IAM策略中的S3桶加密限制

Question

我试图在未加密的存储桶创建中使用以下强制拒绝。除以下政策外，具有该政策的用户具有完整的S3和KMS。

我收到了这个红色警告：

library(lubridate) library(glue) ymd_hm(glue("2018-01-01 {time}M")) #[1] "2018-01-01 11:10:00 UTC" "2018-01-01 23:20:00 UTC" #[3] "2018-01-01 16:20:00 UTC" "2018-01-01 14:45:00 UTC"

此外，我被拒绝创建加密或未加密的S3存储桶。

This policy does not grant any permissions. To grant access, policies must have an action that has an applicable resource or condition.

做的原因是在加密存储桶后不要担心对象加密。

  

默认加密 - 您可以强制要求存储桶中的所有对象   以加密形式存储而不必构造存储桶   拒绝未加密对象的策略。   提到：https://aws.amazon.com/blogs/aws/new-amazon-s3-encryption-security-features/

Answer 1

条件密钥无效。

s3:CreateBucket操作在编写策略时只能具有某些条件，而s3:x-amz-server-side-encryption不是其中之一。

参考：https://docs.aws.amazon.com/AmazonS3/latest/dev/amazon-s3-policy-keys.html#bucket-keys-in-amazon-s3-policies