Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utiliser des clés de condition avec ACM
AWS Certificate Manager utilise des [clés de condition Gestion des identités et des accès AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (IAM) pour limiter l'accès aux demandes de certificat. Grâce aux clés de condition issues des politiques IAM ou des politiques de contrôle des services (SCP), vous pouvez créer des demandes de certificat conformes aux directives de votre organisation.
**Note**
Combinez les clés de condition ACM avec les [clés de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), par exemple `aws:PrincipalArn` pour restreindre davantage les actions à des utilisateurs ou à des rôles spécifiques.
## Conditions prises en charge pour ACM
Utilisez les barres de défilement pour voir le reste du tableau.
**Opérations de l'API ACM et conditions prises en charge**
| Clé de condition | Opérations de l'API ACM prises en charge | Type | Description |
| --- | --- | --- | --- |
| `acm:ValidationMethod` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Chaîne (`DNS`,`EMAIL`,`HTTP`) | Filtrer les demandes en fonction de la [méthode de validation](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) de l'ACM |
| `acm:DomainNames` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ArrayOfString | Filtre basé sur les [noms de domaine](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-dn) dans la requête ACM |
| `acm:KeyAlgorithm` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | String | Filtrer les demandes en fonction de l'[algorithme et de la taille de la clé](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html#algorithms) ACM |
| `acm:CertificateTransparencyLogging` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Chaîne (`ENABLED`, `DISABLED`) | Filtrer les demandes en fonction des [préférences de journalisation de la transparence des certificats](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-transparency) ACM |
| `acm:CertificateAuthority` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ARN | Filtrer les demandes en fonction des [autorités de certification](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca) dans la requête ACM |
## Exemple 1 : restreindre la méthode de validation
La stratégie suivante refuse les nouvelles demandes de certificat à l'aide de la méthode de [validation des e-mails](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html), à l'exception d'une requête effectuée à l'aide du rôle `arn:aws:iam::123456789012:role/AllowedEmailValidation`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:ValidationMethod":"EMAIL"
},
"ArnNotLike": {
"aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
}
}
}
}
```
------
## Exemple 2 : empêcher les domaines génériques
La stratégie suivante refuse toute nouvelle requête de certificat ACM qui utilise des domaines génériques.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringLike": {
"acm:DomainNames": [
"${*}.*"
]
}
}
}
}
```
------
## Exemple 3 : restreindre les domaines de certificats
La stratégie suivante refuse toute nouvelle requête de certificat ACM pour les domaines qui ne se terminent pas par `*.amazonaws.com`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringNotLike": {
"acm:DomainNames": ["*.amazonaws.com"]
}
}
}
}
```
------
La stratégie peut également être restreinte à des sous-domaines spécifiques. Cette stratégie n'autorise que les requêtes pour lesquelles chaque domaine correspond à au moins un des noms de domaine conditionnels.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAllValues:StringNotLike": {
"acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
}
}
}
}
```
------
## Exemple 4 : restreindre les clés d'algorithme
La stratégie suivante utilise la clé de condition `StringNotLike` pour autoriser uniquement les certificats demandés avec l'algorithme de clé ECDSA 384 bits (`EC_secp384r1`).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike" : {
"acm:KeyAlgorithm":"EC_secp384r1"
}
}
}
}
```
------
La stratégie suivante utilise la clé de condition `StringLike` et la correspondance `*` générique pour empêcher les requêtes de nouveaux certificats dans ACM avec n'importe quel algorithme clé `RSA`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:KeyAlgorithm":"RSA*"
}
}
}
}
```
------
## Exemple 5 : restreindre l'autorité de certification
La stratégie suivante n'autorise que les demandes de certificats privés utilisant l'ARN de l'autorité de certification privée (PCA) fournie.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike": {
"acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
}
}
}
}
```
------
Cette politique utilise la condition `acm:CertificateAuthority` pour n'autoriser que les demandes de certificats publiquement fiables émis par Amazon Trust Services. Le fait de définir l'ARN de l'autorité de certification sur `false` empêche les requêtes de certificats privés de la part de PCA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"Null" : {
"acm:CertificateAuthority":"false"
}
}
}
}
```
------