如何创建IAM角色，使用户能够创建加密的s3存储桶

Question

我必须确保在AWS控制台中创建S3存储桶的用户必须对其进行加密。如果没有，则不允许创建S3存储桶。 我们如何实现这一目标。

Answer 1

这不可能。

原因是PUT Bucket API调用未指定加密参数。

相反，可以通过PUT Bucket encryption进行设置。

由于这些是不同的API调用，因此无法创建在创建存储区时强制执行加密的策略。

相反，您可以在创建对象时强制进行加密。参见：How to Prevent Uploads of Unencrypted Objects to Amazon S3 | AWS Security Blog

Answer 2

听起来像您要确保启用了S3默认加密选项。您可以使用AWS Config完成此操作。

您要创建AWS Config规则。 AWS Config的工作方式如下：

1. 创建一个S3存储桶
2. AWS Config规则在创建存储桶后不久运行。如果设置了默认加密，则合规性通过了，一切顺利。
3. 如果未设置默认加密，则资源不合规。
4. 如果有补救措施，则运行该补救措施。在这种情况下 运行AWS-EnableS3BucketEncryption lambda将启用默认值 为您加密。
5. 桶状态已更改，并且再次触发了配置规则 时间将状态设置为合规。

设置步骤：

1. 创建一个新的AWS Config规则。 Link for us-east-1
2. 点击“添加规则”
3. 在“按规则名称过滤”字段中输入 “已启用s3-bucket服务器端加密”
4. 现在向下滚动到“补救措施”，然后选择 “ AWS-EnableS3BucketEncryption”
5. 保存

应该这样做。快乐加密。