Perché durante l'aggiornamento della configurazione del CRL di ACM Private Certificate Authority visualizzo un errore di autorizzazione GetBucketAcl Amazon S3?

Ultimo aggiornamento: 08/06/2022

Ho aggiornato l'autorità di certificazione privata (CA) di Gestione certificati AWS (ACM) per configurare un elenco di revoche di certificati (CRL). Tuttavia, visualizzo un errore simile al seguente:

"The ACM Private CA Service Principal 'acm-pca.amazonaws.com' requires 's3:GetBucketAcl' permissions" (L'entità di servizio ACM Private CA 'acm-pca.amazonaws.com' richiede autorizzazioni 's3:GetBucketAcl').

Come posso risolvere questo problema?

Breve descrizione

ACM Private CA inserisce il CRL in un bucket Amazon Simple Storage Service (Amazon S3) designato per l'uso. Il bucket Amazon S3 deve essere protetto da una policy di autorizzazioni allegata. Gli utenti autorizzati e le entità di servizio necessitano dell'autorizzazione Put per consentire ad ACM Private CA di posizionare oggetti nel bucket e dell'autorizzazione Get per recuperarli.

Per ulteriori informazioni, consulta Access policies for CRLs in Amazon S3.

Risoluzione

Segui queste istruzioni per sostituire la policy predefinita di Amazon S3 con la seguente policy meno permissiva.

Nota: se visualizzi messaggi di errore durante l'esecuzione dei comandi dell'Interfaccia della linea di comando AWS (AWS CLI), assicurati di utilizzarne la versione più recente.

1.    Apri la console Amazon S3.

2.    Nell'elenco dei bucket, apri quello in cui desideri inserire il CRL.

3.    Seleziona la scheda Autorizzazioni.

4.    In Policy del bucket, seleziona Modifica.

5.    In Policy, copia e incolla la seguente policy:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

Nota: sostituisci il nome del bucket S3, l'ID account e l'ARN di ACM PCA con le tue variabili.

6.    Seleziona Salva le modifiche.

7.    Segui le istruzioni per crittografare i CRL.

8.    Aggiorna la configurazione di revoca della CA utilizzando il comando update-certificate-authority di AWS CLI simile al seguente:

$ aws acm-pca update-certificate-authority --certificate-authority-arn <Certification_Auhtority_ARN> --revocation-configuration file://revoke_config.txt

Il file revoke_config.txt contiene informazioni sulla revoca simili alle seguenti:

{
    "CrlConfiguration": {
        "Enabled": <true>,
        "ExpirationInDays": <7>,
        "CustomCname": "<example1234.cloudfront.net>",
        "S3BucketName": "<example-test-crl-bucket-us-east-1>",
        "S3ObjectAcl": "<BUCKET_OWNER_FULL_CONTROL>"
    }
}

Nota:

  • Se hai disabilitato la funzionalità Blocca accesso pubblico (BPA) in Amazon S3, puoi specificare come valore BUCKET_OWNER_FULL_CONTROL o PUBLIC_READ.
  • Se hai configurato il CRL utilizzando la Console di gestione AWS, potresti visualizzare un errore "ValidationException". Ripeti la fase 8 per aggiornare la configurazione di revoca delle CA utilizzando AWS CLI.

Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?