Documentation sur Oracle Cloud Infrastructure

Informations détaillées sur le service de certificats

Cette rubrique présente des informations détaillées sur les autorisations du service de certificats permettant d'écrire des politiques pour contrôler l'accès à ses ressources.

Cette rubrique présente des informations détaillées sur le service de certificats, notamment les types de ressource auxquels vous pouvez accorder des autorisations, les variables spéciales que vous pouvez utiliser lors de l'ajout de conditions à une politique, la hiérarchie des autorisations et des opérations d'API couvertes par chaque verbe pour chaque type de ressource et les autorisations pour chaque opération d'API.

Types de ressource individuels

Les types de ressource individuels vous permettent d'écrire des énoncés de politique portant sur un type de ressource particulier et aucun autre.

leaf-certificates

leaf-certificate-versions

leaf-certificate-bundles

certificate-authorities

certificate-authority-versions

certificate-authority-bundles

certificate-authority-delegates

cabundles

certificate-associations

certificate-authority-associations

cabundle-associations

Types de ressource agrégés

Les types de ressource agrégés vous permettent d'écrire des énoncés de politique dont la portée s'étend au-delà d'un type de ressource individuel, à tous les types de ressource couverts par le type de ressource agrégé.

leaf-certificate-family

certificate-authority-family

Une politique utilisant <verb> leaf-certificate-family équivaut à une politique ayant un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource de certificat individuels suivants : leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations et cabundle-associations.

Une politique utilisant <verb> certificate-authority-family équivaut à une politique ayant un énoncé <verb> <individual resource-type> distinct pour chacun des types de ressource de certificat et d'autorité de certification individuels suivants : certificate-authorities, certificate-authority-versions, certificate-authority-bundles, certificate-authority-delegates, leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations, certificate-authority-associations et cabundle-associations.

Voir le tableau sous Informations détaillées sur les combinaisons Verbe + Type de ressource pour plus de détails sur les opérations d'API couvertes par chaque verbe, pour chaque type de ressource individuel inclus dans leaf-certificate-family et certificate-authority-family.

Variables prises en charge

Le service de certificats prend en charge toutes les variables générales, plus les variables répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, voir Variables générales pour toutes les demandes.

Opérations pour ce type de ressource... Peut utiliser ces variables... Type de variable Commentaires
certificate-authorities target.certificate-authority.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une autorité de certification en fonction de l'OCID de l'autorité de certification. (Vous ne pouvez pas utiliser cette variable lors de la création d'une autorité de certification, car il n'y a pas d'OCID pour cette autorité de certification qui n'existe pas encore.)
target.certificate-authority.name Chaîne Utilisez cette variable pour limiter l'accès à un nom d'autorité de certification spécifique.
target.certificate-authority.subject Chaîne Utilisez cette variable pour contrôler l'accès à une autorité de certification en fonction du sujet de l'autorité de certification.
target.certificate-authority.type Chaîne Utilisez cette variable pour limiter l'accès à certains types d'autorité de certification. Les types d'autorité de certification sont notamment ROOT_CA et SUBORDINATE_CA.
target.issuer-certificate-authority.id Chaîne Utilisez cette variable pour limiter l'accès aux autorités de certification en fonction de l'OCID de l'autorité de certification de l'émetteur.
certificate-authority-versions target.certificate-authority.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une version d'autorité de certification en fonction de l'OCID de l'autorité de certification.
target.certificate-authority.name Chaîne Utilisez cette variable pour contrôler l'accès à une version d'autorité de certification en fonction du nom de l'autorité de certification.
certificate-authority-bundles target.certificate-authority.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à l'ensemble d'une autorité de certification en fonction de l'OCID de l'autorité de certification de l'ensemble.
target.certificate-authority.name Chaîne Utilisez cette variable pour contrôler l'accès à l'ensemble d'une autorité de certification en fonction du nom de l'autorité de certification de l'ensemble.
certificate-authority-associations target.association.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID de l'association. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association d'autorité de certification, car il n'y a pas d'OCID pour cette association qui n'existe pas encore.)
target.association.name Chaîne Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction du nom de l'association.
target.association.resourceid Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID de la ressource configurée dans l'association.
target.leaf-certificate.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID du certificat configuré dans l'association.
target.leaf-certificate.name Chaîne Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction du nom du certificat configuré dans l'association.
certificate-authority-delegates target.certificate-authority.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction de l'OCID de l'autorité de certification.
target.certificate-authority.name Chaîne Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction du nom de l'autorité de certification.
target.issuer-certificate-authority.id Chaîne Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction de l'OCID de l'autorité de certification de l'émetteur.
target.resource.type Chaîne Utilisez cette variable pour contrôler l'accès aux délégués d'autorité de certification en fonction du type de ressource correspondant au délégué, qu'il s'agisse de la ressource leaf-certificate, certificate-authority ou cabundle.
leaf-certificates target.leaf-certificate.allow-wildcard Chaîne Utilisez cette variable pour contrôler l'accès à un certificat selon que le nom commun du certificat ou le nom de remplacement du sujet inclut un caractère générique.
target.leaf-certificate.alt-subject Liste Utilisez cette variable pour contrôler l'accès à un certificat en fonction du nom de remplacement de sujet du certificat.
target.leaf-certificate.alt-subject-size Chaîne Utilisez cette variable pour contrôler l'accès à un certificat en fonction du nombre de noms de remplacement de sujet du certificat.
target.leaf-certificate.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à un certificat en fonction de l'OCID du certificat. (Vous ne pouvez pas utiliser cette variable lors de la création d'un certificat, car il n'y a pas d'OCID pour ce certificat qui n'existe pas encore.)
target.leaf-certificate.name Chaîne Utilisez cette variable pour contrôler l'accès à un certificat en fonction du nom du certificat.
target.issuer-certificate-authority.id Chaîne Utilisez cette variable pour contrôler l'accès à un certificat en fonction de l'OCID de l'autorité de certification de l'émetteur.
target.leaf-certificate.profile-type Chaîne Utilisez cette variable pour contrôler l'accès aux certificats en fonction du type de profil de certificat. Les types de profil de certificat sont notamment TLS_SERVER_OR_CLIENT, TLS_SERVER, TLS_CLIENT et TLS_CODE_SIGN.
target.leaf-certificate.subject Chaîne Utilisez cette variable pour contrôler l'accès à un certificat en fonction du sujet du certificat.
target.leaf-certificate.type Chaîne Utilisez cette variable pour contrôler l'accès à un certificat selon la manière dont le certificat a été créé. Les types de configuration de certificat sont notamment MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA, ISSUED_BY_INTERNAL_CA ou IMPORTED.
leaf-certificate-versions target.leaf-certificate.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une version de certificat en fonction de l'OCID du certificat. Utilisez cette variable pour contrôler si les volumes par blocs ou les seaux peuvent être créés sans une clé de chiffrement principale du service de chambre forte.
target.leaf-certificate.name Chaîne Utilisez cette variable pour contrôler l'accès à une version de certificat en fonction du nom du certificat.
leaf-certificate-bundles target.leaf-certificate.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à un ensemble de certificats en fonction de l'OCID du certificat.
target.leaf-certificate.name Chaîne Utilisez cette variable pour contrôler l'accès à un ensemble de certificats en fonction du nom du certificat.
target.leaf-certificate.bundle-type Chaîne Utilisez cette variable pour contrôler l'accès à un ensemble de certificats en fonction du type d'ensemble de certificats. Les types d'ensemble de certificats comprennent CERTIFICATE_CONTENT_PUBLIC_ONLY et CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.
certificate-associations target.association.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association de certificat en fonction de l'OCID de l'association. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association de certificat, car il n'y a pas d'OCID pour cette association qui n'existe pas encore.)
target.association.name Chaîne Utilisez cette variable pour contrôler l'accès à un ensemble de certificats en fonction du nom de l'association d'ensemble de certificats.
target.association.resourceid Entité (OCID) Utilisez cette variable pour contrôler l'accès à un ensemble de certificats en fonction de l'OCID de la ressource ciblée dans l'association d'ensemble de certificats.
target.leaf-certificate.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association de certificat en fonction de l'OCID du certificat.
target.leaf-certificate.name Chaîne Utilisez cette variable pour contrôler l'accès à une association de certificat en fonction du nom du certificat.
cabundles target.cabundle.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à un ensemble AC en fonction de l'OCID de l'ensemble AC. (Vous ne pouvez pas utiliser cette variable lors de la création d'un ensemble AC, car il n'y a pas d'OCID pour cet ensemble AC qui n'existe pas encore.)
target.cabundle.name Chaîne Utilisez cette variable pour contrôler l'accès à un ensemble AC en fonction du nom de l'ensemble AC.
cabundle-associations target.association.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association d'ensemble AC en fonction de l'OCID de l'association d'ensemble.
target.association.name Chaîne Utilisez cette variable pour contrôler l'accès à une association d'ensemble AC en fonction du nom de l'association d'ensemble. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association d'ensemble AC, car il n'y a pas d'OCID pour cette association qui n'existe pas encore.)
target.association.resourceid Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association d'ensemble AC en fonction de l'OCID de la ressource configurée dans l'association.
target.cabundle.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association d'ensemble AC en fonction de l'OCID de l'ensemble.
target.cabundle.name Chaîne Utilisez cette variable pour contrôler l'accès à une association d'ensemble AC en fonction du nom de l'ensemble.

Informations détaillées sur les combinaisons Verbe + Type de ressource

Il est recommandé de comprendre l'accès incrémentiel accordé par chaque verbe pour chaque type de ressource afin de pouvoir écrire des politiques qui accordent uniquement l'accès requis et rien de plus.

Les tableaux suivants présentent les autorisations et les opérations d'API couvertes par chaque verbe. Le niveau d'accès est cumulatif depuis inspect > read > use > manage. Un signe plus (+) dans une cellule de tableau indique un accès incrémentiel comparé à la cellule directement au-dessus, alors que "aucun accès supplémentaire" indique qu'il n'y a aucun accès incrémentiel.

Par exemple, le verbe use pour le type de ressource cabundles inclut les mêmes autorisations et opérations d'API que le verbe read, plus l'autorisation CABUNDLE_UPDATE et l'opération d'API UpdateCaBundle. Le verbe manage permet même plus d'autorisations et d'opérations d'API que le verbe use.

leaf-certificates
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

CERTIFICATE_INSPECT

 ListCertificates

aucune
read

INSPECT +

CERTIFICATE_READ

INSPECT +

GetCertificate

aucune
use

READ +

CERTIFICATE_UPDATE

aucun accès supplémentaire

 

RevokeCertificateVersion (requiert également manage leaf-certificate-versions et use certificate-authority-delegates, ainsi que l'autorisation update buckets sur le seau associé à la version du certificat et les autorisations use certificate-authorities pour l'autorité de certification de l'émetteur)

CancelCertificateVersionDeletion (requiert également l'autorisation delete leaf-certificate-versions)

ScheduleCertificateVersionDeletion (requiert également l'autorisation delete leaf-certificate-versions)

UpdateCertificate (requiert également les autorisations use certificate-authority-delegates, sauf avec les certificats importés, ainsi que l'autorisation update buckets sur le seau associé à la version du certificat, l'autorisation use pour l'autorité de certification de l'émetteur et l'autorisation use keys)
manage

USE +

CERTIFICATE_CREATE

CERTIFICATE_DELETE

CERTIFICATE_MOVE

USE +

CancelCertificateDeletion

ScheduleCertificateDeletion

ChangeCertificateCompartment

CreateCertificate (requiert également les autorisations use certificate-authority-delegates, sauf lors de l'importation d'un certificat, ainsi que l'autorisation update buckets sur le seau associé à la version du certificat, l'autorisation use keys et les autorisations use certificate-authorities pour l'autorité de certification de l'émetteur, sauf lors de l'importation d'un certificat)
leaf-certificate-versions
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

CERTIFICATE_VERSION_INSPECT

 ListCertificateVersions

aucune
read

INSPECT +

CERTIFICATE_VERSION_READ

INSPECT +

GetCertificateVersion

aucune
use

READ +

aucun accès supplémentaire

aucune

aucune
manage

USE +

CERTIFICATE_VERSION_REVOKE

CERTIFICATE_VERSION_DELETE

aucune

RevokeCertificateVersion (requiert également use leaf-certificates et use certificate-authority-delegates)

CancelCertificateVersionDeletion (requiert également use leaf-certificates)

ScheduleCertificateVersionDeletion (requiert également use leaf-certificates)
certificate-authorities
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

CERTIFICATE_AUTHORITY_INSPECT

 ListCertificateAuthorities

aucune
read

INSPECT +

CERTIFICATE_AUTHORITY_READ

INSPECT +

GetCertificateAuthority

aucune
use

READ +

CERTIFICATE_AUTHORITY_UPDATE

aucun accès supplémentaire

UpdateCertificateAuthority (requiert également use certificate-authority-delegates)
manage

USE +

CERTIFICATE_AUTHORITY_CREATE

CERTIFICATE_AUTHORITY_DELETE

CERTIFICATE_AUTHORITY_MOVE

USE +

CancelCertificateAuthorityDeletion

ScheduleCertificateAuthorityDeletion

ChangeCertificateAuthorityCompartment

CreateCertificateAuthority (requiert également use certificate-authority-delegates)
certificate-authority-versions
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

CERTIFICATE_AUTHORITY_VERSION_INSPECT

 ListCertificateAuthorityVersions

aucune
read

INSPECT +

CERTIFICATE_AUTHORITY_VERSION_READ

INSPECT +

GetCertificateAuthorityVersion

aucune
use

READ +

aucun accès supplémentaire

aucune

aucune
manage

USE +

CERTIFICATE_AUTHORITY_VERSION_DELETE

CERTIFICATE_AUTHORITY_VERSION_REVOKE

aucune

CancelCertificateAuthorityVersionDeletion (requiert également use certificate-authorities)

ScheduleCertificateAuthorityVersionDeletion (requiert également use certificate-authorities)

RevokeCertificateAuthorityVersion (requiert également use certificate-authorities)
leaf-certificate-bundles
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

CERTIFICATE_BUNDLE_INSPECT

 ListCertificateBundleVersions

aucune
read

INSPECT +

CERTIFICATE_BUNDLE_READ

INSPECT +

GetCertificateBundle

Note : L'autorisation requise pour cette opération dépend du paramètre d'interrogation certificateBundleType.

Si certificateBundleType est réglé à CERTIFICATE_CONTENT_PUBLIC_ONLY, tous les utilisateurs disposant de l'autorisation CERTIFICATE_BUNDLE_READ peuvent effectuer cette opération.

Si certificateBundleType est réglé à CERTIFICATE_CONTENT_WITH_PRIVATE_KEY, vous avez besoin d'un énoncé de politique pour le groupe qui inclut la variable target.leaf-certificate.bundle-type réglée à CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.

aucune
use

READ +

aucun accès supplémentaire

aucune

aucune
manage

USE+

aucun accès supplémentaire

aucune

CancelCertificateAuthorityVersionDeletion (requiert également use certificate-authorities)

ScheduleCertificateAuthorityVersionDeletion (requiert également use certificate-authorities)

RevokeCertificateAuthorityVersion (requiert également use certificate-authorities)
certificate-authority-bundles
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

CERTIFICATE_AUTHORITY_BUNDLE_INSPECT

 ListCertificateAuthorityBundleVersions

aucune
read

INSPECT +

CERTIFICATE_AUTHORITY_BUNDLE_READ

INSPECT +

GetCertificateAuthorityBundle

aucune
use

READ +

aucun accès supplémentaire

aucune

 

aucune
manage

USE +

aucun accès supplémentaire

aucune

aucune
cabundles
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

CABUNDLE_INSPECT

 ListCaBundles

aucune
read

INSPECT +

CABUNDLE_READ

INSPECT +

GetCaBundle

aucune
use

READ +

CABUNDLE_UPDATE

READ+

UpdateCaBundle

 

aucune
manage

USE +

CABUNDLE_CREATE

CABUNDLE_DELETE

CABUNDLE_MOVE

USE +

CreateCaBundle

DeleteCaBundle

ChangeCaBundleCompartment

aucune
certificate-authority-delegates
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

aucune

aucune

aucune
read

aucun accès supplémentaire

aucune

aucune
use

READ +

CERTIFICATE_AUTHORITY_APPLY

aucune

 

UpdateCertificateAuthority (requiert également use certificate-authorities)
manage

USE +

aucun accès supplémentaire

aucune

aucune
certificate-associations
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

CERTIFICATE_ASSOCIATION_INSPECT

 ListAssociations

aucune
read

INSPECT +

CERTIFICATE_ASSOCIATION_READ

INSPECT +

GetAssociation

aucune
use

READ +

aucun accès supplémentaire

aucune

aucune
manage

USE +

CERTIFICATE_ASSOCIATION_CREATE

CERTIFICATE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

aucune
certificate-authority-associations
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT

 ListAssociations

aucune
read

INSPECT +

CERTIFICATE_AUTHORITY_ASSOCIATION_READ

INSPECT +

GetAssociation

aucune
use

READ +

aucun accès supplémentaire

aucune

 

aucune
manage

USE +

CERTIFICATE_AUTHORITY_ASSOCIATION_CREATE

CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

aucune
cabundle-associations
Verbes Autorisations API entièrement couvertes API partiellement couvertes
inspect

CABUNDLE_ASSOCIATION_INSPECT

 ListAssociations

aucune
read

INSPECT +

CABUNDLE_ASSOCIATION_READ

INSPECT +

GetAssociation

aucune
use

READ +

aucun accès supplémentaire

aucune

aucune
manage

USE +

CABUNDLE_ASSOCIATION_CREATE

CABUNDLE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

aucune

Autorisations requises pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les autorisations, voir Autorisations.

Opération d'API Autorisations requises pour utiliser l'opération
ListCertificateAuthorities CERTIFICATE_AUTHORITY_INSPECT
GetCertificateAuthority CERTIFICATE_AUTHORITY_READ
CreateCertificateAuthority CERTIFICATE_AUTHORITY_CREATE et CERTIFICATE_AUTHORITY_APPLY
UpdateCertificateAuthority CERTIFICATE_AUTHORITY_UPDATE et CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateAuthorityCompartment CERTIFICATE_AUTHORITY_MOVE
ScheduleCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
CancelCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
ListCertificateAuthorityVersions CERTIFICATE_AUTHORITY_VERSION_INSPECT
GetCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_READ
RevokeCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_REVOKE, CERTIFICATE_AUTHORITY_UPDATE et CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE et CERTIFICATE_AUTHORITY_UPDATE
CancelCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE et CERTIFICATE_AUTHORITY_UPDATE
ListCertificateAuthorityBundleVersions CERTIFICATE_AUTHORITY_BUNDLE_INSPECT
GetCertificateAuthorityBundle CERTIFICATE_AUTHORITY_BUNDLE_READ
ListCertificates CERTIFICATE_INSPECT
GetCertificate CERTIFICATE_READ
CreateCertificate CERTIFICATE_CREATE et CERTIFICATE_AUTHORITY_APPLY
UpdateCertificate CERTIFICATE_UPDATE et CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateCompartment CERTIFICATE_MOVE
ScheduleCertificateDeletion CERTIFICATE_DELETE
CancelCertificateDeletion CERTIFICATE_DELETE
ListCertificateVersions CERTIFICATE_VERSION_INSPECT
GetCertificateVersion CERTIFICATE_VERSION_READ
RevokeCertificateVersion CERTIFICATE_VERSION_REVOKE, CERTIFICATE_UPDATE et CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateVersionDeletion CERTIFICATE_VERSION_DELETE et CERTIFICATE_UPDATE
CancelCertificateVersionDeletion CERTIFICATE_VERSION_DELETE et CERTIFICATE_UPDATE
ListCertificateBundleVersions CERTIFICATE_BUNDLE_INSPECT
GetCertificateBundle CERTIFICATE_BUNDLE_READ

Pour plus de détails, voir leaf-certificate-bundles.
ListCaBundles CABUNDLE_INSPECT
GetCaBundle CABUNDLE_READ
CreateCaBundle CABUNDLE_CREATE
UpdateCaBundle CABUNDLE_UPDATE
ChangeCaBundleCompartment CABUNDLE_MOVE
DeleteCaBundle CABUNDLE_DELETE
ListAssociations CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (pour certificate-authorities), CERTIFICATE_ASSOCIATION_INSPECT (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_INSPECT (pour cabundles)
GetAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_READ (pour certificate-authorities), CERTIFICATE_ASSOCIATION_READ (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_READ (pour cabundles)
DeleteAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (pour certificate-authorities), CERTIFICATE_ASSOCIATION_DELETE (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_DELETE (pour cabundles)