AWS 组织 SCP 策略不适用于 S3 存储桶

【问题标题】:AWS Organization SCP Policy Not working for S3 BucketAWS 组织 SCP 策略不适用于 S3 存储桶
【发布时间】:2021-09-05 00:43:56
【问题描述】:

我们遇到了 AWS Managed Guardrail“不允许更改 Amazon S3 存储桶的加密配置”的问题,它拒绝了“s3:PutEncryptionConfiguration”。

这使我们无法在第一次创建存储桶时向存储桶添加加密。

理想情况下,我们希望确保加密一旦应用就不会被删除。我将策略修改为拒绝删除加密。

但是,当禁用加密时,我并没有按预期停止。我确实在 CloudTrail 中看到了调用。我不明白为什么 SCP 没有阻止行动。

SCP:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "SandboxTest",
      "Effect": "Deny",
      "Action": [
        "s3:DeleteBucketEncryption"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "ArnNotLike": {
          "aws:PrincipalARN": "arn:aws:iam::*:role/AWSControlTowerExecution"
        }
      }
    }
  ]
}

AWS 托管策略在这里:Elective Guardrails - AWS Control Tower

谢谢!

【问题讨论】:

  • 您的用户是否具有角色 arn:aws:iam::*:role/AWSControlTowerExecution?
  • 不,AWSControlTowerExecution 角色与我尝试过的任何用户都没有关联。当 The Deny 用于 s3:PutEncryptionConfiguration 时,SCP 工作了 - 不幸的是,它不允许应用加密。

标签: amazon-web-services amazon-s3 aws-organizations


【解决方案1】:

没有 IAM 操作

s3:DeleteBucketEncryption

您不应允许在未加密的情况下创建存储桶。 但是 AWS 没有在创建存储桶时启用加密的选项。您需要在创建存储桶后启用它...

  • 由事件触发并在新创建的存储桶上添加加密的 lambda

  • 您只允许用户使用加密将文件上传到存储桶。

https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html

【讨论】:

    猜你喜欢
    • 2018-08-09
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2019-04-24
    • 2012-11-23
    • 1970-01-01
    • 2013-06-08
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode