为了更新在AWS上的SSL证书,CA是必需的CSR。
当我尝试配置和创建的CA,我得到这个按摩:
ValidationException的ACM私人CA服务主体 'acm-pca.amazonaws.com' 需要'S3:GetBucketLocation的权限为您的S3桶 'MyBucket'。检查您的S3存储权限,然后再试一次
要向前移动与此,在Amazon S3上的权限设置> MyBucket>权限>桶政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PublicReadGetObject",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::MyBucket/*"
}
]
}
根据该文件,在这里找到:https://docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGETlocation.html
LocationConstraint
是必需的。
如何解决“S3:GetBucketLocation”的问题,并创建了CA?
您需要调整您的政策,使它看起来是这样的:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PublicReadGetObject",
"Effect": "Allow",
"Principal": "*",
"Action": ["s3:GetBucketLocation"],
"Resource": ["arn:aws:s3:::*"]
}
]
}
政策授予
s3:CreateBucket
,s3:ListAllMyBuckets
和s3:GetBucketLocation
权限的用户。需要注意的是,所有这些权限,您将资源ARN以“*”的相对ID部分。对于所有其它的铲斗动作,你必须指定一个水桶名。
您也可以为了不使条款太宽指定ACM原则。
我曾经有过同样的问题,必须通过AWS文档阅读。
配置CRL:配置证书吊销列表(CRL),如果你想ACM PCA保持一个由私人CA吊销的证书
如果你想创建一个CRL,请执行以下操作:
如果选择是,ACM PCA为您创造必要的水桶政策。如果选择否,请确保以下策略附加到你的水桶。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "acm-pca.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::your-bucket-name/*",
"arn:aws:s3:::your-bucket-name"
]
}
]
}