Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Por que recebi um erro de permissão GetBucketACL do Amazon S3 ao atualizar a minha configuração de CRL da Private Certificate Authority do ACM?

3 minuto de leitura
0

Atualizei a Private Certificate Authority (CA) do AWS Certificate Manager (ACM) para configurar uma lista de revogação de certificados (CRL). Porém, recebi um erro semelhante ao seguinte: “A entidade principal de serviço de CA privada do ACM 'acm-pca.amazonaws.com' requer permissões 's3:GetBucketAcl'”. Como posso solucionar isso?

Breve descrição

A CA privada do ACM coloca a CRL em um bucket do Amazon Simple Storage Service (Amazon S3) que for designada para uso. Seu bucket do Amazon S3 deve ser protegido por uma política de permissões anexada. Usuários autorizados e entidades principais de serviço precisam da permissão Put para permitir que a CA privada do ACM coloque objetos no bucket e obtenha permissão para recuperá-los.

Para obter mais informações, consulte as políticas de acesso para CRLs no Amazon S3.

Resolução

Siga estas instruções para substituir a política padrão do Amazon S3 pela seguinte política menos permissiva.

Observação: se receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando a versão mais recente da AWS CLI.

1.    Abra o console do Amazon S3.

2.    Na lista de buckets, abra o bucket no qual deseja colocar a CRL.

3.    Escolha a guia Permissions (Permissões).

4.    Em Política do bucket, escolha Editar.

5.    Em Política, copie e cole a seguinte política:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

Observação: substitua o nome do bucket do S3, o ID da conta e o ARN do ACM PCA pelas suas variáveis.

6.    Escolha Save changes (Salvar alterações).

7.    Siga as instruções para criptografar suas CRLs.

8.    Atualize a configuração de revogação do CA usando o comando update-certificate-authority na AWS CLI com a seguinte semelhança:

$ aws acm-pca update-certificate-authority --certificate-authority-arn <Certification_Auhtority_ARN> --revocation-configuration file://revoke_config.txt

O arquivo revoke_config.txt contém as informações de revogação com as seguintes semelhanças:

{
    "CrlConfiguration": {
        "Enabled": <true>,
        "ExpirationInDays": <7>,
        "CustomCname": "<example1234.cloudfront.net>",
        "S3BucketName": "<example-test-crl-bucket-us-east-1>",
        "S3ObjectAcl": "<BUCKET_OWNER_FULL_CONTROL>"
    }
}

Observação:

  • Se você desativou o recurso bloquear acesso público (BPA) no Amazon S3, poderá especificar BUCKET_OWNER_FULL_CONTROL ou PUBLIC_READ como o valor.
  • Se você configurou sua CRL usando o Console de Gerenciamento da AWS, um erro “ValidationException” poderá aparecer. Repita a etapa 8 para atualizar a configuração de revogação do CA usando a AWS CLI.

Informações relacionadas

Habilitando o recurso S3 Block Public Access (BPA)

Práticas recomendadas de segurança para Amazon S3

GetBucketAcl

Tópicos
Segurança, identidade e conformidade
Tags
AWS Certificate Manager
Idioma
Português
AWS OFICIAL
AWS OFICIALAtualizada há 2 anos

Conteúdo relevante