Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Policy basate sulle risorse
Le politiche basate sulle risorse sono politiche di autorizzazione create e allegate manualmente a una risorsa (in questo caso, una CA privata) anziché all'identità o al ruolo di un utente. Oppure, invece di creare politiche personalizzate, puoi utilizzare AWS politiche gestite per. AWS Private CA Applicando AWS RAM una policy basata sulle risorse, un CA privata AWS amministratore può condividere l'accesso a una CA con un utente di un altro AWS account direttamente o tramite. AWS Organizations In alternativa, un CA privata AWS amministratore può utilizzare il PCA e APIs [PutPolicy[GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html)](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html), o AWS CLI i comandi corrispondenti [put-policy [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html), get-policy e [delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html)](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)[, per applicare e gestire politiche](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) basate sulle risorse.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)
[Per visualizzare l'elenco delle politiche basate sulle risorse AWS gestite per AWS Private CA, accedi alla libreria delle autorizzazioni gestite nella console e cerca. AWS Resource Access Manager**CertificateAuthority**](https://console.aws.amazon.com/ram/home#Permissions:) Come per qualsiasi politica, prima di applicarla, ti consigliamo di applicarla in un ambiente di test per assicurarti che soddisfi i tuoi requisiti.
CA privata AWS supporta anche le autorizzazioni RAM gestite dai clienti, che consentono di definire una combinazione personalizzata di azioni tra le seguenti serie: `DescribeCertificateAuthority``GetCertificate`,`GetCertificateAuthorityCertificate`,`ListPermissions`, `ListTags``IssueCertificate`, e`RevokeCertificate`. Le autorizzazioni gestite dai clienti offrono la flessibilità necessaria per concedere l'accesso con privilegi minimi, ad esempio concedendo l'accesso in sola lettura ad alcuni account e consentendo ad altri di emettere e revocare certificati. Per ulteriori informazioni, consulta [Autorizzazioni gestite dal cliente nella RAM](pca-cmp.md).
AWS Certificate Manager (ACM) gli utenti con accesso condiviso tra più account a una CA privata possono emettere certificati gestiti firmati dalla CA. Quando concedi l'autorizzazione all'`IssueCertificate`azione, puoi limitare i modelli di certificato utilizzati per l'emissione dei certificati aggiungendo una `acm-pca:TemplateArn` Condizione alla politica.
## Esempi di policy
Questa sezione fornisce esempi di politiche interaccount per varie esigenze. In tutti i casi, per applicare una politica viene utilizzato il seguente schema di comandi:
```
$ aws acm-pca put-policy \
--region region \
--resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
--policy file:///[path]/policyN.json
```
Oltre a specificare l'ARN di una CA, l'amministratore fornisce un ID account o AWS AWS Organizations un ID a cui verrà concesso l'accesso alla CA. Il codice JSON di ciascuna delle seguenti politiche è formattato come file per motivi di leggibilità, ma può anche essere fornito come argomenti CLI in linea.
**Nota**
La struttura delle politiche basate sulle risorse JSON mostrate di seguito deve essere seguita con precisione. Solo i campi ID per i principali (il numero di AWS account o l'ID AWS Organizations) e la CA ARNs possono essere configurati dai clienti.
1. **File: policy1.json — Condivisione dell'accesso a una CA con un utente in un account diverso**
*555555555555*Sostituiscilo con l'ID AWS dell'account che condivide la CA.
Per la risorsa ARN, sostituisci quanto segue con i tuoi valori:
+ `aws`- La AWS partizione. Ad esempio`aws`,`aws-us-gov`,`aws-cn`, ecc.
+ `us-east-1`- La AWS regione in cui è disponibile la risorsa, ad esempio`us-west-1`.
+ `111122223333`- L'ID dell' AWS account del proprietario della risorsa.
+ `11223344-1234-1122-2233-112233445566`- L'ID della risorsa dell'autorità di certificazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "ExampleStatementID",
"Effect": "Allow",
"Principal": {
"AWS": "555555555555"
},
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID"
},
{
"Sid": "ExampleStatementID2",
"Effect": "Allow",
"Principal": {
"AWS": "555555555555"
},
"Action": [
"acm-pca:IssueCertificate"
],
"Resource": "arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
}
}
]
}
```
------
1. **File: policy2.json — Condivisione dell'accesso a una CA tramite AWS Organizations**
Sostituisci con *o-a1b2c3d4z5* l'ID. AWS Organizations
Per la risorsa ARN, sostituisci quanto segue con i tuoi valori:
+ `aws`- La AWS partizione. Ad esempio`aws`,`aws-us-gov`,`aws-cn`, ecc.
+ `us-east-1`- La AWS regione in cui è disponibile la risorsa, ad esempio`us-west-1`.
+ `111122223333`- L'ID dell' AWS account del proprietario della risorsa.
+ `11223344-1234-1122-2233-112233445566`- L'ID della risorsa dell'autorità di certificazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ExampleStatementID3",
"Effect": "Allow",
"Principal": "*",
"Action": "acm-pca:IssueCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
"aws:PrincipalOrgID": "o-a1b2c3d4z5"
},
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
},
{
"Sid": "ExampleStatementID4",
"Effect": "Allow",
"Principal": "*",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-a1b2c3d4z5"
},
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
}
}
]
}
```
------