Documentazione dell'infrastruttura Oracle Cloud

Dettagli per il servizio certificati

Informazioni sui dettagli delle autorizzazioni per il servizio Certificati in modo da poter scrivere criteri per controllare l'accesso alle relative risorse.

In questo argomento vengono descritti i dettagli del servizio Certificati relativi ai tipi di risorse a cui è possibile concedere le autorizzazioni, le variabili speciali che è possibile utilizzare quando si aggiungono condizioni a un criterio, la gerarchia delle autorizzazioni e le operazioni API coperte da ciascun verbo per ogni tipo di risorsa e le autorizzazioni per ogni operazione API.

Risorse singole - Tipi

I singoli tipi di risorsa consentono di scrivere istruzioni dei criteri con ambito a un tipo di risorsa specifico e nessun altro.

leaf-certificates

leaf-certificate-versions

leaf-certificate-bundles

certificate-authorities

certificate-authority-versions

certificate-authority-bundles

certificate-authority-delegates

cabundles

certificate-associations

certificate-authority-associations

cabundle-associations

Tipi di risorsa aggregati

I tipi di risorsa aggregati consentono di scrivere istruzioni dei criteri con un ambito che si estende oltre un singolo tipo di risorsa a tutti i tipi di risorsa coperti dal tipo di risorsa aggregato.

leaf-certificate-family

certificate-authority-family

Un criterio che utilizza <verb> leaf-certificate-family equivale a scriverne uno con un'istruzione <verb> <individual resource-type> separata per ciascuno dei seguenti tipi di risorse del certificato: leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations e cabundle-associations.

A policy that uses <verb> certificate-authority-family is equivalent to writing one with a separate <verb> <individual resource-type> statement for each of the following individual certificate authority (CA) and certificate resource-types: certificate-authorities, certificate-authority-versions, certificate-authority-bundles, certificate-authority-delegates, leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations, certificate-authority-associations, and cabundle-associations.

Per i dettagli delle operazioni API coperte da ciascun verbo, vedere la tabella in Dettagli per le combinazioni di verbi + tipi di risorsa per ogni singolo tipo di risorsa incluso in leaf-certificate-family e certificate-authority-family.

Variabili supportate

Certificates supporta tutte le variabili generali, più quelle elencate qui. Per ulteriori informazioni sulle variabili generali supportate dai servizi Oracle Cloud Infrastructure, vedere Variabili generali per tutte le richieste.

Operazioni per questo tipo di risorsa... È possibile utilizzare queste variabili... Tipo di variabile commenti
autorità-certificato target.certificate-authority.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a un'autorità di certificazione (CA) in base all'OCID della CA. Non è possibile utilizzare questa variabile durante la creazione di una CA, poiché la CA non esiste per avere ancora un OCID.
target.certificate-authority.name Stringa Utilizzare questa variabile per limitare l'accesso a un nome CA specifico.
target.certificate-authority.subject Stringa Utilizzare questa variabile per controllare l'accesso a una CA in base all'oggetto CA.
target.certificate-authority.type Stringa Utilizzare questa variabile per limitare l'accesso alle CA di un determinato tipo. I tipi CA includono ROOT_CA e SUBORDINATE_CA.
target.issuer-certificate-authority.id Stringa Utilizzare questa variabile per limitare l'accesso alle CA in base all'OCID della CA emittente.
versioni-autorità-certificato target.certificate-authority.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a una versione CA in base all'OCID della relativa CA.
target.certificate-authority.name Stringa Utilizzare questa variabile per controllare l'accesso a una versione CA in base al nome della CA.
bundle-autorità-certificati target.certificate-authority.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso al bundle di una CA in base all'OCID della CA del bundle.
target.certificate-authority.name Stringa Utilizzare questa variabile per controllare l'accesso al bundle di una CA in base al nome della CA del bundle.
associazioni autorità-certificato target.association.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a un'associazione CA in base all'OCID dell'associazione. Non è possibile utilizzare questa variabile durante la creazione di un'associazione CA, poiché l'associazione non esiste per avere ancora un OCID.
target.association.name Stringa Utilizzare questa variabile per controllare l'accesso a un'associazione CA in base al nome dell'associazione.
target.association.resourceid Entità (OCID) Utilizzare questa variabile per controllare l'accesso a un'associazione CA in base all'OCID della risorsa configurata nell'associazione.
target.leaf-certificate.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a un'associazione CA in base all'OCID del certificato configurato nell'associazione.
target.leaf-certificate.name Stringa Utilizzare questa variabile per controllare l'accesso a un'associazione CA in base al nome del certificato configurato nell'associazione.
certificati-autorità-delegati target.certificate-authority.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a un delegato CA in base all'OCID della CA.
target.certificate-authority.name Stringa Utilizzare questa variabile per controllare l'accesso a un delegato CA in base al nome della CA.
target.issuer-certificate-authority.id Stringa Utilizzare questa variabile per controllare l'accesso a un delegato CA in base all'OCID della CA emittente.
target.resource.type Stringa Utilizzare questa variabile per controllare l'accesso ai delegati CA in base al tipo di risorsa che il delegato è, indipendentemente dal fatto che la risorsa sia leaf-certificate, certificate-authority o cabundle.
certificati foglia target.leaf-certificate.allow-wildcard Stringa Utilizzare questa variabile per controllare l'accesso a un certificato in base al fatto che il nome comune del certificato o il nome alternativo dell'oggetto includa un carattere jolly.
target.leaf-certificate.alt-subject Elenco Utilizzare questa variabile per controllare l'accesso a un certificato in base al nome alternativo dell'oggetto del certificato.
target.leaf-certificate.alt-subject-size Stringa Utilizzare questa variabile per controllare l'accesso a un certificato in base al numero di nomi alternativi dell'oggetto certificato.
target.leaf-certificate.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a un certificato in base all'OCID del certificato. Non è possibile utilizzare questa variabile durante la creazione di un certificato, in quanto il certificato non esiste ancora per avere un OCID.
target.leaf-certificate.name Stringa Utilizzare questa variabile per controllare l'accesso a un certificato in base al nome del certificato.
target.issuer-certificate-authority.id Stringa Utilizzare questa variabile per controllare l'accesso a un certificato basato sull'OCID della CA emittente.
target.leaf-certificate.profile-type Stringa Utilizzare questa variabile per controllare l'accesso ai certificati in base al tipo di profilo del certificato. I tipi di profilo del certificato includono TLS_SERVER_OR_CLIENT, TLS_SERVER, TLS_CLIENT e TLS_CODE_SIGN.
target.leaf-certificate.subject Stringa Utilizzare questa variabile per controllare l'accesso ai certificati in base all'oggetto del certificato.
target.leaf-certificate.type Stringa Utilizzare questa variabile per controllare l'accesso ai certificati in base al modo in cui è stato creato il certificato. I tipi di configurazione del certificato includono MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA, ISSUED_BY_INTERNAL_CA o IMPORTED.
versioni certificato-foglia target.leaf-certificate.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso alle versioni del certificato in base all'OCID del certificato. Utilizzare questa variabile per controllare se è possibile creare volumi a blocchi o bucket senza una chiave di cifratura master del vault.
target.leaf-certificate.name Stringa Utilizzare questa variabile per controllare l'accesso alle versioni del certificato in base al nome del certificato.
foglia-certificato-bundle target.leaf-certificate.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso ai bundle di certificati in base all'OCID del certificato.
target.leaf-certificate.name Stringa Utilizzare questa variabile per controllare l'accesso ai bundle di certificati in base al nome del certificato.
target.leaf-certificate.bundle-type Stringa Utilizzare questa variabile per controllare l'accesso a un bundle di certificati in base al tipo di bundle di certificati. I tipi di bundle di certificati includono CERTIFICATE_CONTENT_PUBLIC_ONLY e CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.
associazioni di certificati target.association.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso alle associazioni di certificati in base all'OCID dell'associazione. Non è possibile utilizzare questa variabile durante la creazione di un'associazione di certificati, poiché l'associazione non esiste per avere ancora un OCID.
target.association.name Stringa Utilizzare questa variabile per controllare l'accesso ai bundle di certificati in base al nome dell'associazione del bundle di certificati.
target.association.resourceid Entità (OCID) Utilizzare questa variabile per controllare l'accesso ai bundle di certificati in base all'OCID della risorsa di destinazione nell'associazione del bundle di certificati.
target.leaf-certificate.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso alle associazioni di certificati in base all'OCID del certificato.
target.leaf-certificate.name Stringa Utilizzare questa variabile per controllare l'accesso alle associazioni di certificati in base al nome del certificato.
cablaggi target.cabundle.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso ai bundle CA in base all'OCID del bundle CA. Non è possibile utilizzare questa variabile durante la creazione di un bundle CA, poiché il bundle CA non esiste per avere ancora un OCID.
target.cabundle.name Stringa Utilizzare questa variabile per controllare l'accesso ai bundle CA in base al nome del bundle CA.
associazioni di cabundle target.association.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a un'associazione di bundle CA in base all'OCID dell'associazione di bundle.
target.association.name Stringa Utilizzare questa variabile per controllare l'accesso a un'associazione di bundle CA in base al nome dell'associazione di bundle. Non è possibile utilizzare questa variabile durante la creazione di un'associazione di bundle CA, poiché l'associazione non esiste ancora per avere un OCID.
target.association.resourceid Entità (OCID) Utilizzare questa variabile per controllare l'accesso a un'associazione di bundle CA in base all'OCID della risorsa configurata nell'associazione.
target.cabundle.id Entità (OCID) Utilizzare questa variabile per controllare l'accesso a un'associazione di bundle CA in base all'OCID del bundle.
target.cabundle.name Stringa Utilizzare questa variabile per controllare l'accesso a un'associazione di bundle CA in base al nome del bundle.

Dettagli per le combinazioni verbo-tipo di risorsa

Comprendere l'accesso incrementale concesso da ciascun verbo per ogni tipo di risorsa in modo da poter scrivere criteri che concedono solo l'accesso richiesto e nient'altro.

Le tabelle seguenti mostrano le operazioni autorizzazioni e API coperte da ciascun verbo. Il livello di accesso è cumulativo come si va da inspect > read > use > manage. Un segno più (+) in una cella di tabella indica l'accesso incrementale rispetto alla cella direttamente sopra di essa, mentre "no extra" indica l'assenza di accesso incrementale.

Ad esempio, il verbo use per il tipo di risorsa cabundles include le stesse autorizzazioni e le stesse operazioni API del verbo read, oltre all'autorizzazione CABUNDLE_UPDATE e all'operazione API UpdateCaBundle. Il verbo manage consente ancora più autorizzazioni e operazioni API rispetto al verbo use.

leaf-certificates
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CERTIFICATE_INSPECT

 ListCertificates

nessuno
leggi

ISPEZIONA +

CERTIFICATE_READ

ISPEZIONA +

GetCertificate

nessuno
usa

LEGGI +

CERTIFICATE_UPDATE

nessun extra

RevokeCertificateVersion (è necessario anche manage leaf-certificate-versions e use certificate-authority-delegates, nonché l'autorizzazione per update buckets nel bucket associato alla versione del certificato e le autorizzazioni use certificate-authorities per la CA emittente)

CancelCertificateVersionDeletion (è necessaria anche l'autorizzazione per delete leaf-certificate-versions)

ScheduleCertificateVersionDeletion (è necessaria anche l'autorizzazione per delete leaf-certificate-versions)

UpdateCertificate (sono necessarie anche le autorizzazioni use certificate-authority-delegates, ad eccezione dei certificati importati, nonché l'autorizzazione a update buckets nel bucket associato alla versione del certificato, l'autorizzazione a use l'autorità di certificazione dell'emittente e l'autorizzazione a use keys)
gestisci

USE +

CERTIFICATE_CREATE

CERTIFICATE_DELETE

CERTIFICATE_MOVE

USE +

CancelCertificateDeletion

ScheduleCertificateDeletion

ChangeCertificateCompartment

CreateCertificate (sono necessarie anche le autorizzazioni use certificate-authority-delegates, tranne quando si importa un certificato, nonché l'autorizzazione per update buckets nel bucket associato alla versione del certificato, l'autorizzazione per use keys e le autorizzazioni use certificate-authorities per l'autorità di certificazione dell'emittente, tranne quando si importa un certificato)
leaf-certificate-versions
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CERTIFICATE_VERSION_INSPECT

 ListCertificateVersions

nessuno
leggi

ISPEZIONA +

CERTIFICATE_VERSION_READ

ISPEZIONA +

GetCertificateVersion

nessuno
usa

LEGGI +

nessun extra

nessuno

nessuno
gestisci

USE +

CERTIFICATE_VERSION_REVOKE

CERTIFICATE_VERSION_DELETE

nessuno

RevokeCertificateVersion (ha bisogno anche di use leaf-certificates e use certificate-authority-delegates)

CancelCertificateVersionDeletion (ha anche bisogno di use leaf-certificates)

ScheduleCertificateVersionDeletion (ha anche bisogno di use leaf-certificates)
certificate-authorities
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CERTIFICATE_AUTHORITY_INSPECT

 ListCertificateAuthorities

nessuno
leggi

ISPEZIONA +

CERTIFICATE_AUTHORITY_READ

ISPEZIONA +

GetCertificateAuthority

nessuno
usa

LEGGI +

CERTIFICATE_AUTHORITY_UPDATE

nessun extra

UpdateCertificateAuthority (ha anche bisogno di use certificate-authority-delegates)
gestisci

USE +

CERTIFICATE_AUTHORITY_CREATE

CERTIFICATE_AUTHORITY_DELETE

CERTIFICATE_AUTHORITY_MOVE

USE +

CancelCertificateAuthorityDeletion

ScheduleCertificateAuthorityDeletion

ChangeCertificateAuthorityCompartment

CreateCertificateAuthority (ha anche bisogno di use certificate-authority-delegates)
certificate-authority-versions
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CERTIFICATE_AUTHORITY_VERSION_INSPECT

 ListCertificateAuthorityVersions

nessuno
leggi

ISPEZIONA +

CERTIFICATE_AUTHORITY_VERSION_READ

ISPEZIONA +

GetCertificateAuthorityVersion

nessuno
usa

LEGGI +

nessun extra

nessuno

nessuno
gestisci

USE +

CERTIFICATE_AUTHORITY_VERSION_DELETE

CERTIFICATE_AUTHORITY_VERSION_REVOKE

nessuno

CancelCertificateAuthorityVersionDeletion (ha anche bisogno di use certificate-authorities)

ScheduleCertificateAuthorityVersionDeletion (ha anche bisogno di use certificate-authorities)

RevokeCertificateAuthorityVersion (ha anche bisogno di use certificate-authorities)
leaf-certificate-bundles
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CERTIFICATE_BUNDLE_INSPECT

 ListCertificateBundleVersions

nessuno
leggi

ISPEZIONA +

CERTIFICATE_BUNDLE_READ

ISPEZIONA +

GetCertificateBundle

Nota: l'autorizzazione richiesta per questa operazione dipende dal parametro di query certificateBundleType.

Se certificateBundleType è impostato su CERTIFICATE_CONTENT_PUBLIC_ONLY, tutti gli utenti con l'autorizzazione CERTIFICATE_BUNDLE_READ possono eseguire questa operazione.

Se certificateBundleType è impostato su CERTIFICATE_CONTENT_WITH_PRIVATE_KEY, è necessaria un'istruzione criterio per il gruppo che include la variabile target.leaf-certificate.bundle-type impostata su CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.

nessuno
usa

LEGGI +

nessun extra

nessuno

nessuno
gestisci

USE+

nessun extra

nessuno

CancelCertificateAuthorityVersionDeletion (ha anche bisogno di use certificate-authorities)

ScheduleCertificateAuthorityVersionDeletion (ha anche bisogno di use certificate-authorities)

RevokeCertificateAuthorityVersion (ha anche bisogno di use certificate-authorities)
certificate-authority-bundles
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CERTIFICATE_AUTHORITY_BUNDLE_INSPECT

 ListCertificateAuthorityBundleVersions

nessuno
leggi

ISPEZIONA +

CERTIFICATE_AUTHORITY_BUNDLE_READ

ISPEZIONA +

GetCertificateAuthorityBundle

nessuno
usa

LEGGI +

nessun extra

nessuno

nessuno
gestisci

USE +

nessun extra

nessuno

nessuno
cabundles
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CABUNDLE_INSPECT

 ListCaBundles

nessuno
leggi

ISPEZIONA +

CABUNDLE_READ

ISPEZIONA +

GetCaBundle

nessuno
usa

LEGGI +

CABUNDLE_UPDATE

LEGGI+

UpdateCaBundle

nessuno
gestisci

USE +

CABUNDLE_CREATE

CABUNDLE_DELETE

CABUNDLE_MOVE

USE +

CreateCaBundle

DeleteCaBundle

ChangeCaBundleCompartment

nessuno
certificate-authority-delegates
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

nessuno

nessuno

nessuno
leggi

nessun extra

nessuno

nessuno
usa

LEGGI +

CERTIFICATE_AUTHORITY_APPLY

nessuno

UpdateCertificateAuthority (ha anche bisogno di use certificate-authorities)
gestisci

USE +

nessun extra

nessuno

nessuno
certificate-associations
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CERTIFICATE_ASSOCIATION_INSPECT

 ListAssociations

nessuno
leggi

ISPEZIONA +

CERTIFICATE_ASSOCIATION_READ

ISPEZIONA +

GetAssociation

nessuno
usa

LEGGI +

nessun extra

nessuno

nessuno
gestisci

USE +

CERTIFICATE_ASSOCIATION_CREATE

CERTIFICATE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

nessuno
certificate-authority-associations
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT

 ListAssociations

nessuno
leggi

ISPEZIONA +

CERTIFICATE_AUTHORITY_ASSOCIATION_READ

ISPEZIONA +

GetAssociation

nessuno
usa

LEGGI +

nessun extra

nessuno

nessuno
gestisci

USE +

CERTIFICATE_AUTHORITY_ASSOCIATION_CREATE

CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

nessuno
cabundle-associations
Verbs Autorizzazioni API completamente coperte API parzialmente coperte
ispezionare

CABUNDLE_ASSOCIATION_INSPECT

 ListAssociations

nessuno
leggi

ISPEZIONA +

CABUNDLE_ASSOCIATION_READ

ISPEZIONA +

GetAssociation

nessuno
usa

LEGGI +

nessun extra

nessuno

nessuno
gestisci

USE +

CABUNDLE_ASSOCIATION_CREATE

CABUNDLE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

nessuno

Autorizzazioni necessarie per ogni operazione API

Nella tabella seguente sono elencate le operazioni API in ordine logico, raggruppate per tipo di risorsa.

Per informazioni sulle autorizzazioni, vedere Autorizzazioni.

Operazione API Autorizzazioni necessarie per utilizzare l'operazione
ListCertificateAuthorities CERTIFICATE_AUTHORITY_INSPECT
GetCertificateAuthority CERTIFICATE_AUTHORITY_READ
CreateCertificateAuthority CERTIFICATE_AUTHORITY_CREATE e CERTIFICATE_AUTHORITY_APPLY
UpdateCertificateAuthority CERTIFICATE_AUTHORITY_UPDATE e CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateAuthorityCompartment CERTIFICATE_AUTHORITY_MOVE
ScheduleCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
CancelCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
ListCertificateAuthorityVersions CERTIFICATE_AUTHORITY_VERSION_INSPECT
GetCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_READ
RevokeCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_REVOKE, CERTIFICATE_AUTHORITY_UPDATE e CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE e CERTIFICATE_AUTHORITY_UPDATE
CancelCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE e CERTIFICATE_AUTHORITY_UPDATE
ListCertificateAuthorityBundleVersions CERTIFICATE_AUTHORITY_BUNDLE_INSPECT
GetCertificateAuthorityBundle CERTIFICATE_AUTHORITY_BUNDLE_READ
ListCertificates CERTIFICATE_INSPECT
GetCertificate CERTIFICATE_READ
CreateCertificate CERTIFICATE_CREATE e CERTIFICATE_AUTHORITY_APPLY
UpdateCertificate CERTIFICATE_UPDATE e CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateCompartment CERTIFICATE_MOVE
ScheduleCertificateDeletion CERTIFICATE_DELETE
CancelCertificateDeletion CERTIFICATE_DELETE
ListCertificateVersions CERTIFICATE_VERSION_INSPECT
GetCertificateVersion CERTIFICATE_VERSION_READ
RevokeCertificateVersion CERTIFICATE_VERSION_REVOKE, CERTIFICATE_UPDATE e CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateVersionDeletion CERTIFICATE_VERSION_DELETE e CERTIFICATE_UPDATE
CancelCertificateVersionDeletion CERTIFICATE_VERSION_DELETE e CERTIFICATE_UPDATE
ListCertificateBundleVersions CERTIFICATE_BUNDLE_INSPECT
GetCertificateBundle CERTIFICATE_BUNDLE_READ

Per informazioni dettagliate, vedere bundle-certificati-foglia.
ListCaBundles CABUNDLE_INSPECT
GetCaBundle CABUNDLE_READ
CreateCaBundle CABUNDLE_CREATE
UpdateCaBundle CABUNDLE_UPDATE
ChangeCaBundleCompartment CABUNDLE_MOVE
DeleteCaBundle CABUNDLE_DELETE
ListAssociations CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (per le autorità di certificazione), CERTIFICATE_ASSOCIATION_INSPECT (per i certificati foglia) o CABUNDLE_ASSOCIATION_INSPECT (per le cabine)
GetAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_READ (per le autorità di certificazione), CERTIFICATE_ASSOCIATION_READ (per i certificati foglia) o CABUNDLE_ASSOCIATION_READ (per le cabine)
DeleteAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (per le autorità di certificazione), CERTIFICATE_ASSOCIATION_DELETE (per i certificati foglia) o CABUNDLE_ASSOCIATION_DELETE (per le cabine)