Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Eingebundene Richtlinien
Eingebundene Richtlinien sind Richtlinien, die Sie erstellen und verwalten und die Sie direkt in einen Benutzer, eine Gruppe oder Rolle einbetten. Die folgenden Richtlinienbeispiele zeigen, wie Sie Berechtigungen zur Durchführung von AWS Private CA Aktionen zuweisen. Allgemeine Informationen zu Inline-Richtlinien finden Sie unter [Arbeiten mit Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/). Sie können die AWS-Managementkonsole, AWS Command Line Interface (AWS CLI) oder die IAM-API verwenden, um Inline-Richtlinien zu erstellen und einzubetten.
**Wichtig**
Wir empfehlen dringend, bei jedem Zugriff die Multi-Faktor-Authentifizierung (MFA) zu verwenden. AWS Private CA
**Topics**
+ [Private Zertifizierungsstellen auflisten](#policy-list-pcas)
+ [Ein privates CA-Zertifikat wird abgerufen](#policy-retrieve-pca)
+ [Ein privates CA-Zertifikat importieren](#policy-import-pca-cert)
+ [Löschen einer privaten CA](#policy-delete-pca)
+ [Tag-on-create: Hinzufügen von Tags an eine CA zum Zeitpunkt der Erstellung](#tag-on-create)
+ [Tag-on-create: Eingeschränktes Tagging](#tag-on-create-restricted1)
+ [Steuern des Zugriffs auf Private CA mithilfe von Tags](#tag-on-create-restricted2)
+ [Read-only Zugriff auf AWS Private CA](#policy-pca-read-only)
+ [Voller Zugriff auf AWS Private CA](#policy-pca-full-access)
## Private Zertifizierungsstellen auflisten
Mit der folgenden Richtlinie können Benutzer alle privaten Zertifizierungsstellen in einem Konto auflisten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:ListCertificateAuthorities",
"Resource":"*"
}
]
}
```
------
## Ein privates CA-Zertifikat wird abgerufen
Mit der folgenden Richtlinie können Benutzer ein bestimmtes privates Zertifizierungsstellenzertifikat abrufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:GetCertificateAuthorityCertificate",
"Resource":"arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}/certificate/{{certificate_ID}}"
}
}
```
------
## Ein privates CA-Zertifikat importieren
Mit der folgenden Richtlinie kann ein Benutzer ein privates Zertifizierungsstellenzertifikat importieren.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:ImportCertificateAuthorityCertificate",
"Resource":"arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}/certificate/{{certificate_ID}}"
}
}
```
------
## Löschen einer privaten CA
Mit der folgenden Richtlinie können Benutzer eine bestimmte private Zertifizierungsstelle löschen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":"acm-pca:DeleteCertificateAuthority",
"Resource":"arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}/certificate/{{certificate_ID}}" }
}
```
------
## Tag-on-create: Hinzufügen von Tags an eine CA zum Zeitpunkt der Erstellung
Die folgende Richtlinie ermöglicht es einem Benutzer, Tags während der Erstellung einer Zertifizierungsstelle anzuwenden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"acm-pca:CreateCertificateAuthority",
"acm-pca:TagCertificateAuthority"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Tag-on-create: Eingeschränktes Tagging
Die folgende Tag-on-Create-Richtlinie *verhindert die Verwendung des Schlüssel-Wert-Paars* Environment=Prod während der CA-Erstellung. Das Markieren mit anderen Schlüssel-Wert-Paaren ist zulässig.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":"acm-pca:*",
"Resource":"*"
},
{
"Effect":"Deny",
"Action":"acm-pca:TagCertificateAuthority",
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Environment":[
"Prod"
]
}
}
}
]
}
```
------
## Steuern des Zugriffs auf Private CA mithilfe von Tags
Die folgende Richtlinie erlaubt nur den Zugriff auf CAs mit dem Schlüssel-Wert-Paar Environment=. PreProd Außerdem müssen neue Zertifizierungsstellen dieses Tag enthalten.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm-pca:*"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"aws:ResourceTag/Environment":[
"PreProd"
]
}
}
}
]
}
```
------
## Read-only Zugriff auf AWS Private CA
Mit der folgenden Richtlinie können Benutzer private Zertifizierungsstellen beschreiben und auflisten sowie das private CA-Zertifikat und die Zertifikatkette abrufen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Allow",
"Action":[
"acm-pca:DescribeCertificateAuthority",
"acm-pca:DescribeCertificateAuthorityAuditReport",
"acm-pca:ListCertificateAuthorities",
"acm-pca:ListTags",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:GetCertificateAuthorityCsr",
"acm-pca:GetCertificate"
],
"Resource":"*"
}
}
```
------
## Voller Zugriff auf AWS Private CA
Die folgende Richtlinie ermöglicht es einem Benutzer, jede AWS Private CA Aktion auszuführen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"acm-pca:*"
],
"Resource":"*"
}
]
}
```
------