ACM プライベート CA で証明書失効リスト (CRL) を設定するための S3 バケットアクセス許可エラーを解決する方法を教えてください。

最終更新日: 2019 年 8 月 5 日

プライベート CA の作成手順を使用して、Amazon Simple Storage Service (Amazon S3) バケットに証明書失効リスト (CRL) を作成しようとしました。しかし、以下のようなエラーが表示されます。

「CreateCertificateAuthority 操作を呼び出すときにエラー (ValidationException) が発生しました。ACM プライベート CA サービスプリンシパル 'acm-pca.amazonaws.com' には、S3 バケット '[バケット]' の 's3:PutObject' および 's3:PutObjectAcl' 権限が必要です。S3 バケットのアクセス許可を確認して、もう一度お試しください」  

解決方法

AWS Certificate Manager (ACM) プライベート CA CRL は、「新しいアクセスコントロールリスト (ACL) を介して許可されたバケットおよびオブジェクトへのパブリックアクセスをブロックする」S3 設定をサポートしていません。ACM プライベート CA が CRL を書き込めるようにするには、S3 アカウントとバケットでこの設定を無効にする必要があります。

AWS アカウントで「新しいアクセスコントロールリスト (ACL) を介して許可されたバケットおよびオブジェクトへのパブリックアクセスをブロックする」を無効にします

  1. Amazon S3 コンソールにサインインします。
  2. [パブリックアクセスをブロックする (アカウント設定)]、[編集] を順に選択します。
  3. [新しいアクセスコントロールリスト (ACL) を介して許可されたバケットとオブジェクトへのパブリックアクセスをブロックする] のチェックをオフにして、[保存] を選択します。
  4. 確認フィールドに「確認」と入力して、[確認] を選択します。

CRL に使用される S3 バケットで「新しいアクセスコントロールリスト (ACL) を介して許可されたバケットおよびオブジェクトへのパブリックアクセスをブロックする」を無効にします

  1. Amazon S3 コンソールにサインインします。
  2. バケット名で、ACM PCA で CRL を設定するために使用したバケットの名前を選択します。
  3. [アクセス許可] を選択してから、[編集] を選択します。
  4. [新しいアクセスコントロールリスト (ACL) を介して許可されたバケットとオブジェクトへのパブリックアクセスをブロックする] のチェックをオフにして、[保存] を選択します。
  5. 確認フィールドに「確認」と入力して、[確認] を選択します。