AWS 组织 SCP 策略不适用于 S3 存储桶
AWS Organization SCP Policy Not working for S3 Bucket
我们遇到了 AWS Managed Guardrail“禁止更改 Amazon S3 存储桶的加密配置”的问题,它拒绝“s3:PutEncryptionConfiguration”。
这阻止了我们在首次创建存储桶时向存储桶添加加密。
理想情况下,我们希望确保加密一旦应用就无法删除。我将策略修改为拒绝删除加密。
但是,当禁用加密时,我并没有像预期的那样被阻止。我确实在 CloudTrail 中看到了调用。我不明白为什么 SCP 没有阻止这个动作。
SCP:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SandboxTest",
"Effect": "Deny",
"Action": [
"s3:DeleteBucketEncryption"
],
"Resource": [
"*"
],
"Condition": {
"ArnNotLike": {
"aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution"
}
}
}
]
}
AWS 托管策略在这里:Elective Guardrails - AWS Control Tower
谢谢!
没有 IAM 操作
s3:DeleteBucketEncryption
您不应允许在未加密的情况下创建存储桶。
但是 AWS 没有在创建存储桶时启用加密的选项。您需要在创建存储桶后启用它...
由事件触发并在新创建的存储桶上添加加密的 lambda
您只允许用户使用加密将文件上传到存储桶。
https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html
我们遇到了 AWS Managed Guardrail“禁止更改 Amazon S3 存储桶的加密配置”的问题,它拒绝“s3:PutEncryptionConfiguration”。
这阻止了我们在首次创建存储桶时向存储桶添加加密。
理想情况下,我们希望确保加密一旦应用就无法删除。我将策略修改为拒绝删除加密。
但是,当禁用加密时,我并没有像预期的那样被阻止。我确实在 CloudTrail 中看到了调用。我不明白为什么 SCP 没有阻止这个动作。
SCP:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SandboxTest",
"Effect": "Deny",
"Action": [
"s3:DeleteBucketEncryption"
],
"Resource": [
"*"
],
"Condition": {
"ArnNotLike": {
"aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution"
}
}
}
]
}
AWS 托管策略在这里:Elective Guardrails - AWS Control Tower
谢谢!
没有 IAM 操作
s3:DeleteBucketEncryption
您不应允许在未加密的情况下创建存储桶。 但是 AWS 没有在创建存储桶时启用加密的选项。您需要在创建存储桶后启用它...
由事件触发并在新创建的存储桶上添加加密的 lambda
您只允许用户使用加密将文件上传到存储桶。
https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html