Ressourcenbasierte Richtlinien - AWS Private Certificate Authority
Beispiele für Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ressourcenbasierte Richtlinien

Ressourcenbasierte Richtlinien sind Berechtigungsrichtlinien, die Sie erstellen und manuell einer Ressource (in diesem Fall einer privaten Zertifizierungsstelle) und nicht einer Benutzeridentität oder Rolle zuordnen. Anstatt Ihre eigenen Richtlinien zu erstellen, können Sie auch AWS verwaltete Richtlinien für verwenden. AWS Private CA Durch AWS RAM die Anwendung einer ressourcenbasierten Richtlinie kann ein AWS Private CA Administrator den Zugriff auf eine Zertifizierungsstelle direkt oder über einen Benutzer mit einem anderen AWS Konto teilen. AWS Organizations Alternativ kann ein AWS Private CA Administrator die PCA APIs PutPolicy, GetPolicyund oder die entsprechenden AWS CLI Befehle put-policy DeletePolicy, get-policy und delete-policy verwenden, um ressourcenbasierte Richtlinien anzuwenden und zu verwalten.

Allgemeine Informationen zu ressourcenbasierten Richtlinien finden Sie unter Identitätsbasierte Richtlinien und Ressourcenbasierte Richtlinien und Steuern des Zugriffs mithilfe von Richtlinien.

Um die Liste der AWS verwalteten ressourcenbasierten Richtlinien für anzuzeigen AWS Private CA, navigieren Sie in der Konsole zur Bibliothek für verwaltete Berechtigungen und suchen Sie nach. AWS Resource Access Manager CertificateAuthority Wie bei jeder Richtlinie empfehlen wir, die Richtlinie vor ihrer Anwendung in einer Testumgebung anzuwenden, um sicherzustellen, dass sie Ihren Anforderungen entspricht.

AWS Certificate Manager (ACM) Benutzer mit kontenübergreifendem gemeinsamen Zugriff auf eine private Zertifizierungsstelle können verwaltete Zertifikate ausstellen, die von der Zertifizierungsstelle signiert sind. Kontoübergreifende Aussteller sind durch eine ressourcenbasierte Richtlinie eingeschränkt und haben nur Zugriff auf die folgenden Vorlagen für Endzertifikate:

Beispiele für Richtlinien

Dieser Abschnitt enthält Beispiele für kontoübergreifende Richtlinien für verschiedene Anforderungen. In allen Fällen wird das folgende Befehlsmuster verwendet, um eine Richtlinie anzuwenden:

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

Zusätzlich zur Angabe des ARN einer CA gibt der Administrator eine AWS Konto-ID oder eine AWS Organizations ID an, der Zugriff auf die CA gewährt wird. Die JSON-Datei jeder der folgenden Richtlinien ist aus Gründen der Lesbarkeit als Datei formatiert, kann aber auch als Inline-CLI-Argumente bereitgestellt werden.

Anmerkung

Die unten aufgeführte Struktur der ressourcenbasierten JSON-Richtlinien muss genau eingehalten werden. Nur die ID-Felder für die Principals (die AWS Kontonummer oder die AWS Organisations-ID) und die CA ARNs können von Kunden konfiguriert werden.

  1. Datei: policy1.json — Teilen des Zugriffs auf eine CA mit einem Benutzer in einem anderen Konto

    555555555555Ersetzen Sie es durch die AWS Konto-ID, die die CA gemeinsam nutzt.

    Ersetzen Sie für den Ressourcen-ARN Folgendes durch Ihre eigenen Werte:

    • aws- Die AWS Partition. Zum Beispielaws, aws-us-govaws-cn,, usw.

    • us-east-1- Die AWS Region, in der die Ressource verfügbar ist, z. us-west-1 B.

    • 111122223333- Die AWS Konto-ID des Ressourcenbesitzers.

    • 11223344-1234-1122-2233-112233445566- Die Ressourcen-ID der Zertifizierungsstelle.

     {                        
   "Version":"2012-10-17",
   "Statement":[
      {    
         "Sid":"ExampleStatementID",
         "Effect":"Allow",         
         "Principal":{                                                                                                                                               
            "AWS":"555555555555"                                                                                
         },
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"                                                                                   
         ],                                                                                              
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
      },
      {
         "Sid":"ExampleStatementID2",  
         "Effect":"Allow",
         "Principal":{
            "AWS":"555555555555"
         },
         "Action":[
            "acm-pca:IssueCertificate"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
            }
         }
      }
   ]
}

  2. Datei: policy2.json — Gemeinsamer Zugriff auf eine CA über AWS Organizations

    Durch die o-a1b2c3d4z5 ID ersetzen. AWS Organizations

    Ersetzen Sie für den Ressourcen-ARN Folgendes durch Ihre eigenen Werte:

    • aws- Die AWS Partition. Zum Beispielaws, aws-us-govaws-cn,, usw.

    • us-east-1- Die AWS Region, in der die Ressource verfügbar ist, z. us-west-1 B.

    • 111122223333- Die AWS Konto-ID des Ressourcenbesitzers.

    • 11223344-1234-1122-2233-112233445566- Die Ressourcen-ID der Zertifizierungsstelle.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ExampleStatementID3",
         "Effect":"Allow",
         "Principal":"*",
         "Action":"acm-pca:IssueCertificate",
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1",
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
            }
         }
      },
      {
         "Sid":"ExampleStatementID4",
         "Effect":"Allow",
         "Principal":"*",
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
         }
      }
   ]
}