Veröffentlicht am: Aug 23, 2023
Unternehmens-, Netzwerk- und Sicherheitsadministratoren können jetzt die Kontextschlüssel für Bedingungen von AWS Identity and Access Management (IAM) mit AWS Certificate Manager (ACM) verwenden, um beim Ausstellen von Zertifikaten durch Benutzer sicherzustellen, dass diese den Richtlinien für die Infrastruktur öffentlicher Schlüssel (Public Key Infrastructure, PKI) ihrer Organisation entsprechen. Sie können beispielsweise Bedingungsschlüssel verwenden, um nur die DNS-Validierung zuzulassen. Alternativ können Sie festlegen, welche Ihrer Benutzer Zertifikate für bestimmte Domain-Namen wie accounting.example.com und bzw. oder Wildcard-Namen anfordern können.
Mit diesen neuen Kontextschlüsseln können Sie festlegen, wie Ihre ACM-Benutzer die Parameter für die Zertifikatsausstellung anpassen, um Folgendes zu autorisieren: 1) eine bestimmte Validierungsmethode für Zertifikate, 2) die Personen, die Zertifikate für bestimmte Domain-Namen einschließlich Wildcard-Namen beantragen können, 3) einen spezifischen Algorithmus/spezifische Algorithmen für Zertifikatsschlüssel und 4) die Anforderung eines öffentlichen oder privaten Zertifikatstyps. Außerdem können Sie verhindern, dass Benutzer die Protokollierung der Zertifikatstransparenz (Certificate Transparency, CT) deaktivieren oder Zertifikate von spezifischen AWS Private Certificate Authorities anfordern.
Sie können mit IAM oder Steuerungsrichtlinien für Services (Service Control Polices, SCPs) von AWS Organizations Ihre Bedingungsschlüssel über Ihre Benutzer und Konten verteilen und durchsetzen. Sie können organisationsweite Richtlinien durchsetzen oder spezifische Richtlinien für Organisationseinheiten festlegen. So können Sie beispielsweise Ihre Personalabteilung autorisieren, Zertifikate für den Domain-Namen HR.example.com auszustellen, während Ihre IT-Abteilung nur Zertifikate für IT.example.com ausstellen kann. Mit AWS CloudFormation können Sie diese Richtlinien auch bei der Kontoerstellung durchsetzen.
Erfahren Sie hier mehr über dieses Feature und beginnen Sie mit ACM. Dieses Feature ist in allen AWS-Regionen verfügbar, in denen ACM verfügbar ist, einschließlich der AWS GovCloud (USA)-Regionen.