Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Usa i tasti di condizione con ACM
<a name="acm-conditions"></a>

AWS Certificate Manager utilizza [chiavi di condizione AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) (IAM) per limitare l'accesso alle richieste di certificati. Con le chiavi di condizione delle policy IAM o delle policy di controllo dei servizi (SCP) puoi creare richieste di certificati conformi alle linee guida della tua organizzazione. 

**Nota**  
Combina le chiavi di condizione ACM con [le chiavi di condizione AWS globali](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html), `aws:PrincipalArn` ad esempio per limitare ulteriormente le azioni a utenti o ruoli specifici.

## Condizioni supportate per ACM
<a name="acm-conditions-supported"></a>

Utilizzare le barre di scorrimento per visualizzare il resto della tabella.


**Operazioni API ACM e condizioni supportate**  

| Chiave di condizione | Operazioni API ACM supportate | Tipo | Description | 
| --- | --- | --- | --- | 
| `acm:ValidationMethod` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Stringa (`DNS`,`EMAIL`,`HTTP`) | Filtra le richieste in base al [metodo di convalida](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) ACM | 
| `acm:DomainNames` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ArrayOfString | Filtra in base ai [nomi di dominio](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-dn) nella richiesta ACM | 
| `acm:KeyAlgorithm` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Stringa | Filtra le richieste in base all'[algoritmo della chiave e alle dimensioni](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html#algorithms) ACM | 
| `acm:CertificateTransparencyLogging` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | Stringa (`ENABLED`, `DISABLED`) | Filtra le richieste in base alle [preferenze di registrazione della trasparenza del certificato](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-transparency) ACM | 
| `acm:CertificateAuthority` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ARN | Filtra le richieste in base alle [autorità di certificazione](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca) nella richiesta ACM | 

## Esempio 1: limitazione del metodo di convalida
<a name="conditions-validation"></a>

La seguente policy nega nuove richieste di certificati utilizzando il metodo di [convalida e-mail](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) tranne che per una richiesta effettuata utilizzando il ruolo `arn:aws:iam::123456789012:role/AllowedEmailValidation`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:ValidationMethod":"EMAIL"
            },
            "ArnNotLike": {
                "aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
            }
        }
    }
}
```

------

## Esempio 2: prevenzione dei domini jolly
<a name="conditions-wildcards"></a>

La seguente policy nega qualsiasi nuova richiesta di certificato ACM che utilizza domini jolly.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringLike": {
                "acm:DomainNames": [
                    "${*}.*"
                ]
            }
        }
    }
}
```

------

## Esempio 3: limitazione dei domini dei certificati
<a name="conditions-restrictdomains"></a>

La seguente policy nega qualsiasi nuova richiesta di certificato ACM per i domini che non terminano con `*.amazonaws.com`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "acm:DomainNames": ["*.amazonaws.com"]
            }
        }
    }
}
```

------

La politica potrebbe essere ulteriormente limitata a sottodomini specifici. Questa policy consentirebbe solo le richieste in cui ogni dominio corrisponde ad almeno uno dei nomi di dominio condizionali.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition": {
            "ForAllValues:StringNotLike": {
                "acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
            }
        }
    }
}
```

------

## Esempio 4: limitazione dell'algoritmo della chiave
<a name="conditions-keyalgorithm"></a>

La seguente policy utilizza la chiave di condizione `StringNotLike` per consentire solo i certificati richiesti con l'algoritmo della chiave ECDSA a 384 bit (`EC_secp384r1`).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
        "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike" : {
                "acm:KeyAlgorithm":"EC_secp384r1"
            }
        }
    }
}
```

------

La seguente policy utilizza la combinazione di chiave di condizione `StringLike` e carattere jolly `*` per impedire richieste di nuovi certificati in ACM con qualsiasi algoritmo della chiave `RSA`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringLike" : {
                "acm:KeyAlgorithm":"RSA*"
            }
        }
    }
}
```

------

## Esempio 5: limitazione dell'autorità di certificazione
<a name="conditions-publicca"></a>

La seguente policy consentirebbe solo le richieste di certificati privati utilizzando l'ARN dell'autorità di certificazione privata (PCA) fornito. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "StringNotLike": {
                "acm:CertificateAuthority":" arn:aws:acm-pca:{{region}}:{{account}}:certificate-authority/{{CA_ID}}"
            }
        }
    }
}
```

------

Questa policy utilizza la condizione `acm:CertificateAuthority` per consentire solo le richieste di certificati pubblicamente attendibili emessi da Amazon Trust Services. L'impostazione dell'ARN dell'autorità di certificazione su `false` impedisce le richieste di certificati privati da parte della PCA.

------
#### [ JSON ]

****  

```
{
"Version":"2012-10-17",		 	 	 
    "Statement":{
        "Effect":"Deny",
        "Action":"acm:RequestCertificate",
        "Resource":"*",
        "Condition":{
            "Null" : {
                "acm:CertificateAuthority":"false"
            }
        }
    }
}
```

------