기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
리소스 기반 정책
리소스 기반 정책은 사용자 ID 또는 역할 대신 리소스(이 경우 프라이빗 CA)에 생성하여 수동으로 연결하는 권한 정책입니다. 또는 자체 정책을 생성하는 대신 AWS 관리형 정책을 사용할 수 있습니다 AWS Private CA. 를 사용하여 리소스 기반 정책을 AWS RAM 적용하면 AWS Private CA 관리자는 CA에 대한 액세스를 다른 AWS 계정의 사용자와 직접 또는를 통해 공유할 수 있습니다 AWS Organizations. 또는 AWS Private CA 관리자는 PCA PutPolicy APIs Word, GetPolicy 및 DeletePolicy 또는 해당 AWS CLI 명령 put-policy, get-policy 및 delete-policy를 사용하여 리소스 기반 정책을 적용하고 관리할 수 있습니다.
리소스 기반 정책에 대한 일반적인 내용은 자격 증명 기반 정책 및 리소스 기반 정책 및 정책을 사용한 액세스 제어를 참조하세요.
에 대한 AWS 관리형 리소스 기반 정책 목록을 보려면 AWS Resource Access Manager 콘솔에서 관리형 권한 라이브러리
AWS Certificate Manager 프라이빗 CA에 대한 계정 간 공유 액세스 권한이 있는 (ACM) 사용자는 CA가 서명한 관리형 인증서를 발급할 수 있습니다. 교차 계정 발급자는 리소스 기반 정책의 제약을 받으며 다음과 같은 최종 엔터티 인증서 템플릿에만 액세스할 수 있습니다.
정책 예시
이 섹션에서는 다양한 요구 사항에 맞는 교차 계정 정책의 예제를 제공합니다. 모든 경우에 다음 명령 패턴을 사용하여 정책을 적용합니다.
$aws acm-pca put-policy \ --regionregion\ --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566\ --policy file:///[path]/policyN.json
CA의 ARN를 지정하는 것 외에도 관리자는 CA에 대한 액세스 권한을 부여할 계정 ID 또는 AWS Organizations ID를 제공합니다 AWS . 다음 각 정책의 JSON는 가독성을 위해 파일로 포맷되지만 인라인 CLI 인수로도 제공될 수 있습니다.
참고
아래 표시된 JSON 리소스 기반 정책의 구조를 정확하게 따라야 합니다. 보안 주체의 ID 필드( AWS 계정 번호 또는 AWS 조직 ID)와 CA ARNs만 고객이 구성할 수 있습니다.
-
File: policy1.json – Sharing access to a CA with a user in a different account
Replace
555555555555CA를 공유하는 AWS 계정 ID를 사용합니다.리소스 ARN의 경우 다음을 자체 값으로 바꿉니다.
awsawsaws-us-govaws-cn, 등us-east-1us-west-1.11112222333311223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ExampleStatementID", "Effect":"Allow", "Principal":{ "AWS":"555555555555" }, "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566" }, { "Sid":"ExampleStatementID2", "Effect":"Allow", "Principal":{ "AWS":"555555555555" }, "Action":[ "acm-pca:IssueCertificate" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1" } } } ] } -
파일: policy2.json –를 통해 CA에 대한 액세스 공유 AWS Organizations
Replace
o-a1b2c3d4z5AWS Organizations ID를 사용합니다.리소스 ARN의 경우 다음을 자체 값으로 바꿉니다.
awsawsaws-us-govaws-cn, 등us-east-1us-west-1.11112222333311223344-1234-1122-2233-112233445566
{ "Version":"2012-10-17", "Statement":[ { "Sid":"ExampleStatementID3", "Effect":"Allow", "Principal":"*", "Action":"acm-pca:IssueCertificate", "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1", "aws:PrincipalOrgID":"o-a1b2c3d4z5" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333" } } }, { "Sid":"ExampleStatementID4", "Effect":"Allow", "Principal":"*", "Action":[ "acm-pca:DescribeCertificateAuthority", "acm-pca:GetCertificate", "acm-pca:GetCertificateAuthorityCertificate", "acm-pca:ListPermissions", "acm-pca:ListTags" ], "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566", "Condition":{ "StringEquals":{ "aws:PrincipalOrgID":"o-a1b2c3d4z5" }, "StringNotEquals":{ "aws:PrincipalAccount":"111122223333" } } ] }
