Warum habe ich beim Aktualisieren meiner CRL-Konfiguration der ACM Private Certificate Authority einen Amazon-S3-GetBucketAcl-Berechtigungsfehler erhalten?
Ich habe meine private Zertifizierungsstelle (CA) für AWS Certificate Manager (ACM) aktualisiert, um eine Zertifikatssperrliste (CRL) zu konfigurieren. Es wurde jedoch ein Fehler ähnlich dem folgenden gemeldet: „Der ACM-Private-Zertifizierungsstellen-Principal 'acm-pca.amazonaws.com' benötigt s3:GetBucketAcl-Berechtigungen.“ Wie kann ich dies beheben?
Kurzbeschreibung
ACM Private CA platziert die CRL in einem Bucket von Amazon Simple Storage Service (Amazon S3), den Sie zur Verwendung festlegen. Ihr Amazon-S3-Bucket muss durch eine angefügte Berechtigungsrichtlinie gesichert sein. Autorisierte Benutzer und Serviceprinzipale benötigen die Berechtigung „Put“, damit ACM Private CA Objekte in den Bucket platzieren kann, und die Get-Berechtigung zum Abrufen dieser Objekte.
Weitere Informationen finden Sie unter Zugriffsrichtlinien für CRLs in Amazon S3.
Auflösung
Folgen Sie diesen Anweisungen, um die standardmäßige Amazon-S3-Richtlinie durch die folgende weniger tolerante Richtlinie zu ersetzen.
Hinweis: Wenn Sie beim Ausführen von Befehlen von AWS Command Line Interface (AWS CLI) Fehlermeldungen erhalten, stellen Sie sicher, dass Sie die neueste AWS-CLI-Version verwenden.
1. Öffnen Sie die Amazon-S3-Konsole.
2. Öffnen Sie in der Liste der Buckets den Bucket, in dem Sie die CRL platzieren möchten.
3. Wählen Sie die Registerkarte Berechtigungen.
4. Wählen Sie in der Bucket-Richtlinie Bearbeiten aus.
5. Kopieren Sie unter Richtlinie die folgende Richtlinie, und fügen Sie sie ein:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "acm-pca.amazonaws.com" }, "Action": [ "s3:PutObject", "s3:PutObjectAcl", "s3:GetBucketAcl", "s3:GetBucketLocation" ], "Resource": [ "arn:aws:s3:::your-crl-storage-bucket/*", "arn:aws:s3:::your-crl-storage-bucket" ], "Condition": { "StringEquals": { "aws:SourceAccount": "account", "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID" } } } ] }
Hinweis: Ersetzen Sie den S3-Bucket-Namen, die Konto-ID und den ACM-PCA-ARN durch Ihre Variablen.
6. Wählen Sie Änderungen speichern.
7. Folgen Sie den Anweisungen zum Verschlüsseln Ihrer CRLs.
8. Aktualisieren Sie die CA-Sperrkonfiguration mithilfe des AWS-CLI-Befehls update-certificate-authority ähnlich wie folgt:
$ aws acm-pca update-certificate-authority --certificate-authority-arn <Certification_Auhtority_ARN> --revocation-configuration file://revoke_config.txt
Die Datei revoke_config.txt enthält Sperrinformationen, die den folgenden ähneln:
{ "CrlConfiguration": { "Enabled": <true>, "ExpirationInDays": <7>, "CustomCname": "<example1234.cloudfront.net>", "S3BucketName": "<example-test-crl-bucket-us-east-1>", "S3ObjectAcl": "<BUCKET_OWNER_FULL_CONTROL>" } }
Hinweis:
- Wenn Sie die Funktion „Block Public Access (BPA)“ in Amazon S3 deaktiviert haben, können Sie entweder BUCKET_OWNER_FULL_CONTROL oder PUBLIC_READ als Wert angeben.
- Wenn Sie Ihre CRL mithilfe der AWS-Managementkonsole konfiguriert haben, wird möglicherweise ein „ValidationException“-Fehler angezeigt. Wiederholen Sie Schritt 8, um die CA-Sperrkonfiguration mithilfe der AWS-CLI zu aktualisieren.
Ähnliche Informationen
Aktivieren der S3-Block-Public-Access-Funktion (BPA)
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren
- AWS OFFICIALAktualisiert vor 2 Jahren