Documentation Oracle Cloud Infrastructure

Détails du service Certificates

Découvrez les détails relatifs aux droits d'accès pour le service Certificates afin d'écrire des stratégies permettant de contrôler l'accès à ses ressources.

Cette rubrique traite des détails relatifs au service Certificats concernant les types de ressource pour lesquels vous pouvez octroyer des droits d'accès, les variables spéciales que vous pouvez utiliser lors de l'ajout de conditions à une stratégie, la hiérarchie des droits d'accès et des opérations d'API couverts par chaque verbe pour chaque type de ressource, ainsi que les droits d'accès pour chaque opération d'API.

Types individuels de ressource

Les types individuels de ressource permettent d'écrire des instructions de stratégie dont la portée est définie sur un type spécifique et aucun autre.

leaf-certificates

leaf-certificate-versions

leaf-certificate-bundles

certificate-authorities

certificate-authority-versions

certificate-authority-bundles

certificate-authority-delegates

cabundles

certificate-associations

certificate-authority-associations

cabundle-associations

Types agrégés de ressource

Les types agrégés de ressource permettent d'écrire des instructions de stratégie dont la portée s'étend au-delà d'un type individuel de ressource, à tous les types couverts par le type agrégé de ressource.

leaf-certificate-family

certificate-authority-family

Une stratégie qui utilise <verb> leaf-certificate-family équivaut à écrire une stratégie avec une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource de certificat suivant : leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations et cabundle-associations.

Une stratégie qui utilise <verb> certificate-authority-family équivaut à une stratégie comportant une instruction <verb> <individual resource-type> distincte pour chaque type individuel de ressource de certificat et d'autorité de certification : certificate-authorities, certificate-authority-versions, certificate-authority-bundles, certificate-authority-delegates, leaf-certificates, leaf-certificate-versions, leaf-certificate-bundles, cabundles, certificate-associations, certificate-authority-associations et cabundle-associations.

Reportez-vous au tableau dans Détails des combinaisons de verbe et de type de ressource afin d'obtenir des détails sur les opérations d'API couvertes par chaque verbe, pour chaque type individuel de ressource inclus dans leaf-certificate-family et certificate-authority-family.

Variables prises en charge

Le service Certificates prend en charge toutes les variables générales, ainsi que celles répertoriées ici. Pour plus d'informations sur les variables générales prises en charge par les services Oracle Cloud Infrastructure, reportez-vous à Variables générales pour toutes les demandes.

Type de ressource pour les opérations Variables pouvant être utilisées Type de variable Commentaires
certificate-authorities target.certificate-authority.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une autorité de certification en fonction de son OCID. (Vous ne pouvez pas utiliser cette variable lors de la création d'une autorité de certification, car celle-ci n'existe pas encore, et ne dispose donc pas d'un OCID.)
target.certificate-authority.name Chaîne Utilisez cette variable pour limiter l'accès à un nom d'autorité de certification spécifique.
target.certificate-authority.subject Chaîne Utilisez cette variable pour contrôler l'accès à une autorité de certification en fonction de son sujet.
target.certificate-authority.type Chaîne Utilisez cette variable pour limiter l'accès aux autorités de certification d'un certain type. Les types d'autorité de certification sont ROOT_CA et SUBORDINATE_CA.
target.issuer-certificate-authority.id Chaîne Utilisez cette variable pour limiter l'accès aux autorités de certification en fonction de l'OCID de l'autorité de certification de l'émetteur.
certificate-authority-versions target.certificate-authority.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une version d'autorité de certification en fonction de l'OCID de l'autorité de certification.
target.certificate-authority.name Chaîne Utilisez cette variable pour contrôler l'accès à une version CA en fonction du nom de l'autorité de certification.
certificate-authority-bundles target.certificate-authority.id Entité (OCID) Utilisez cette variable pour contrôler l'accès au package d'une autorité de certification en fonction de l'OCID de l'autorité de certification du package.
target.certificate-authority.name Chaîne Utilisez cette variable pour contrôler l'accès au package d'une autorité de certification en fonction du nom de l'autorité de certification du package.
certificate-authority-associations target.association.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID de l'association. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association d'autorité de certification car celle-ci n'existe pas encore, et ne dispose donc pas d'un OCID.)
target.association.name Chaîne Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction du nom de l'association.
target.association.resourceid Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID de la ressource configurée dans l'association.
target.leaf-certificate.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction de l'OCID du certificat configuré dans l'association.
target.leaf-certificate.name Chaîne Utilisez cette variable pour contrôler l'accès à une association d'autorité de certification en fonction du nom du certificat configuré dans l'association.
certificate-authority-delegates target.certificate-authority.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction de l'OCID de l'autorité de certification.
target.certificate-authority.name Chaîne Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction du nom de l'autorité de certification.
target.issuer-certificate-authority.id Chaîne Utilisez cette variable pour contrôler l'accès à un délégué d'autorité de certification en fonction de l'OCID de l'autorité de certification de l'émetteur.
target.resource.type Chaîne Utilisez cette variable pour contrôler l'accès aux délégués d'autorité de certification en fonction du type de ressource du délégué, que la ressource soit de type leaf-certificate, certificate-authority ou cabundle.
leaf-certificates target.leaf-certificate.allow-wildcard Chaîne Utilisez cette variable pour contrôler l'accès à un certificat en fonction de la présence d'un caractère générique dans le nom commun ou le nom de sujet alternatif du certificat.
target.leaf-certificate.alt-subject Liste Utilisez cette variable pour contrôler l'accès à un certificat en fonction de son nom de sujet alternatif.
target.leaf-certificate.alt-subject-size Chaîne Utilisez cette variable pour contrôler l'accès à un certificat en fonction du nombre de noms de sujet alternatifs.
target.leaf-certificate.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à un certificat en fonction de son OCID. (Vous ne pouvez pas utiliser cette variable lors de la création d'un certificat car celui-ci n'existe pas encore, et ne dispose donc pas d'un OCID.)
target.leaf-certificate.name Chaîne Utilisez cette variable pour contrôler l'accès à un certificat en fonction de son nom.
target.issuer-certificate-authority.id Chaîne Utilisez cette variable pour contrôler l'accès à un certificat en fonction de l'OCID de l'autorité de certification de l'émetteur.
target.leaf-certificate.profile-type Chaîne Utilisez cette variable pour contrôler l'accès aux certificats en fonction du type de profil de certificat. Les types de profil de certificat sont TLS_SERVER_OR_CLIENT, TLS_SERVER, TLS_CLIENT et TLS_CODE_SIGN.
target.leaf-certificate.subject Chaîne Utilisez cette variable pour contrôler l'accès aux certificats en fonction de leur sujet.
target.leaf-certificate.type Chaîne Utilisez cette variable pour contrôler l'accès aux certificats en fonction de la manière dont ils ont été créés. Les types de configuration de certificat sont MANAGED_EXTERNALLY_ISSUED_BY_INTERNAL_CA, ISSUED_BY_INTERNAL_CA et IMPORTED.
leaf-certificate-versions target.leaf-certificate.id Entité (OCID) Utilisez cette variable pour contrôler l'accès aux versions de certificat en fonction de l'OCID du certificat. Utilisez cette variable pour déterminer si des volumes de blocs ou des buckets peuvent être créés sans clé de cryptage maître Vault.
target.leaf-certificate.name Chaîne Utilisez cette variable pour contrôler l'accès aux versions de certificat en fonction du nom du certificat.
leaf-certificate-bundles target.leaf-certificate.id Entité (OCID) Utilisez cette variable pour contrôler l'accès aux groupes de certificats en fonction de l'OCID du certificat.
target.leaf-certificate.name Chaîne Utilisez cette variable pour contrôler l'accès aux groupes de certificats en fonction du nom du certificat.
target.leaf-certificate.bundle-type Chaîne Utilisez cette variable pour contrôler l'accès à un groupe de certificats en fonction de son type. Les types de groupe de certificats sont CERTIFICATE_CONTENT_PUBLIC_ONLY et CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.
certificate-associations target.association.id Entité (OCID) Utilisez cette variable pour contrôler l'accès aux associations de certificat en fonction de l'OCID de l'association. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association de certificat car celle-ci n'existe pas encore, et ne dispose donc pas d'un OCID.)
target.association.name Chaîne Utilisez cette variable pour contrôler l'accès aux groupes de certificats en fonction du nom de l'association de groupe de certificats.
target.association.resourceid Entité (OCID) Utilisez cette variable pour contrôler l'accès aux groupes de certificats en fonction de l'OCID de la ressource ciblée dans l'association de groupe de certificats.
target.leaf-certificate.id Entité (OCID) Utilisez cette variable pour contrôler l'accès aux associations de certificat en fonction de l'OCID du certificat.
target.leaf-certificate.name Chaîne Utilisez cette variable pour contrôler l'accès aux associations de certificat en fonction du nom du certificat.
cabundles target.cabundle.id Entité (OCID) Utilisez cette variable pour contrôler l'accès aux packages d'autorité de certification en fonction de l'OCID du package d'autorité de certification. (Vous ne pouvez pas utiliser cette variable lors de la création d'un package d'autorité de certification car celui-ci n'existe pas encore, et ne dispose donc pas d'un OCID.)
target.cabundle.name Chaîne Utilisez cette variable pour contrôler l'accès aux packages d'autorité de certification en fonction du nom du package d'autorité de certification.
cabundle-associations target.association.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association de package d'autorité de certification en fonction de l'OCID de l'association de package.
target.association.name Chaîne Utilisez cette variable pour contrôler l'accès à une association de package d'autorité de certification en fonction du nom de l'association de package. (Vous ne pouvez pas utiliser cette variable lors de la création d'une association de package d'autorité de certification car celle-ci n'existe pas encore, et ne dispose donc pas d'un OCID.)
target.association.resourceid Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association de package d'autorité de certification en fonction de l'OCID de la ressource configurée dans l'association.
target.cabundle.id Entité (OCID) Utilisez cette variable pour contrôler l'accès à une association de package d'autorité de certification en fonction de l'OCID du package.
target.cabundle.name Chaîne Utilisez cette variable pour contrôler l'accès à une association de package d'autorité de certification en fonction du nom du package.

Détails des combinaisons de verbe et de type de ressource

Découvrez l'accès incrémentiel octroyé par chaque verbe pour chaque type de ressource afin de pouvoir écrire des stratégies qui n'accordent que l'accès requis et rien d'autre.

Les tableaux suivants indiquent les droits d'accès et les opérations d'API couverts par chaque verbe. Le niveau d'accès est cumulatif à mesure que vous passez d'un verbe à l'autre de la façon suivante :inspect > read > use > manage. La présence d'un signe plus (+) dans une cellule du tableau indique un accès incrémentiel par rapport à la cellule située directement au-dessus, tandis que la mention "aucun élément supplémentaire" indique l'absence d'accès incrémentiel.

Par exemple, le verbe use pour le type de ressource cabundles inclut les mêmes droits d'accès et opérations d'API que le verbe read, plus le droit d'accès CABUNDLE_UPDATE et l'opération d'API UpdateCaBundle. Le verbe manage offre davantage de droits d'accès et d'opérations d'API que le verbe use.

leaf-certificates
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CERTIFICATE_INSPECT

 ListCertificates

aucun
read

INSPECT +

CERTIFICATE_READ

INSPECT +

GetCertificate

aucun
use

READ +

CERTIFICATE_UPDATE

aucun élément supplémentaire

 

RevokeCertificateVersion (requiert également manage leaf-certificate-versions et use certificate-authority-delegates, ainsi qu'un droit d'accès update buckets sur le bucket associé à la version de certificat et les droits d'accès use certificate-authorities pour l'autorité de certification de l'émetteur)

CancelCertificateVersionDeletion (requiert également un droit d'accès delete leaf-certificate-versions)

ScheduleCertificateVersionDeletion (requiert également un droit d'accès delete leaf-certificate-versions)

UpdateCertificate (requiert également les droits d'accès use certificate-authority-delegates, sauf avec les certificats importés, ainsi qu'un droit d'accès update buckets sur le bucket associé à la version de certificat, un droit d'accès use sur l'autorité de certification de l'émetteur et un droit d'accès use keys)
manage

USE +

CERTIFICATE_CREATE

CERTIFICATE_DELETE

CERTIFICATE_MOVE

USE +

CancelCertificateDeletion

ScheduleCertificateDeletion

ChangeCertificateCompartment

CreateCertificate (requiert également les droits d'accès use certificate-authority-delegates, sauf lors de l'import d'un certificat, ainsi qu'un droit d'accès update buckets sur le bucket associé à la version de certificat, un droit d'accès use keys et les droits d'accès use certificate-authorities sur l'autorité de certification de l'émetteur, sauf lors de l'import d'un certificat)
leaf-certificate-versions
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CERTIFICATE_VERSION_INSPECT

 ListCertificateVersions

aucun
read

INSPECT +

CERTIFICATE_VERSION_READ

INSPECT +

GetCertificateVersion

aucun
use

READ +

aucun élément supplémentaire

aucun

aucun
manage

USE +

CERTIFICATE_VERSION_REVOKE

CERTIFICATE_VERSION_DELETE

aucun

RevokeCertificateVersion (requiert également use leaf-certificates et use certificate-authority-delegates)

CancelCertificateVersionDeletion (requiert également use leaf-certificates)

ScheduleCertificateVersionDeletion (requiert également use leaf-certificates)
certificate-authorities
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CERTIFICATE_AUTHORITY_INSPECT

 ListCertificateAuthorities

aucun
read

INSPECT +

CERTIFICATE_AUTHORITY_READ

INSPECT +

GetCertificateAuthority

aucun
use

READ +

CERTIFICATE_AUTHORITY_UPDATE

aucun élément supplémentaire

UpdateCertificateAuthority (requiert également use certificate-authority-delegates)
manage

USE +

CERTIFICATE_AUTHORITY_CREATE

CERTIFICATE_AUTHORITY_DELETE

CERTIFICATE_AUTHORITY_MOVE

USE +

CancelCertificateAuthorityDeletion

ScheduleCertificateAuthorityDeletion

ChangeCertificateAuthorityCompartment

CreateCertificateAuthority (requiert également use certificate-authority-delegates)
certificate-authority-versions
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CERTIFICATE_AUTHORITY_VERSION_INSPECT

 ListCertificateAuthorityVersions

aucun
read

INSPECT +

CERTIFICATE_AUTHORITY_VERSION_READ

INSPECT +

GetCertificateAuthorityVersion

aucun
use

READ +

aucun élément supplémentaire

aucun

aucun
manage

USE +

CERTIFICATE_AUTHORITY_VERSION_DELETE

CERTIFICATE_AUTHORITY_VERSION_REVOKE

aucun

CancelCertificateAuthorityVersionDeletion (requiert également use certificate-authorities)

ScheduleCertificateAuthorityVersionDeletion (requiert également use certificate-authorities)

RevokeCertificateAuthorityVersion (requiert également use certificate-authorities)
leaf-certificate-bundles
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CERTIFICATE_BUNDLE_INSPECT

 ListCertificateBundleVersions

aucun
read

INSPECT +

CERTIFICATE_BUNDLE_READ

INSPECT +

GetCertificateBundle

Remarque : le droit d'accès requis pour cette opération dépend du paramètre de requête certificateBundleType.

Si certificateBundleType est défini sur CERTIFICATE_CONTENT_PUBLIC_ONLY, tous les utilisateurs disposant du droit d'accès CERTIFICATE_BUNDLE_READ peuvent effectuer cette opération.

Si certificateBundleType est défini sur CERTIFICATE_CONTENT_WITH_PRIVATE_KEY, vous avez besoin d'une instruction de stratégie pour le groupe qui inclut la variable target.leaf-certificate.bundle-type définie sur CERTIFICATE_CONTENT_WITH_PRIVATE_KEY.

aucun
use

READ +

aucun élément supplémentaire

aucun

aucun
manage

USE +

aucun élément supplémentaire

aucun

CancelCertificateAuthorityVersionDeletion (requiert également use certificate-authorities)

ScheduleCertificateAuthorityVersionDeletion (requiert également use certificate-authorities)

RevokeCertificateAuthorityVersion (requiert également use certificate-authorities)
certificate-authority-bundles
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CERTIFICATE_AUTHORITY_BUNDLE_INSPECT

 ListCertificateAuthorityBundleVersions

aucun
read

INSPECT +

CERTIFICATE_AUTHORITY_BUNDLE_READ

INSPECT +

GetCertificateAuthorityBundle

aucun
use

READ +

aucun élément supplémentaire

aucun

 

aucun
manage

USE +

aucun élément supplémentaire

aucun

aucun
cabundles
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CABUNDLE_INSPECT

 ListCaBundles

aucun
read

INSPECT +

CABUNDLE_READ

INSPECT +

GetCaBundle

aucun
use

READ +

CABUNDLE_UPDATE

READ +

UpdateCaBundle

 

aucun
manage

USE +

CABUNDLE_CREATE

CABUNDLE_DELETE

CABUNDLE_MOVE

USE +

CreateCaBundle

DeleteCaBundle

ChangeCaBundleCompartment

aucun
certificate-authority-delegates
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

aucun

aucun

aucun
read

aucun élément supplémentaire

aucun

aucun
use

READ +

CERTIFICATE_AUTHORITY_APPLY

aucun

 

UpdateCertificateAuthority (requiert également use certificate-authorities)
manage

USE +

aucun élément supplémentaire

aucun

aucun
certificate-associations
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CERTIFICATE_ASSOCIATION_INSPECT

 ListAssociations

aucun
read

INSPECT +

CERTIFICATE_ASSOCIATION_READ

INSPECT +

GetAssociation

aucun
use

READ +

aucun élément supplémentaire

aucun

aucun
manage

USE +

CERTIFICATE_ASSOCIATION_CREATE

CERTIFICATE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

aucun
certificate-authority-associations
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT

 ListAssociations

aucun
read

INSPECT +

CERTIFICATE_AUTHORITY_ASSOCIATION_READ

INSPECT +

GetAssociation

aucun
use

READ +

aucun élément supplémentaire

aucun

 

aucun
manage

USE +

CERTIFICATE_AUTHORITY_ASSOCIATION_CREATE

CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

aucun
cabundle-associations
Verbes Droits d'accès API complètement couvertes API partiellement couvertes
inspect

CABUNDLE_ASSOCIATION_INSPECT

 ListAssociations

aucun
read

INSPECT +

CABUNDLE_ASSOCIATION_READ

INSPECT +

GetAssociation

aucun
use

READ +

aucun élément supplémentaire

aucun

aucun
manage

USE +

CABUNDLE_ASSOCIATION_CREATE

CABUNDLE_ASSOCIATION_DELETE

USE +

CreateAssociation

DeleteAssociation

aucun

Droits d'accès requis pour chaque opération d'API

Le tableau suivant répertorie les opérations d'API dans un ordre logique, regroupées par type de ressource.

Pour plus d'informations sur les droits d'accès, reportez-vous à Droits d'accès.

Opération d'API Droits d'accès requis pour utiliser l'opération
ListCertificateAuthorities CERTIFICATE_AUTHORITY_INSPECT
GetCertificateAuthority CERTIFICATE_AUTHORITY_READ
CreateCertificateAuthority CERTIFICATE_AUTHORITY_CREATE et CERTIFICATE_AUTHORITY_APPLY
UpdateCertificateAuthority CERTIFICATE_AUTHORITY_UPDATE et CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateAuthorityCompartment CERTIFICATE_AUTHORITY_MOVE
ScheduleCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
CancelCertificateAuthorityDeletion CERTIFICATE_AUTHORITY_DELETE
ListCertificateAuthorityVersions CERTIFICATE_AUTHORITY_VERSION_INSPECT
GetCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_READ
RevokeCertificateAuthorityVersion CERTIFICATE_AUTHORITY_VERSION_REVOKE, CERTIFICATE_AUTHORITY_UPDATE et CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE et CERTIFICATE_AUTHORITY_UPDATE
CancelCertificateAuthorityVersionDeletion CERTIFICATE_AUTHORITY_VERSION_DELETE et CERTIFICATE_AUTHORITY_UPDATE
ListCertificateAuthorityBundleVersions CERTIFICATE_AUTHORITY_BUNDLE_INSPECT
GetCertificateAuthorityBundle CERTIFICATE_AUTHORITY_BUNDLE_READ
ListCertificates CERTIFICATE_INSPECT
GetCertificate CERTIFICATE_READ
CreateCertificate CERTIFICATE_CREATE et CERTIFICATE_AUTHORITY_APPLY
UpdateCertificate CERTIFICATE_UPDATE et CERTIFICATE_AUTHORITY_APPLY
ChangeCertificateCompartment CERTIFICATE_MOVE
ScheduleCertificateDeletion CERTIFICATE_DELETE
CancelCertificateDeletion CERTIFICATE_DELETE
ListCertificateVersions CERTIFICATE_VERSION_INSPECT
GetCertificateVersion CERTIFICATE_VERSION_READ
RevokeCertificateVersion CERTIFICATE_VERSION_REVOKE, CERTIFICATE_UPDATE et CERTIFICATE_AUTHORITY_APPLY
ScheduleCertificateVersionDeletion CERTIFICATE_VERSION_DELETE et CERTIFICATE_UPDATE
CancelCertificateVersionDeletion CERTIFICATE_VERSION_DELETE et CERTIFICATE_UPDATE
ListCertificateBundleVersions CERTIFICATE_BUNDLE_INSPECT
GetCertificateBundle CERTIFICATE_BUNDLE_READ
ListCaBundles CABUNDLE_INSPECT
GetCaBundle CABUNDLE_READ
CreateCaBundle CABUNDLE_CREATE
UpdateCaBundle CABUNDLE_UPDATE
ChangeCaBundleCompartment CABUNDLE_MOVE
DeleteCaBundle CABUNDLE_DELETE
ListAssociations CERTIFICATE_AUTHORITY_ASSOCIATION_INSPECT (pour certificate-authorities), CERTIFICATE_ASSOCIATION_INSPECT (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_INSPECT (pour cabundles)
GetAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_READ (pour certificate-authorities), CERTIFICATE_ASSOCIATION_READ (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_READ (pour cabundles)
DeleteAssociation CERTIFICATE_AUTHORITY_ASSOCIATION_DELETE (pour certificate-authorities), CERTIFICATE_ASSOCIATION_DELETE (pour leaf-certificates) ou CABUNDLE_ASSOCIATION_DELETE (pour cabundles)