SST项目中ACM证书配置问题的分析与解决

背景介绍

在使用SST(Serverless Stack)框架部署Nuxt应用时，开发者遇到了一个关于AWS证书管理器(ACM)证书无法正确关联到CloudFront分发的问题。这个问题表现为在部署过程中出现"InvalidViewerCertificate"错误，提示证书不存在、不在us-east-1区域、无效或不包含有效的证书链。

问题现象

开发者配置了一个通配符证书*.myproject.acme.com，位于us-east-1区域，用于保护app.myproject.acme.com域名。部署时出现以下错误：

InvalidViewerCertificate: The specified SSL certificate doesn't exist, isn't in us-east-1 region, isn't valid, or doesn't include a valid certificate chain.

技术分析

1. CloudFront证书要求：AWS CloudFront要求所有SSL/TLS证书必须位于us-east-1(N. Virginia)区域，这是AWS的硬性规定。

2. DNS配置：开发者提到DNS是在AWS外部管理的，并设置了dns: false参数，但SST仍然创建了一个Hosted Zone，这可能是框架的默认行为。

3. SCP限制：最终发现问题的根源是AWS组织级别的服务控制策略(SCP)限制了除eu-central-1区域外的操作权限。虽然证书创建在us-east-1成功了，但后续操作因权限不足而失败。

解决方案

1. 检查IAM权限：确保执行部署的IAM角色在us-east-1区域拥有足够的ACM和CloudFront权限。

2. 验证SCP策略：在组织级AWS账户中，检查SCP(Service Control Policies)是否允许在us-east-1区域执行相关操作。

3. 证书验证状态：确认ACM证书已经完全验证并处于"已颁发"状态，而不仅仅是"待验证"。

4. 手动测试：尝试在AWS控制台手动将证书关联到CloudFront分发，这有助于确认是代码问题还是权限问题。

最佳实践

1. 跨区域权限管理：当使用CloudFront时，确保部署流程在所有相关区域(特别是us-east-1)都有足够权限。

2. 证书类型选择：虽然通配符证书方便，但在某些严格的安全策略下，可能需要使用具体域名的证书。

3. 错误信息解读：AWS有时会给出模糊的错误信息，需要结合多种验证方法来定位真正的问题根源。

4. 环境隔离：开发、测试和生产环境应使用不同的证书和配置，避免相互影响。

总结

这个案例展示了在复杂的企业AWS环境中部署Serverless应用时可能遇到的权限和配置问题。开发者不仅需要理解SST框架的配置方式，还需要对AWS的多区域权限管理、SCP策略和证书验证流程有深入认识。通过系统性地检查各环节，最终定位并解决了这个看似是证书配置实则与权限相关的问题。