Warum habe ich beim Aktualisieren meiner CRL-Konfiguration der ACM Private Certificate Authority einen Amazon-S3-GetBucketAcl-Berechtigungsfehler erhalten?
Letzte Aktualisierung: 8.6.2022
Ich habe meine private Zertifizierungsstelle (CA) für AWS Certificate Manager (ACM) aktualisiert, um eine Zertifikatssperrliste (CRL) zu konfigurieren. Es wurde jedoch ein Fehler ähnlich dem folgenden gemeldet:
„Der ACM-Private-Zertifizierungsstellen-Principal 'acm-pca.amazonaws.com' benötigt s3:GetBucketAcl-Berechtigungen.“
Wie kann ich dies beheben?
Kurzbeschreibung
ACM Private CA platziert die CRL in einem Bucket von Amazon Simple Storage Service (Amazon S3), den Sie zur Verwendung festlegen. Ihr Amazon-S3-Bucket muss durch eine angefügte Berechtigungsrichtlinie gesichert sein. Autorisierte Benutzer und Serviceprinzipale benötigen die Berechtigung „Put“, damit ACM Private CA Objekte in den Bucket platzieren kann, und die Get-Berechtigung zum Abrufen dieser Objekte.
Weitere Informationen finden Sie unter Zugriffsrichtlinien für CRLs in Amazon S3.
Auflösung
Folgen Sie diesen Anweisungen, um die standardmäßige Amazon-S3-Richtlinie durch die folgende weniger tolerante Richtlinie zu ersetzen.
Hinweis: Wenn Sie beim Ausführen von Befehlen von AWS Command Line Interface (AWS CLI) Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.
1. Öffnen Sie die Amazon-S3-Konsole.
2. Öffnen Sie in der Liste der Buckets den Bucket, in dem Sie die CRL platzieren möchten.
3. Wählen Sie die Registerkarte Berechtigungen.
4. Wählen Sie in der Bucket-Richtlinie Bearbeiten aus.
5. Kopieren Sie unter Richtlinie die folgende Richtlinie, und fügen Sie sie ein:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "acm-pca.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::your-crl-storage-bucket/*",
"arn:aws:s3:::your-crl-storage-bucket"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "account",
"aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
}
}
}
]
}
Hinweis: Ersetzen Sie den S3-Bucket-Namen, die Konto-ID und den ACM-PCA-ARN durch Ihre Variablen.
6. Wählen Sie Änderungen speichern.
7. Folgen Sie den Anweisungen zum Verschlüsseln Ihrer CRLs.
8. Aktualisieren Sie die CA-Sperrkonfiguration mithilfe des AWS-CLI-Befehls update-certificate-authority ähnlich wie folgt:
$ aws acm-pca update-certificate-authority --certificate-authority-arn <Certification_Auhtority_ARN> --revocation-configuration file://revoke_config.txt
Die Datei revoke_config.txt enthält Sperrinformationen, die den folgenden ähneln:
{
"CrlConfiguration": {
"Enabled": <true>,
"ExpirationInDays": <7>,
"CustomCname": "<example1234.cloudfront.net>",
"S3BucketName": "<example-test-crl-bucket-us-east-1>",
"S3ObjectAcl": "<BUCKET_OWNER_FULL_CONTROL>"
}
}
Hinweis:
- Wenn Sie die Funktion „Block Public Access (BPA)“ in Amazon S3 deaktiviert haben, können Sie entweder BUCKET_OWNER_FULL_CONTROL oder PUBLIC_READ als Wert angeben.
- Wenn Sie Ihre CRL mithilfe der AWS-Managementkonsole konfiguriert haben, wird möglicherweise ein „ValidationException“-Fehler angezeigt. Wiederholen Sie Schritt 8, um die CA-Sperrkonfiguration mithilfe der AWS-CLI zu aktualisieren.
Ähnliche Informationen
War dieser Artikel hilfreich?
Benötigen Sie Hilfe zur Fakturierung oder technischen Support?