Gen*_*sus 3 ca csr amazon-s3 amazon-web-services
为了更新 AWS 上的 SSL 证书,CSR 需要 CA。
当我尝试配置和创建 CA 时,我收到以下信息:
ValidationException ACM 私有 CA 服务主体“acm-pca.amazonaws.com”需要 S3 存储桶“MyBucket”的“s3:GetBucketLocation”权限。检查您的 S3 存储桶权限并重试
要继续此操作,请在 Amazon S3 > MyBucket > 权限 > 存储桶策略上进行权限设置:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PublicReadGetObject",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::MyBucket/*"
}
]
}
根据文档,可以在这里找到: https: //docs.aws.amazon.com/AmazonS3/latest/API/RESTBucketGETlocation.html
LocationConstraint是必须的。
如何解决“s3:GetBucketLocation”问题并创建 CA?
小智 5
我曾经遇到过同样的问题,不得不阅读 AWS 文档。
配置 CRL:如果您希望 ACM PCA 为您的私有 CA 吊销的证书维护一个证书吊销列表 (CRL),请配置证书吊销列表 (CRL)。
如果要创建 CRL,请执行以下操作:
如果您选择是,ACM PCA 会为您创建必要的存储桶策略。如果您选择否,请确保将以下策略附加到您的存储桶。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "acm-pca.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:GetBucketAcl",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::your-bucket-name/*",
"arn:aws:s3:::your-bucket-name"
]
}
]
}
| 归档时间: |
|
| 查看次数: |
7900 次 |
| 最近记录: |