Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Resource-based politiche
Resource-based le politiche sono politiche di autorizzazione create e allegate manualmente a una risorsa (in questo caso, una CA privata) anziché all'identità o al ruolo di un utente. Oppure, invece di creare politiche personalizzate, è possibile utilizzare politiche AWS gestite per AWS Private CA. Applicando AWS RAM una policy basata sulle risorse, un CA privata AWS amministratore può condividere l'accesso a una CA con un utente di un altro AWS account direttamente o tramite. AWS Organizations[In alternativa, un CA privata AWS amministratore può utilizzare le API PCA e [PutPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_PutPolicy.html), [GetPolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetPolicy.html)o AWS CLI i comandi corrispondenti [put-policy [DeletePolicy](https://docs.aws.amazon.com/privateca/latest/APIReference/API_DeletePolicy.html), get-policy e delete-policy](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/put-policy.html)[, per applicare e gestire politiche](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/get-policy.html) basate sulle risorse.](https://docs.aws.amazon.com/cli/latest/reference/acm-pca/delete-policy.html)
[https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)
Per visualizzare l'elenco delle politiche basate sulle risorse AWS gestite per AWS Private CA, accedi alla [libreria delle autorizzazioni gestite](https://console.aws.amazon.com/ram/home#Permissions:) nella console e cerca. AWS Resource Access Manager **CertificateAuthority** Come per qualsiasi politica, prima di applicarla, ti consigliamo di applicarla in un ambiente di test per assicurarti che soddisfi i tuoi requisiti.
CA privata AWS supporta anche le autorizzazioni RAM gestite dai clienti, che consentono di definire una combinazione personalizzata di azioni tra le seguenti serie: `DescribeCertificateAuthority``GetCertificate`,`GetCertificateAuthorityCertificate`,`ListPermissions`, `ListTags``IssueCertificate`, e`RevokeCertificate`. Le autorizzazioni gestite dai clienti offrono la flessibilità necessaria per concedere l'accesso con privilegi minimi, ad esempio concedendo l'accesso in sola lettura ad alcuni account e consentendo ad altri di emettere e revocare certificati. Per ulteriori informazioni, consulta [Autorizzazioni gestite dal cliente nella RAM](pca-cmp.md).
AWS Certificate Manager (ACM) gli utenti con accesso condiviso tra più account a una CA privata possono emettere certificati gestiti firmati dalla CA. Quando concedi l'autorizzazione all'`IssueCertificate`azione, puoi limitare i modelli di certificato utilizzati per l'emissione dei certificati aggiungendo una `acm-pca:TemplateArn` Condizione alla politica.
## Esempi di policy
Questa sezione fornisce esempi di politiche interaccount per varie esigenze. In tutti i casi, per applicare una politica viene utilizzato il seguente schema di comandi:
```
$ aws acm-pca put-policy \
--region {{region}} \
--resource-arn arn:{{aws}}:acm-pca:{{us-east-1}}:{{111122223333}}:certificate-authority/{{11223344-1234-1122-2233-112233445566}} \
--policy file:///{{[path]}}/{{policyN.json}}
```
Oltre a specificare l'ARN di una CA, l'amministratore fornisce un ID account o AWS AWS Organizations un ID a cui verrà concesso l'accesso alla CA. Il codice JSON di ciascuna delle seguenti politiche è formattato come file per motivi di leggibilità, ma può anche essere fornito come argomenti CLI in linea.
**Nota**
La struttura delle politiche basate sulle risorse JSON mostrate di seguito deve essere seguita con precisione. Solo i campi ID per i principali (il numero di AWS account o l'ID AWS Organizations) e i CA ARN possono essere configurati dai clienti.
1. **File: policy1.json — Condivisione dell'accesso a una CA con un utente in un account diverso**
{{555555555555}}Sostituiscilo con l'ID AWS dell'account che condivide la CA.
Per la risorsa ARN, sostituisci quanto segue con i tuoi valori:
+ `{{aws}}`- La AWS partizione. Ad esempio`aws`,`aws-us-gov`,`aws-cn`, ecc.
+ `{{us-east-1}}`- La AWS regione in cui è disponibile la risorsa, ad esempio`us-west-1`.
+ `{{111122223333}}`- L'ID dell' AWS account del proprietario della risorsa.
+ `{{11223344-1234-1122-2233-112233445566}}`- L'ID della risorsa dell'autorità di certificazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "{{ExampleStatementID}}",
"Effect": "Allow",
"Principal": {
"AWS": "{{555555555555}}"
},
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource": "arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}"
},
{
"Sid": "{{ExampleStatementID2}}",
"Effect": "Allow",
"Principal": {
"AWS": "{{555555555555}}"
},
"Action": [
"acm-pca:IssueCertificate"
],
"Resource": "arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1"
}
}
}
]
}
```
------
1. **File: policy2.json — Condivisione dell'accesso a una CA tramite AWS Organizations**
Sostituisci con {{o-a1b2c3d4z5}} l'ID. AWS Organizations
Per la risorsa ARN, sostituisci quanto segue con i tuoi valori:
+ `{{aws}}`- La AWS partizione. Ad esempio`aws`,`aws-us-gov`,`aws-cn`, ecc.
+ `{{us-east-1}}`- La AWS regione in cui è disponibile la risorsa, ad esempio`us-west-1`.
+ `{{111122223333}}`- L'ID dell' AWS account del proprietario della risorsa.
+ `{{11223344-1234-1122-2233-112233445566}}`- L'ID della risorsa dell'autorità di certificazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "{{ExampleStatementID3}}",
"Effect": "Allow",
"Principal": "*",
"Action": "acm-pca:IssueCertificate",
"Resource":"arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}",
"Condition": {
"StringEquals": {
"acm-pca:TemplateArn": "arn:aws:acm-pca:::template/EndEntityCertificate/V1",
"aws:PrincipalOrgID": "{{o-a1b2c3d4z5}}"
},
"StringNotEquals": {
"aws:PrincipalAccount": "{{111122223333}}"
}
}
},
{
"Sid": "{{ExampleStatementID4}}",
"Effect": "Allow",
"Principal": "*",
"Action": [
"acm-pca:DescribeCertificateAuthority",
"acm-pca:GetCertificate",
"acm-pca:GetCertificateAuthorityCertificate",
"acm-pca:ListPermissions",
"acm-pca:ListTags"
],
"Resource":"arn:aws:acm-pca:{{us-east-1}}:{{123456789012}}:certificate-authority/{{CA_ID}}",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "{{o-a1b2c3d4z5}}"
},
"StringNotEquals": {
"aws:PrincipalAccount": "{{111122223333}}"
}
}
}
]
}
```
------