Políticas baseadas em recursos - AWS Private Certificate Authority
Exemplos de políticas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas baseadas em recursos

Políticas baseadas em recurso são políticas de permissões que você cria e anexa manualmente a um recurso (nesse caso, uma CA privada), em vez de a uma identidade ou um perfil de usuário. Ou, em vez de criar suas próprias políticas, você pode usar políticas AWS gerenciadas para AWS Private CA. Usando AWS RAM para aplicar uma política baseada em recursos, um CA privada da AWS administrador pode compartilhar o acesso a uma CA com um usuário em uma AWS conta diferente, diretamente ou por meio dela. AWS Organizations Como alternativa, um CA privada da AWS administrador pode usar o PCA APIs PutPolicy,, e GetPolicyDeletePolicy, ou os AWS CLI comandos correspondentes put-policy, get-policy e delete-policy para aplicar e gerenciar políticas baseadas em recursos.

Para obter informações gerais sobre políticas baseadas em recurso, consulte Políticas baseadas em identidade e políticas baseadas em recurso e Controlar o acesso usando políticas.

Para ver a lista de políticas baseadas em recursos AWS gerenciados para AWS Private CA, navegue até a biblioteca de permissões gerenciadas no AWS Resource Access Manager console e pesquise por. CertificateAuthority Como acontece com qualquer política, antes de aplicá-la, recomendamos aplicar a política em um ambiente de teste para garantir que ela atenda aos seus requisitos.

AWS Certificate Manager Usuários (ACM) com acesso compartilhado entre contas a uma CA privada podem emitir certificados gerenciados assinados pela CA. Emissores entre contas estão limitados por uma política baseada em recursos e têm acesso somente aos seguintes modelos de certificado de entidade final:

Exemplos de políticas

Esta seção inclui exemplos de políticas entre contas para várias necessidades. Em todos os casos, o padrão de comando a seguir é usado para aplicar uma política:

$ aws acm-pca put-policy \
   --region region \
   --resource-arn arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566 \
   --policy file:///[path]/policyN.json

Além de especificar o ARN de uma CA, o administrador fornece AWS uma ID de conta ou AWS Organizations uma ID que terá acesso à CA. O JSON de cada uma das políticas a seguir é formatado como um arquivo para facilitar a leitura, mas também pode ser fornecido como argumentos internos da CLI.

nota

A estrutura das políticas baseadas em recurso JSON mostradas abaixo deve ser seguida com precisão. Somente os campos de ID dos principais (o número da AWS conta ou o ID do AWS Organizations) e da CA ARNs podem ser configurados pelos clientes.

  1. Arquivo: policy1.json: compartilhamento do acesso a uma CA com um usuário em uma conta diferente

    555555555555Substitua pelo ID da AWS conta que está compartilhando a CA.

    Para o ARN do recurso, substitua o seguinte pelos seus próprios valores:

    • aws- A AWS divisória. Por exemplo,aws,aws-us-gov,aws-cn, etc.

    • us-east-1- A AWS região em que o recurso está disponível, comous-west-1.

    • 111122223333- O ID da AWS conta do proprietário do recurso.

    • 11223344-1234-1122-2233-112233445566- O ID do recurso da autoridade de certificação.

     {                        
   "Version":"2012-10-17",
   "Statement":[
      {    
         "Sid":"ExampleStatementID",
         "Effect":"Allow",         
         "Principal":{                                                                                                                                               
            "AWS":"555555555555"                                                                                
         },
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"                                                                                   
         ],                                                                                              
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566"
      },
      {
         "Sid":"ExampleStatementID2",  
         "Effect":"Allow",
         "Principal":{
            "AWS":"555555555555"
         },
         "Action":[
            "acm-pca:IssueCertificate"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1"
            }
         }
      }
   ]
}

  2. Arquivo: policy2.json — Compartilhando o acesso a uma CA por meio de AWS Organizations

    o-a1b2c3d4z5Substitua pelo AWS Organizations ID.

    Para o ARN do recurso, substitua o seguinte pelos seus próprios valores:

    • aws- A AWS divisória. Por exemplo,aws,aws-us-gov,aws-cn, etc.

    • us-east-1- A AWS região em que o recurso está disponível, comous-west-1.

    • 111122223333- O ID da AWS conta do proprietário do recurso.

    • 11223344-1234-1122-2233-112233445566- O ID do recurso da autoridade de certificação.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"ExampleStatementID3",
         "Effect":"Allow",
         "Principal":"*",
         "Action":"acm-pca:IssueCertificate",
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "acm-pca:TemplateArn":"arn:aws:acm-pca:::template/EndEntityCertificate/V1",
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
            }
         }
      },
      {
         "Sid":"ExampleStatementID4",
         "Effect":"Allow",
         "Principal":"*",
         "Action":[
            "acm-pca:DescribeCertificateAuthority",
            "acm-pca:GetCertificate",
            "acm-pca:GetCertificateAuthorityCertificate",
            "acm-pca:ListPermissions",
            "acm-pca:ListTags"
         ],
         "Resource":"arn:aws:acm-pca:us-east-1:111122223333:certificate-authority/11223344-1234-1122-2233-112233445566",
         "Condition":{
            "StringEquals":{
               "aws:PrincipalOrgID":"o-a1b2c3d4z5"
            },
            "StringNotEquals":{
               "aws:PrincipalAccount":"111122223333"
         }
      }
   ]
}