Warum habe ich beim Aktualisieren meiner CRL-Konfiguration der ACM Private Certificate Authority einen Amazon-S3-GetBucketAcl-Berechtigungsfehler erhalten?

Letzte Aktualisierung: 8.6.2022

Ich habe meine private Zertifizierungsstelle (CA) für AWS Certificate Manager (ACM) aktualisiert, um eine Zertifikatssperrliste (CRL) zu konfigurieren. Es wurde jedoch ein Fehler ähnlich dem folgenden gemeldet:

„Der ACM-Private-Zertifizierungsstellen-Principal 'acm-pca.amazonaws.com' benötigt s3:GetBucketAcl-Berechtigungen.“

Wie kann ich dies beheben?

Kurzbeschreibung

ACM Private CA platziert die CRL in einem Bucket von Amazon Simple Storage Service (Amazon S3), den Sie zur Verwendung festlegen. Ihr Amazon-S3-Bucket muss durch eine angefügte Berechtigungsrichtlinie gesichert sein. Autorisierte Benutzer und Serviceprinzipale benötigen die Berechtigung „Put“, damit ACM Private CA Objekte in den Bucket platzieren kann, und die Get-Berechtigung zum Abrufen dieser Objekte.

Weitere Informationen finden Sie unter Zugriffsrichtlinien für CRLs in Amazon S3.

Auflösung

Folgen Sie diesen Anweisungen, um die standardmäßige Amazon-S3-Richtlinie durch die folgende weniger tolerante Richtlinie zu ersetzen.

Hinweis: Wenn Sie beim Ausführen von Befehlen von AWS Command Line Interface (AWS CLI) Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.

1.    Öffnen Sie die Amazon-S3-Konsole.

2.    Öffnen Sie in der Liste der Buckets den Bucket, in dem Sie die CRL platzieren möchten.

3.    Wählen Sie die Registerkarte Berechtigungen.

4.    Wählen Sie in der Bucket-Richtlinie Bearbeiten aus.

5.    Kopieren Sie unter Richtlinie die folgende Richtlinie, und fügen Sie sie ein:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

Hinweis: Ersetzen Sie den S3-Bucket-Namen, die Konto-ID und den ACM-PCA-ARN durch Ihre Variablen.

6.    Wählen Sie Änderungen speichern.

7.    Folgen Sie den Anweisungen zum Verschlüsseln Ihrer CRLs.

8.    Aktualisieren Sie die CA-Sperrkonfiguration mithilfe des AWS-CLI-Befehls update-certificate-authority ähnlich wie folgt:

$ aws acm-pca update-certificate-authority --certificate-authority-arn <Certification_Auhtority_ARN> --revocation-configuration file://revoke_config.txt

Die Datei revoke_config.txt enthält Sperrinformationen, die den folgenden ähneln:

{
    "CrlConfiguration": {
        "Enabled": <true>,
        "ExpirationInDays": <7>,
        "CustomCname": "<example1234.cloudfront.net>",
        "S3BucketName": "<example-test-crl-bucket-us-east-1>",
        "S3ObjectAcl": "<BUCKET_OWNER_FULL_CONTROL>"
    }
}

Hinweis:

  • Wenn Sie die Funktion „Block Public Access (BPA)“ in Amazon S3 deaktiviert haben, können Sie entweder BUCKET_OWNER_FULL_CONTROL oder PUBLIC_READ als Wert angeben.
  • Wenn Sie Ihre CRL mithilfe der AWS-Managementkonsole konfiguriert haben, wird möglicherweise ein „ValidationException“-Fehler angezeigt. Wiederholen Sie Schritt 8, um die CA-Sperrkonfiguration mithilfe der AWS-CLI zu aktualisieren.

Aktivieren der S3-Block-Public-Access-Funktion (BPA)

Bewährte Amazon-S3-Sicherheitsmethoden

GetBucketAcl

War dieser Artikel hilfreich?

Feedback senden

Benötigen Sie Hilfe zur Fakturierung oder technischen Support?

AWS Support kontaktieren