本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 內嵌政策
內嵌政策是您建立及管理的政策,且直接內嵌至單一使用者、群組或角色。下列政策範例示範如何指派執行 AWS 私有 CA 動作的許可。如需內嵌政策的一般資訊,請參閱《[IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/)》中的[使用內嵌政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies)。您可以使用 AWS 管理主控台、 AWS Command Line Interface (AWS CLI) 或 IAM API 來建立和內嵌內嵌政策。
**重要**
強烈建議您隨時存取時使用多重驗證 (MFA) AWS 私有 CA。
**Topics**
+ [列出私有 CAs](#policy-list-pcas)
+ [擷取私有 CA 憑證](#policy-retrieve-pca)
+ [匯入私有 CA 憑證](#policy-import-pca-cert)
+ [刪除私有 CA](#policy-delete-pca)
+ [Tag-on-create:在建立時將標籤連接至 CA](#tag-on-create)
+ [Tag-on-create:限制標記](#tag-on-create-restricted1)
+ [使用標籤控制對 Private CA 的存取](#tag-on-create-restricted2)
+ [對 的唯讀存取 AWS 私有 CA](#policy-pca-read-only)
+ [完整存取 AWS 私有 CA](#policy-pca-full-access)
## 列出私有 CAs
以下政策可讓使用者列出帳戶中的所有私有 CA。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:ListCertificateAuthorities",
"Resource":"*"
}
]
}
```
------
## 擷取私有 CA 憑證
以下政策可讓使用者擷取特定私有 CA 憑證。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:GetCertificateAuthorityCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
------
## 匯入私有 CA 憑證
以下政策可讓使用者匯入私有 CA 憑證。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:ImportCertificateAuthorityCertificate",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID"
}
}
```
------
## 刪除私有 CA
以下政策可讓使用者刪除特定私有 CA。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:DeleteCertificateAuthority",
"Resource":"arn:aws:acm-pca:us-east-1:123456789012:certificate-authority/CA_ID/certificate/certificate_ID" }
}
```
------
## Tag-on-create:在建立時將標籤連接至 CA
下列政策允許使用者在 CA 建立期間套用標籤。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"acm-pca:CreateCertificateAuthority",
"acm-pca:TagCertificateAuthority"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Tag-on-create:限制標記
下列tag-on-create政策*可防止*在 CA 建立期間使用鍵/值對環境=Prod。允許使用其他鍵/值對進行標記。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:*",
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"acm-pca:TagCertificateAuthority",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Environment":[
"Prod"
]
}
}
}
]
}
```
------
## 使用標籤控制對 Private CA 的存取
下列政策僅允許存取鍵/值對環境=PreProd CAs。它還需要新的 CAs包含此標籤。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm-pca:*"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Environment":[
"PreProd"
]
}
}
}
]
}
```
------
## 對 的唯讀存取 AWS 私有 CA
以下政策可讓使用者描述及列出私有憑證授權機構,並擷取私有 CA 憑證和憑證鏈。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":[
"acm-pca:DescribeCertificateAuthority",
"acm-pca:DescribeCertificateAuthorityAuditReport",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:GetCertificateAuthorityCsr",
"acm-pca:GetCertificate"
],
"Resource":"*"
}
}
```
------
## 完整存取 AWS 私有 CA
下列政策允許使用者執行任何 AWS 私有 CA 動作。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm-pca:*"
],
"Resource":"*"
}
]
}
```
------