기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# ACM에서 조건 키 사용
AWS Certificate Manager 는 AWS Identity and Access Management (IAM)[ 조건 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) 사용하여 인증서 요청에 대한 액세스를 제한합니다. IAM 정책 또는 서비스 제어 정책(SCP) 의 조건 키를 사용하여 조직의 지침을 준수하는 인증서 요청을 생성할 수 있습니다.
**참고**
ACM 조건 키를와 같은 AWS [ 글로벌 조건 키](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)와 결합하여 특정 사용자 또는 역할로 작업을 추가로 제한`aws:PrincipalArn`합니다.
## ACM에 지원되는 조건
스크롤 막대를 사용하여 표의 나머지 부분을 확인합니다.
**ACM API 운영 및 지원되는 조건**
| 조건 키 | 지원되는 ACM API 작업 | Type | 설명 |
| --- | --- | --- | --- |
| `acm:ValidationMethod` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | 문자열(`DNS`, `EMAIL`, `HTTP`) | ACM [검증 방법](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html)을 기준으로 요청 필터링 |
| `acm:DomainNames` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ArrayOfString | ACM 요청에서 [도메인 이름](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-dn)을 기준으로 필터링 |
| `acm:KeyAlgorithm` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | 문자열 | ACM [키 알고리즘 및 크기](https://docs.aws.amazon.com/acm/latest/userguide/acm-certificate.html#algorithms)를 기준으로 요청 필터링 |
| `acm:CertificateTransparencyLogging` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | 문자열(`ENABLED`, `DISABLED`) | ACM [인증서 투명성 로깅 기본 설정](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-transparency)을 기준으로 요청 필터링 |
| `acm:CertificateAuthority` | [RequestCertificate](https://docs.aws.amazon.com/acm/latest/APIReference/API_RequestCertificate.html) | ARN | ACM 요청의 [인증 기관](https://docs.aws.amazon.com/acm/latest/userguide/acm-concepts.html#concept-ca)을 기준으로 요청 필터링 |
## 예 1: 검증 방법 제한
다음 정책은 [이메일 검증](https://docs.aws.amazon.com/acm/latest/userguide/domain-ownership-validation.html) 방법(`arn:aws:iam::123456789012:role/AllowedEmailValidation` 역할을 사용한 요청 제외)을 사용하여 새 인증서 요청을 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:ValidationMethod":"EMAIL"
},
"ArnNotLike": {
"aws:PrincipalArn": [ "arn:aws:iam::123456789012:role/AllowedEmailValidation"]
}
}
}
}
```
------
## 예 2: 와일드카드 도메인 방지
다음 정책은 와일드카드 도메인을 사용하는 새 ACM 인증서 요청을 거부합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringLike": {
"acm:DomainNames": [
"${*}.*"
]
}
}
}
}
```
------
## 예 3: 인증서 도메인 제한
다음 정책은 `*.amazonaws.com`(으)로 종료되지 않는 도메인에 대한 새 ACM 인증서 요청을 거부합니다
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAnyValue:StringNotLike": {
"acm:DomainNames": ["*.amazonaws.com"]
}
}
}
}
```
------
정책을 특정 하위 도메인으로 추가로 제한할 수 있습니다. 이 정책은 모든 도메인이 하나 이상의 조건부 도메인 이름과 일치하는 요청만 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition": {
"ForAllValues:StringNotLike": {
"acm:DomainNames": ["support.amazonaws.com", "developer.amazonaws.com"]
}
}
}
}
```
------
## 예 4: 키 알고리즘 제한
다음 정책은 `StringNotLike` 조건 키를 사용하여 ECDSA 384비트(`EC_secp384r1`) 키 알고리즘으로 요청된 인증서만 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike" : {
"acm:KeyAlgorithm":"EC_secp384r1"
}
}
}
}
```
------
다음 정책은 `StringLike` 조건 키 및 `*` 와일드카드를 사용하여 ACM에서 `RSA` 키 알고리즘으로 새 인증서를 요청하지 못하도록 매칭합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringLike" : {
"acm:KeyAlgorithm":"RSA*"
}
}
}
}
```
------
## 예 5: 인증 기관 제한
다음 정책은 제공된 사설 인증 기관(PCA) ARN을 사용한 사설 인증서 요청만 허용합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"StringNotLike": {
"acm:CertificateAuthority":" arn:aws:acm-pca:region:account:certificate-authority/CA_ID"
}
}
}
}
```
------
이 정책은 `acm:CertificateAuthority` 조건을 사용하여 Amazon Trust Service에서 발행한 공개적으로 신뢰할 수 있는 인증서에 대한 요청만 허용합니다. 인증 기관 ARN을 설정하면 `false`이(가) PCA의 사설 인증서 요청을 방지합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":{
"Effect":"Deny",
"Action":"acm:RequestCertificate",
"Resource":"*",
"Condition":{
"Null" : {
"acm:CertificateAuthority":"false"
}
}
}
}
```
------