View a markdown version of this page

Resource-based politiques - AWS Autorité de certification privée
Exemples de politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Resource-based politiques

Resource-based les politiques sont des politiques d'autorisation que vous créez et associez manuellement à une ressource (dans ce cas, une autorité de certification privée) plutôt qu'à une identité ou à un rôle d'utilisateur. Ou, au lieu de créer vos propres politiques, vous pouvez utiliser des politiques AWS gérées pour AWS CA privée. AWS RAM Pour appliquer une politique basée sur les ressources, un Autorité de certification privée AWS administrateur peut partager l'accès à une autorité de certification avec un utilisateur d'un autre AWS compte, directement ou par le biais de celui-ci. AWS Organizations Un Autorité de certification privée AWS administrateur peut également utiliser les API PCA et/ou les PutPolicy AWS CLI commandes correspondantes DeletePolicyput-policy, get-policy et delete-policy pour appliquer et gérer des politiques basées sur les ressources. GetPolicy

Pour des informations générales sur les politiques basées sur les ressources, voir Politiques et Identity-Based Resource-Based politiques et Contrôle de l'accès à l'aide de politiques.

Pour afficher la liste des politiques basées sur les ressources AWS gérées pour AWS CA privée, accédez à la bibliothèque d'autorisations gérées dans la AWS Resource Access Manager console et recherchez. CertificateAuthority Comme pour toute politique, avant de l'appliquer, nous vous recommandons de l'appliquer dans un environnement de test afin de vous assurer qu'elle répond à vos exigences.

Autorité de certification privée AWS prend également en charge les autorisations gérées par les clients RAM, qui vous permettent de définir une combinaison personnalisée d'actions à partir de l'ensemble suivant : DescribeCertificateAuthority GetCertificateGetCertificateAuthorityCertificate,ListPermissions,ListTags,,IssueCertificate, etRevokeCertificate. Les autorisations gérées par le client vous offrent la flexibilité d'accorder un accès avec le moindre privilège, par exemple en accordant un accès en lecture seule à certains comptes tout en permettant à d'autres d'émettre et de révoquer des certificats. Pour de plus amples informations, veuillez consulter Autorisations gérées par le client dans la RAM.

AWS Certificate Manager (ACM) disposant d'un accès partagé entre comptes à une autorité de certification privée peuvent émettre des certificats gérés signés par l'autorité de certification. Lorsque vous autorisez l'IssueCertificateaction, vous pouvez restreindre les modèles de certificats utilisés pour l'émission de certificats en ajoutant une acm-pca:TemplateArn condition à la politique.

Exemples de politiques

Cette section fournit des exemples de politiques multi-comptes adaptées à différents besoins. Dans tous les cas, le modèle de commande suivant est utilisé pour appliquer une politique :

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

En plus de spécifier l'ARN d'une autorité de certification, l'administrateur fournit un identifiant de AWS compte ou un AWS Organizations identifiant qui sera autorisé à accéder à l'autorité de certification. Le JSON de chacune des politiques suivantes est formaté sous forme de fichier pour plus de lisibilité, mais peut également être fourni sous forme d'arguments de CLI en ligne.

Note

La structure des politiques basées sur les ressources JSON présentée ci-dessous doit être suivie avec précision. Seuls les champs d'identification des principaux (le numéro de AWS compte ou l'identifiant AWS des Organizations) et les ARN CA peuvent être configurés par les clients.

  1. Fichier : policy1.json — Partage de l'accès à une autorité de certification avec un utilisateur d'un autre compte

    555555555555Remplacez-le par l'identifiant du AWS compte qui partage l'autorité de certification.

    Pour l'ARN de la ressource, remplacez les valeurs suivantes par vos propres valeurs :

    • aws- La AWS cloison. Par exemple, awsaws-us-gov,aws-cn,, etc.

    • us-east-1- La AWS région dans laquelle la ressource est disponible, par exempleus-west-1.

    • 111122223333- L'identifiant de AWS compte du propriétaire de la ressource.

    • 11223344-1234-1122-2233-112233445566- L'ID de ressource de l'autorité de certification.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [{
            "Sid": "ExampleStatementID",
            "Effect": "Allow",
            "Principal": {
                "AWS": "555555555555"
            },
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListPermissions",
                "acm-pca:ListTags"
            ],
            "Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID"
        },
        {
            "Sid": "ExampleStatementID2",
            "Effect": "Allow",
            "Principal": {
                "AWS": "555555555555"
            },
            "Action": [
                "acm-pca:IssueCertificate"
            ],
            "Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
                }
            }
        }
    ]
}

  2. Fichier : policy2.json — Partage de l'accès à une autorité de certification via AWS Organizations

    Remplacez o-a1b2c3d4z5 par l' AWS Organizations identifiant.

    Pour l'ARN de la ressource, remplacez les valeurs suivantes par vos propres valeurs :

    • aws- La AWS cloison. Par exemple, awsaws-us-gov,aws-cn,, etc.

    • us-east-1- La AWS région dans laquelle la ressource est disponible, par exempleus-west-1.

    • 111122223333- L'identifiant de AWS compte du propriétaire de la ressource.

    • 11223344-1234-1122-2233-112233445566- L'ID de ressource de l'autorité de certification.

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "ExampleStatementID3",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "acm-pca:IssueCertificate",
            "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
                    "aws:PrincipalOrgID": "o-a1b2c3d4z5"
                },
                "StringNotEquals": {
                    "aws:PrincipalAccount": "111122223333"
                }
            }
        },
        {
            "Sid": "ExampleStatementID4",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "acm-pca:DescribeCertificateAuthority",
                "acm-pca:GetCertificate",
                "acm-pca:GetCertificateAuthorityCertificate",
                "acm-pca:ListPermissions",
                "acm-pca:ListTags"
            ],
            "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "o-a1b2c3d4z5"
                },
                "StringNotEquals": {
                    "aws:PrincipalAccount": "111122223333"
                }
            }
        }
    ]
}