繁体 English 中英

S3 仅存储由一个默认 KMS 密钥加密的对象并限制所有其他对象

[英]S3 to store only objects encrypted by one default KMS key and restrict all others

原文 2020-05-30 08:50:04 2 0 amazon-s3/ encryption/ amazon-iam/ aws-kms/ amazon-policy

我正在尝试将 object 上传到 s3 存储桶，仅使用特定的 KMS 密钥加密。 我创建了一个具有单独拒绝条件的策略，但它似乎不起作用。 有人可以建议我哪里出错了吗？

我使用 AWS CLI 测试了此策略 -

aws s3api put-object --bucket test-buck --key testimage.jpg --body testimage.jpg --ssekms-key-id arn:aws:kms:us-east-1:account-id:key/NOT-MY-key-id --server-side-encryption aws:kms

尽管有以下拒绝声明，但我可以使用我帐户中的另一个密钥上传testimage.jpg 。

如果我在 Bucket 策略中给出相同的策略，但在这里我希望将策略分配给 s3 使用的我的角色。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::test-buck/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption": "aws:kms"
                }
            }
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::test-buck/*",
            "Condition": {
                "StringNotEquals": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:<account-id>:key/<my-default-kmskey-id>"
                }
            }
        },
        {
            "Sid": "VisualEditor2",
            "Effect": "Deny",
            "Action": [
                "s3:PutObject",
                "s3:GetObject"
            ],
            "Resource": "arn:aws:s3:::test-buck/*",
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

另外，我如何测试非 ssl 请求是否被拒绝？ 我不能使用 aws cli，因为我认为它在默认情况下与 AWS 服务通信时使用 SSL。

提前致谢。

0 个解决方案

使用默认 kms 密钥的 s3 跨帐户访问

[英]s3 cross account access with default kms key

如何下载一个kms加密的s3对象

[英]how to download an kms encrypted s3 object

从S3读取KMS加密文件

[英]Read a KMS encrypted file from S3

Cloudfront 如何分发 AWS KMS 密钥以获取静态加密的 S3 图像？

[英]How can a Cloudfront distribution an AWS KMS key to GET an S3 image encrypted at rest?

使用 kms 加密密钥将 dataframe 作为 csv 写入 S3 而不提供密钥

[英]Write dataframe as csv to S3 with kms encrypted keys without providing key

AWS 托管密钥加密的 AWS 跨账户 S3 PutObject 中未找到 KMS 异常

[英]KMS Not found Exception in AWS Cross Account S3 PutObject encrypted by AWS Managed Key

使用 KMS 将 AWS RDS Aurora 选择到 S3 加密存储桶中

[英]Select AWS RDS Aurora into S3 encrypted bucket with KMS

AWS Boto S3 API读取KMS加密密钥

[英]AWS Boto S3 API read KMS encrypted keys

如何下载具有特定版本ID的KMS加密S3对象？

[英]How to download a KMS encrypted S3 object with a specific version id?

使用带有别名的 KMS 加密存储桶中的 s3:GetObject

[英]Using s3:GetObject from KMS encrypted Bucket with an Alias

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 使用默认 kms 密钥的 s3 跨帐户访问如何下载一个kms加密的s3对象从S3读取KMS加密文件 Cloudfront 如何分发 AWS KMS 密钥以获取静态加密的 S3 图像？使用 kms 加密密钥将 dataframe 作为 csv 写入 S3 而不提供密钥 AWS 托管密钥加密的 AWS 跨账户 S3 PutObject 中未找到 KMS 异常使用 KMS 将 AWS RDS Aurora 选择到 S3 加密存储桶中 AWS Boto S3 API读取KMS加密密钥如何下载具有特定版本ID的KMS加密S3对象？使用带有别名的 KMS 加密存储桶中的 s3:GetObject

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM