1

我通过 AWS Config 在我的 AWS 账户上部署了NIST CSF一致性包,以改善我的安全状况。由于s3-bucket-policy-grantee-check未通过,我的一项资源不符合要求。首先,尽管读了好几遍,我还是不明白它用简单的英语是什么意思(我希望有人能更简单地为我提供这种语言)。

我有以下存储桶政策,但似乎无法弄清楚为什么我无法摆脱这种违规行为:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AWSCloudTrailAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::cis-alarms-<account-number>"
        },
        {
            "Sid": "AWSCloudTrailWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudtrail.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::cis-alarms-<account-number>/AWSLogs/<account-number>/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        },
        {
            "Sid": "AllowSSLRequestsOnly",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::cis-alarms-<account-number>",
                "arn:aws:s3:::cis-alarms-<account-number>/*"
            ],
            "Condition": {
                "Bool": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

我究竟做错了什么?

PS。这是针对我在 CloudTrail 上创建跟踪时预置的存储桶,它将此存储桶创建为跟踪日志存储桶

4

1 回答 1

1

我弄清楚发生了什么事。因为我通过一致性包部署了此规则,所以我无法编辑该角色,因为它附加到一个服务相关角色,这会阻止对一致性包中的规则进行任何编辑/删除。当我自行部署规则并输入必要的输入(servicePrincipals 和 awsPrincipals)时,它就像一个魅力,我能够摆脱违规行为。

于 2021-08-18T05:20:51.723 回答