0

我们遇到了 AWS Managed Guardrail “不允许更改 Amazon S3 存储桶的加密配置”的问题,它拒绝了“s3:PutEncryptionConfiguration”。

这阻止了我们在第一次创建存储桶时向存储桶添加加密。

理想情况下,我们希望确保加密一旦应用就不能被删除。我将策略修改为拒绝删除加密。

但是,禁用加密时,我并没有按预期停止。我确实在 CloudTrail 中看到了调用。我不明白为什么 SCP 不阻止行动。

SCP:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "SandboxTest",
      "Effect": "Deny",
      "Action": [
        "s3:DeleteBucketEncryption"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "ArnNotLike": {
          "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution"
        }
      }
    }
  ]
}

AWS 托管策略在这里:Elective Guardrails - AWS Control Tower

谢谢!

4

1 回答 1

0

没有 IAM 操作

s3:DeleteBucketEncryption

您不应允许在未加密的情况下创建存储桶。但是 AWS 没有在创建存储桶时启用加密的选项。您需要在创建存储桶后启用它...

  • 由事件触发并在新创建的存储桶上添加加密的 lambda

  • 您只允许用户使用加密将文件上传到存储桶。

https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html

于 2021-09-05T01:36:27.927 回答