1"
}
}
}
}
```
------
La siguiente política utiliza la clave de condición `StringLike` y el comodín `*` coincidente para evitar las solicitudes de certificados nuevos en ACM con cualquier algoritmo de clave `RSA`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:KeyAlgorithm":"RSA*"
}
}
}
}
```
------
## Ejemplo 5: Restringir la entidad de certificación
La siguiente política solo permitiría las solicitudes de certificados privados mediante el ARN de la entidad de certificación privada (PCA) proporcionado.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike": {
"acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
}
}
}
}
```
------
Esta política utiliza la condición `acm:CertificateAuthority` para permitir solo las solicitudes de certificados de confianza públicos que emite Amazon Trust Services. Configurar el ARN de la entidad de certificación en `false` evita las solicitudes de certificados privados de la PCA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"Null" : {
"acm:CertificateAuthority":"false"
}
}
}
}
```
------