翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ACM での条件キーの使用
AWS Certificate Manager は AWS Identity and Access Management (IAM) [条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)を使用して、証明書リクエストへのアクセスを制限します。IAM ポリシーまたはサービスコントロールポリシー (SCP) の条件キーを使用して、組織のガイドラインに準拠した証明書リクエストを作成できます。
**注記**
ACM 条件キーを などの AWS [グローバル条件キー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)と組み合わせて`aws:PrincipalArn`、アクションを特定のユーザーまたはロールにさらに制限します。
## ACM のサポートされている条件
スクロールバーを使用して、テーブルの残りの部分を確認します。
**ACM API オペレーションとサポートされている条件**
| 条件キー | サポートされている ACM API オペレーション | 型 | 説明 |
| --- | --- | --- | --- |
| `acm:ValidationMethod` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | 文字列 (`DNS`、`EMAIL`、`HTTP`) | ACM [検証方法](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) に基づいてリクエストをフィルタリング |
| `acm:DomainNames` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ArrayOfString | ACM リクエストの[ドメイン名](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-dn)に基づいてフィルタリング |
| `acm:KeyAlgorithm` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | String | ACM [キーアルゴリズムとサイズ](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html#algorithms)に基づいてリクエストをフィルタリング |
| `acm:CertificateTransparencyLogging` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | 文字列 (`ENABLED`、`DISABLED`) | ACM [証明書の透明性ログ記録設定](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-transparency)に基づいてリクエストをフィルタリング |
| `acm:CertificateAuthority` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ARN | ACM リクエストの[認証機関](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca)に基づいてリクエストをフィルタリング |
## 例 1: 検証方法の制限
次のポリシーは、`arn:aws:iam::123456789012:role/AllowedEmailValidation` ロールを使用して行われたリクエストを除き、[E メール検証](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html)方式を使用する新しい証明書リクエストを拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:ValidationMethod":"EMAIL"
},
"ArnNotLike": {
"aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
}
}
}
}
```
------
## 例 2: ワイルドカードドメインの防止
次のポリシーは、ワイルドカードドメインを使用する新しい ACM 証明書リクエストをすべて拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringLike": {
"acm:DomainNames": [
"${*}.*"
]
}
}
}
}
```
------
## 例 3: 証明書ドメインの制限
次のポリシーは、末尾が `*.amazonaws.com` ではないドメインの新しい ACM 証明書リクエストをすべて拒否します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringNotLike": {
"acm:DomainNames": ["*.amazonaws.com"]
}
}
}
}
```
------
ポリシーを特定のサブドメインにさらに制限することができます。このポリシーは、すべてのドメインが少なくとも 1 つの条件付きドメイン名と一致するリクエストのみを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAllValues:StringNotLike": {
"acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
}
}
}
}
```
------
## 例 4: キーアルゴリズムの制限
次のポリシーは、条件キー `StringNotLike` を使用して、ECDSA 384 ビット (`EC_secp384r1`) キーアルゴリズムで要求された証明書のみを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike" : {
"acm:KeyAlgorithm":"EC_secp384r1"
}
}
}
}
```
------
次のポリシーは、条件キー `StringLike` とワイルドカード `*` のマッチングを使用して、いずれかの `RSA` キーアルゴリズムを使用する ACM での新しい証明書のリクエストを防ぎます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:KeyAlgorithm":"RSA*"
}
}
}
}
```
------
## 例 5: 認証機関の制限
以下のポリシーは、提供された Private Certificate Authority (PCA) ARN を使用するプライベート証明書のリクエストのみを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike": {
"acm:CertificateAuthority":" arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}}"
}
}
}
}
```
------
このポリシーは `acm:CertificateAuthority` 条件を使用して、Amazon Trust Services が発行した公的に信頼できる証明書のリクエストのみを許可します。認証機関 ARN を `false` に設定すると、PCA からのプライベート証明書のリクエストが防止されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"Null" : {
"acm:CertificateAuthority":"false"
}
}
}
}
```
------