Ограничение шифрования сегмента S3 в политике IAM

Question

Я пытаюсь использовать следующее наложение Deny на создание незашифрованного сегмента. У пользователя с политикой есть полный S3 и KMS, кроме указанной ниже политики.

Я получаю это красное предупреждение:

This policy does not grant any permissions. To grant access, policies must have an action that has an applicable resource or condition.

Кроме того, мне отказано в доступе для создания корзины S3, зашифрованной или незашифрованной.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Deny",
        "Action": "s3:CreateBucket",
        "Resource": "arn:aws:s3:::*",
        "Condition": {
            "StringNotEquals": {
                "s3:x-amz-server-side-encryption": [
                    "AES256",
                    "aws:kms"
                ]
            }
        }
    }
]
}

Причина для этого - не беспокоиться о шифровании объекта после зашифрования сегмента.

Шифрование по умолчанию - вы можете указать, что все объекты в корзине должны храниться в зашифрованном виде без необходимости строить ведро политика, которая отклоняет объекты, которые не зашифрованы. Ссылка: https://aws.amazon.com/blogs/aws/new-amazon-s3-encryption-security-features/

Answer 1

Ключ условия недействителен.

s3:CreateBucket операция может иметь только определенные условия при написании политики, и s3:x-amz-server-side-encryption не является одним из них.

См .: https://docs.aws.amazon.com/AmazonS3/latest/dev/amazon-s3-policy-keys.html#bucket-keys-in-amazon-s3-policies