As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usar chaves de condição com o ACM
AWS Certificate Manager usa [chaves de condição AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (IAM) para limitar o acesso às solicitações de certificado. Com chaves de condição de políticas do IAM ou políticas de controle de serviços (SCP), é possível criar solicitações de certificado que estejam em conformidade com as diretrizes da sua organização.
**nota**
Combine as chaves de condição do ACM com [as chaves de condição AWS globais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), `aws:PrincipalArn` para restringir ainda mais as ações a usuários ou funções específicos.
## Condições compatíveis com o ACM
Use as barras de rolagem para ver o restante da tabela.
**Operações da API do ACM e condições compatíveis**
| Chave de condição | Operações da API do ACM compatíveis | Tipo | Description |
| --- | --- | --- | --- |
| `acm:ValidationMethod` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Cadeia de caracteres (`DNS``EMAIL`,,`HTTP`) | Filtrar solicitações com base no [método de validação](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) do ACM |
| `acm:DomainNames` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ArrayOfString | Filtro baseado em [nomes de domínio](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-dn) na solicitação do ACM |
| `acm:KeyAlgorithm` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | String | Filtrar solicitações com base no [algoritmo e no tamanho da chave](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html#algorithms) do ACM |
| `acm:CertificateTransparencyLogging` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | String (`ENABLED`, `DISABLED`) | Filtrar solicitações com base na [preferência do log de transparência de certificados](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-transparency) do ACM |
| `acm:CertificateAuthority` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ARN | Filtrar solicitações com base nas [autoridades de certificação](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca) na solicitação do ACM |
## Exemplo 1: restringir o método de validação
A política a seguir nega novas solicitações de certificado usando o método [Validação por e-mail](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html), exceto para uma solicitação feita usando o perfil `arn:aws:iam::123456789012:role/AllowedEmailValidation`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:ValidationMethod":"EMAIL"
},
"ArnNotLike": {
"aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
}
}
}
}
```
------
## Exemplo 2: prevenir domínios curinga
A política a seguir nega qualquer nova solicitação de certificado ACM que use domínios curinga.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringLike": {
"acm:DomainNames": [
"${*}.*"
]
}
}
}
}
```
------
## Exemplo 3: restringir domínios certificados
A política a seguir nega qualquer nova solicitação de certificado ACM que não termine com `*.amazonaws.com`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringNotLike": {
"acm:DomainNames": ["*.amazonaws.com"]
}
}
}
}
```
------
A política pode ser ainda mais restrita a subdomínios específicos. Essa política só permitiria solicitações em que cada domínio correspondesse a pelo menos um dos nomes de domínio condicionais.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAllValues:StringNotLike": {
"acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
}
}
}
}
```
------
## Exemplo 4: restringir algoritmo da chave
A política a seguir usa a chave de condição `StringNotLike` para permitir somente certificados solicitados com o algoritmo de chave ECDSA de 384 bits (`EC_secp384r1`).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike" : {
"acm:KeyAlgorithm":"EC_secp384r1"
}
}
}
}
```
------
A política a seguir usa a chave de condição `StringLike` e o curinga `*` para evitar solicitações de novos certificados no ACM com qualquer algoritmo de chave `RSA`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:KeyAlgorithm":"RSA*"
}
}
}
}
```
------
## Exemplo 5: restringir a autoridade de certificação
A política a seguir só permitiria solicitações de certificados privados usando o ARN da autoridade de certificação privada (PCA) fornecido.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike": {
"acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
}
}
}
}
```
------
Esta política usa a condição `acm:CertificateAuthority` para permitir somente solicitações de certificados publicamente confiáveis emitidos pela Amazon Trust Services. Configurando o ARN da autoridade de certificação como `false`impede solicitações de certificados privados da PCA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"Null" : {
"acm:CertificateAuthority":"false"
}
}
}
}
```
------