インラインポリシー - AWS Private Certificate Authority
プライベート CA を一覧表示するプライベート CA 証明書の取得プライベート CA 証明書をインポートするプライベート CA の削除Tag-on-create: 作成時に CA にタグをアタッチします。Tag-on-create: 制限付きタグ付けタグを使用したプライベート CA リソースへのアクセスの制御 への読み取り専用アクセス AWS Private CAへのフルアクセス AWS Private CA

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

インラインポリシー

インラインポリシーとは、ユーザー、グループ、または役割りを作成、管理、または直接組み込むポリシーです。次のポリシー例は、 AWS Private CA アクションを実行するためのアクセス許可を割り当てる方法を示しています。インラインポリシーに関する全般的な情報については、「IAM ユーザーガイド」の「インラインポリシーの使用」を参照してください。 AWS Management Console、 AWS Command Line Interface (AWS CLI)、または IAM API を使用して、インラインポリシーを作成して埋め込むことができます。

重要

にアクセスするときはいつでも多要素認証 (MFA) を使用することを強くお勧めします AWS Private CA。

プライベート CA を一覧表示する

次のポリシーを使用すると、ユーザーはアカウントのすべてのプライベート CA を一覧表示できます。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:ListCertificateAuthorities",
         "Resource":"*"
      }
   ]
}

プライベート CA 証明書の取得

次のポリシーを使用すると、ユーザーは特定のプライベート CA 証明書を取得できます。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:GetCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

プライベート CA 証明書をインポートする

次のポリシーを使用すると、ユーザーはプライベート CA 証明書をインポートできます。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:ImportCertificateAuthorityCertificate",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
   }
}

プライベート CA の削除

次のポリシーを使用すると、ユーザーは特定のプライベート CA 証明書を削除できます。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":"acm-pca:DeleteCertificateAuthority",
      "Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"   }
}

Tag-on-create: 作成時に CA にタグをアタッチします。

以下のポリシーでは、CA の作成中にユーザーがタグを適用できます。

JSON
{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Action": [
            "acm-pca:CreateCertificateAuthority",
            "acm-pca:TagCertificateAuthority"
         ],
         "Effect": "Allow",
         "Resource": "*"
      }
   ]  
}

Tag-on-create: 制限付きタグ付け

以下のタグ作成ポリシーでは、CA の作成時に、キーと値のペア Environment=Prod を使用することを禁止しています。他のキーと値のペアによるタグ付けは可能です。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"acm-pca:*",
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":"acm-pca:TagCertificateAuthority",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "Prod"
               ]
            }
         }
      }
   ]
}

タグを使用したプライベート CA リソースへのアクセスの制御

以下のポリシーでは、キーと値のペアが Environment=PreProd の CA にのみアクセスを許可します。また、新しい CA にもこのタグを含める必要があります。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "aws:ResourceTag/Environment":[
                  "PreProd"
               ]
            }
         }
      }
   ]
}

への読み取り専用アクセス AWS Private CA

次のポリシーを使用すると、ユーザーはプライベート証明書認証機関を説明、一覧表示し、また、プライベート CA 認定と証明書チェーンを取得できます。

JSON
{
   "Version":"2012-10-17",
   "Statement":{
      "Effect":"Allow",
      "Action":[
         "acm-pca:DescribeCertificateAuthority",
         "acm-pca:DescribeCertificateAuthorityAuditReport",
         "acm-pca:ListCertificateAuthorities",
         "acm-pca:ListTags",
         "acm-pca:GetCertificateAuthorityCertificate",
         "acm-pca:GetCertificateAuthorityCsr",
         "acm-pca:GetCertificate"
      ],
      "Resource":"*"
   }
}

へのフルアクセス AWS Private CA

次のポリシーでは、ユーザーは任意の AWS Private CA アクションを実行できます。

JSON
{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "acm-pca:*"
         ],
         "Resource":"*"
      }
   ]
}