Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Por que recebo um erro de permissão GetBucketAcl do Amazon S3 quando atualizo minha configuração de CRL do AWS Private CA?

3 minuto de leitura
0

Eu atualizei meu AWS Private Certificate Authority (AWS Private CA) para configurar uma lista de revogação de certificados (CRL). No entanto, recebi um erro “A entidade principal de serviço do Certificate Manager Private Certificate Authority'acm-pca.amazonaws.com' exige permissões 's3:GetBucketAcl'”.

Breve descrição

O AWS Private CA coloca a CRL em um bucket do Amazon Simple Storage Service (Amazon S3) que você designa para uso. Seu bucket do Amazon S3 deve ser protegido por uma política de permissões anexada. Usuários autorizados e entidades principais de serviços precisam da permissão Put para permitir que o AWS Private CA coloque objetos no bucket e obtenha permissão para recuperá-los. Para obter mais informações, consulte Políticas de acesso para CRLs no Amazon S3.

Resolução

Observação: se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), consulte Solução de erros da AWS CLI. Além disso, verifique se você está usando a versão mais recente da AWS CLI.

Para substituir a política padrão do Amazon S3 por uma política menos permissiva, conclua as seguintes etapas:

  1. Abra o console do Amazon S3.

  2. Na lista de buckets, abra o bucket no qual você deseja colocar a CRL.

  3. Escolha a guia Permissões.

  4. Em Política de bucket, escolha Editar.

  5. Em Política, copie e cole a seguinte política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "acm-pca.amazonaws.com"
      },
      "Action": [
        "s3:PutObject",
        "s3:PutObjectAcl",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::your-crl-storage-bucket/*",
        "arn:aws:s3:::your-crl-storage-bucket"
      ],
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account",
          "aws:SourceArn": "arn:partition:acm-pca:region:account:certificate-authority/CA_ID"
        }
      }
    }
  ]
}

    Observação: Substitua o valor de Recurso pelo nome do seu bucket do Amazon S3. Substitua o valor de AWS:SourceAccount pelo ID da sua conta. Substitua o valor de aws:SourceArn pelo seu ARN.

  6. Escolha Salvar alterações.

  7. Criptografe suas CRLs.

  8. Execute o comando update-certificate-authority para atualizar a configuração de revogação do AWS Private CA:

    aws acm-pca update-certificate-authority --certificate-authority-arn Certification_Auhtority_ARN --revocation-configuration file://revoke_config.txt

    Observação: Substitua Certification_Auhtority_ARN pelo seu ARN.
    O arquivo revoke_config.txt contém informações de revogação semelhantes às seguintes:

    {    "CrlConfiguration": {
        "Enabled": <true>,
        "ExpirationInDays": <7>,
        "CustomCname": "example1234.cloudfront.net",
        "S3BucketName": "example-test-crl-bucket-us-east-1",
        "S3ObjectAcl": "BUCKET_OWNER_FULL_CONTROL"
    }
}

Observação:

  • Se você desativou o atributo Block Public Access (BPA) no Amazon S3, poderá especificar BUCKET_OWNER_FULL_CONTROL ou PUBLIC_READ como o valor.
  • Se você usar o Console de Gerenciamento da AWS para configurar sua CRL, poderá receber um erro de “ValidationException”. Repita a etapa 8 para atualizar a configuração de revogação do CA por meio da AWS CLI.

Informações relacionadas

Ative o S3 Block Public Access (BPA) com o CloudFront

Práticas recomendadas de segurança para o Amazon S3

GetBucketAcl

Tópicos
Security, Identity, & Compliance
Tags
AWS Certificate Manager
Idioma
Português
AWS OFICIALAtualizada há um ano
Sem comentários

Conteúdo relevante