发布于: Aug 23, 2023
企业、网络和安全管理员现在可以结合使用 AWS Identity and Access Management (IAM) 条件上下文密钥和 AWS Certificate Manager (ACM),以帮助确保用户颁发的证书符合其组织的公钥基础结构 (PKI) 指南。例如,您可以使用条件密钥来仅允许使用 DNS 验证。或者,您可以授权哪些用户可以申请特定域名(例如 accounting.example.com 和/或通配符名称)的证书。
使用这些新的上下文密钥,您可以定义 ACM 用户如何自定义证书颁发参数以授权 1) 特定的证书验证方法,2) 谁可以为包括通配符名称在内的特定域名申请证书,3) 特定的证书密钥算法,以及 4) 请求公有或私有证书类型。此外,您还可以防止用户禁用证书透明度 (CT) 日志记录或向特定的 AWS 私有证书颁发机构申请证书。
您可以使用 AWS Organizations 提供的 IAM 或服务控制策略 (SCP) 在用户和账户中分发和强制执行条件密钥。可以强制执行组织范围的策略,也可以为组织单位制定特定的策略。例如,可以授权人力资源部门为域名 HR.example.com 颁发证书,而让 IT 部门只能为 IT.example.com 颁发证书。您也可以在创建账户时通过 AWS CloudFormation 强制执行这些策略。