我尝试删除我的 ACM 证书,但收到一个错误,指出该证书正由其他 AWS 资源使用
上次更新日期:2022 年 12 月 15 日
我试图删除 AWS Certificate Manager(ACM)证书。但是,我收到类似于以下信息的错误消息:“证书正在使用中(与其他 AWS 资源关联)且无法删除。请解除此证书与列表中的每个资源的关联,然后重试。”
简短描述
通过部署经过边缘优化的 API 端点,可以借助 Amazon API Gateway 创建 Amazon CloudFront 分配。通过部署区域 API 端点,可以借助 API Gateway 创建 Application Load Balancer。CloudFront 分配或 Application Load Balancer 归 API Gateway 所有,而不是归您的账户所有。为部署 API Gateway 而提供的 ACM 证书与 CloudFront 分配或 Application Load Balancer 关联。
同样,向 Amazon Cognito 用户池添加自定义域将创建 CloudFront 分配。CloudFront 分配归 Amazon Cognito 服务所有,而不是归您的账户所有。创建自定义域时提供的 ACM 证书与 CloudFront 分配相关联。
在 Amazon OpenSearch Service 中定义域的自定义端点会创建应用程序负载均衡器。应用程序负载均衡器归 OpenSearch Service 所有,而不是归您的账户所有。创建自定义端点时提供的 ACM 证书与应用程序负载均衡器相关联。
注意:您可以通过 AWS 命令行界面(AWS CLI)运行 describe-certificate 命令来检查与 ACM 证书关联的资源。
解决方法
删除 ACM 证书与 CloudFront 分配或应用程序负载均衡器的关联。为此,必须替换与自定义域关联的 ACM 证书,或删除自定义域。
重要提示:
- 开始之前,请确保您已安装并配置 AWS CLI。
- 如果在运行 AWS CLI 命令时收到错误,请确保您使用的是最新版本的 AWS CLI。
要删除 ACM 证书的关联,请执行下列操作之一:
- 要替换适用于 API Gateway 的 ACM 证书,请参阅轮换导入到 ACM 的证书。
- 要替换适用于 Amazon Cognito 的 ACM 证书,请参阅更换自定义域的 SSL 证书。
- 要删除适用于 API Gateway 的自定义域名,请运行 AWS 命令 delete-domain-name。
- 要删除适用于 Amazon Cognito 的自定义域名,请运行 AWS 命令 delete-user-pool-domain。
- 要更新 Amazon ES 的 ACM 证书,请参阅为 Amazon OpenSearch Service 创建自定义端点。
然后,删除 ACM 证书。