Question

Явное правило запрета будет использоваться для предотвращения создания сегментов S3, которые не включают параметр шифрования на стороне сервера (AES или KMS).Явное отклонение является предпочтительным результатом для предотвращения случайного создания.

Я могу найти параметр, указанный при создании, через консоль, но не команду cli create-bucket.

Я понимаю, чтоКоманда put-bucket-encryption может использоваться в качестве последующего элемента в качестве административного контроля, а детективный / корректирующий контроль может быть реализован с помощью лямбда-функции или другими средствами, но это обходит требование активного контроля.

Ожидаемый результат будетприменять политику, которая явно запрещает создание, изменение, чтение содержимого и т. д. в отношении сегмента без сопровождающего атрибута SSEAlgorithm или его функциональный эквивалент отсутствует или не соответствует.

Walter A · Answer 1 · 07 июня 2019

Я впервые дал это в качестве комментария, ОП считает, что это разумное смягчение:

Запретить доступ для создания сегментов всем пользователям с помощью консоли AWS.
Напишите специальный сервис, который будет создавать корзину в соответствии с предпочтительными настройками (при необходимости распределяются по разным вызовам). Другим побочным эффектом является то, что вы можете упростить дополнительные требования, такие как проверка имени группы (например, company_project_module_xxx) и документации (добавьте время создания / комментария / комментарий в корзину документации).

turtlesallday · Answer 2 · 05 июня 2019

{
      "Sid": "DenyNoEncryption",
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::test_bucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    }

Так может выглядеть политика, запрещающая добавление объектов в корзину s3 без sse.

Если вам нужно прекратить создавать корзины s3 без sse.Измените действие s3 на "s3:CreateBucket" Я считаю, что это должно работать для вас.А затем измените ваш ресурс на *

{
      "Sid": "DenyNoEncryption",
      "Effect": "Deny",
      "Principal": {
        "AWS": "*"
      },
      "Action": "s3:CreateBucket",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    }

Какое условие может быть использовано в политике для принудительного применения корзины S3, требующей шифрования на стороне сервера?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Какое условие может быть использовано в политике для принудительного применения корзины S3, требующей шифрования на стороне сервера?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов