Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Gunakan tombol kondisi dengan ACM
<a name="acm-conditions"></a>

AWS Certificate Manager menggunakan [kunci kondisi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (IAM) untuk membatasi akses ke permintaan sertifikat. Dengan kunci kondisi dari kebijakan IAM atau Kebijakan Kontrol Layanan (SCP), Anda dapat membuat permintaan sertifikat yang sesuai dengan pedoman organisasi Anda. 

**catatan**  
Gabungkan kunci kondisi ACM dengan [kunci kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) seperti `aws:PrincipalArn` untuk membatasi tindakan lebih lanjut pada pengguna atau peran tertentu.

## Kondisi yang didukung untuk ACM
<a name="acm-conditions-supported"></a>

Gunakan bilah gulir untuk melihat seluruh tabel.


**Operasi ACM API dan kondisi yang didukung**  

| Kunci Syarat | Operasi API ACM yang Didukung | Tipe | Deskripsi | 
| --- | --- | --- | --- | 
| `acm:ValidationMethod` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Tali (`DNS`,`EMAIL`,`HTTP`) | Filter permintaan berdasarkan metode [validasi](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) ACM | 
| `acm:DomainNames` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ArrayOfString | Filter berdasarkan [nama domain](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-dn) dalam permintaan ACM | 
| `acm:KeyAlgorithm` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | String | Filter permintaan berdasarkan [algoritma dan ukuran kunci](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html#algorithms) ACM | 
| `acm:CertificateTransparencyLogging` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Tali (`ENABLED`,`DISABLED`) | Filter permintaan berdasarkan preferensi [pencatatan transparansi sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-transparency) ACM | 
| `acm:CertificateAuthority` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ARN | Filter permintaan berdasarkan [otoritas sertifikat](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca) dalam permintaan ACM | 

## Contoh 1: Membatasi metode validasi
<a name="conditions-validation"></a>

Kebijakan berikut menolak permintaan sertifikat baru menggunakan metode [Validasi Email](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) kecuali permintaan yang dibuat menggunakan peran tersebut`arn:aws:iam::123456789012:role/AllowedEmailValidation`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}
```

------

## Contoh 2: Mencegah domain wildcard
<a name="conditions-wildcards"></a>

Kebijakan berikut menolak permintaan sertifikat ACM baru yang menggunakan domain wildcard.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}
```

------

## Contoh 3: Membatasi domain sertifikat
<a name="conditions-restrictdomains"></a>

Kebijakan berikut ini menolak permintaan sertifikat ACM baru untuk domain yang tidak diakhiri `*.amazonaws.com`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}
```

------

Kebijakan ini dapat dibatasi lebih lanjut untuk subdomain tertentu. Kebijakan ini hanya mengizinkan permintaan di mana setiap domain cocok dengan setidaknya satu dari nama domain bersyarat.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}
```

------

## Contoh 4: Membatasi algoritma kunci
<a name="conditions-keyalgorithm"></a>

Kebijakan berikut menggunakan kunci kondisi `StringNotLike` untuk mengizinkan hanya sertifikat yang diminta dengan algoritma kunci ECDSA 384 bit (`EC_secp384r1`).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}
```

------

Kebijakan berikut menggunakan kunci kondisi `StringLike` dan `*` pencocokan wildcard untuk mencegah permintaan sertifikat baru di ACM dengan algoritme `RSA` kunci apa pun.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}
```

------

## Contoh 5: Membatasi otoritas sertifikat
<a name="conditions-publicca"></a>

Kebijakan berikut hanya akan mengizinkan permintaan sertifikat pribadi menggunakan ARN Private Certificate Authority (PCA) yang disediakan. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}}"
            }
        }
    }
}
```

------

Kebijakan ini menggunakan `acm:CertificateAuthority` ketentuan untuk hanya mengizinkan permintaan sertifikat tepercaya publik yang dikeluarkan oleh Amazon Trust Services. Mengatur ARN Otoritas Sertifikat untuk `false` mencegah permintaan sertifikat pribadi dari PCA.

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}
```

------