[英]S3 bucket encryption restriction in IAM policy
我尝试对未加密的存储桶创建使用以下“拒绝”。 具有策略的用户除以下策略外,还具有完整的S3和KMS。
我收到此红色警告:
This policy does not grant any permissions. To grant access, policies must have an action that has an applicable resource or condition.
此外,我被拒绝访问创建S3存储桶(加密或未加密)的权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3:CreateBucket",
"Resource": "arn:aws:s3:::*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": [
"AES256",
"aws:kms"
]
}
}
}
]
}
这样做的原因是一旦存储桶被加密,就不必担心对象加密。
默认加密–您可以要求存储桶中的所有对象必须以加密形式存储,而不必构造存储桶策略来拒绝未加密的对象。 引用: https : //aws.amazon.com/blogs/aws/new-amazon-s3-encryption-security-features/
条件密钥无效。
编写策略时, s3:CreateBucket
操作只能具有某些条件,而s3:x-amz-server-side-encryption
并不是其中之一。
请参阅: https : //docs.aws.amazon.com/AmazonS3/latest/dev/amazon-s3-policy-keys.html#bucket-keys-in-amazon-s3-policies
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.