認可またはリソースが見つからないことが原因で操作が失敗する

必要に応じて、少なくとも証明書の管理、認証局の管理またはCAバンドルの管理の「必要なIAMポリシー」の項で説明されている最低限の権限を付与するポリシー・ステートメントが存在することを確認します。操作するリソースによっては、グループと動的グループの両方にポリシー・ステートメントが必要になる場合があります。

特に、CAを作成する場合や、失効を実行するようにCAを構成する場合は、ボールト・キーを使用してX.509証明書に署名するために必要な権限をCAに付与し、証明書失効リスト(CRL)をオブジェクト・ストレージ・バケットに格納するためのポリシーがあることを確認します。(このタイプのポリシーはリソース・プリンシパル・ポリシーと呼ばれます。他のリソースを処理できるプリンシパル・アクターとしてリソースが認可されるためです。)必要な権限をCAに付与するポリシーがない場合は、管理者がポリシーを記述する必要があります。そもそもCAの動的グループがない場合は、管理者がまずすべてのCAを含む一致ルールを使用して動的グループを作成してから、ポリシーを記述する必要があります。

リクエストに指定されたすべてのリソースが存在し、削除されていないことを確認します。

証明書サービスでは、クロステナンシ・リクエストはサポートされていません。リクエストに指定されたすべてのリソースが同じテナンシに属していることを確認します。たとえば、CAを作成する場合、ボールト・キー、オブジェクト・ストレージ・バケットおよび発行元CAは、作成しようとしているCAと同じテナンシに存在する必要があります。