amazon-s3 - S3 仅存储由一个默认 KMS 密钥加密的对象并限制所有其他对象
问题描述
我正在尝试将对象上传到 s3 存储桶,仅使用特定的 KMS 密钥加密。我创建了一个具有单独拒绝条件的策略,但它似乎不起作用。有人可以建议我哪里出错了吗?
我使用 AWS CLI 测试了此策略 -
aws s3api put-object --bucket test-buck --key testimage.jpg --body testimage.jpg --ssekms-key-id arn:aws:kms:us-east-1:account-id:key/NOT-MY-key-id --server-side-encryption aws:kms
testimage.jpg尽管有以下拒绝声明,但我可以使用我帐户中的另一个密钥进行上传。
如果我在 Bucket 策略中给出相同的策略,但在这里我希望将策略分配给 s3 使用的我的角色。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::test-buck/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::test-buck/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption-aws-kms-key-id": "arn:aws:kms:us-east-1:<account-id>:key/<my-default-kmskey-id>"
}
}
},
{
"Sid": "VisualEditor2",
"Effect": "Deny",
"Action": [
"s3:PutObject",
"s3:GetObject"
],
"Resource": "arn:aws:s3:::test-buck/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
另外,我如何测试非 ssl 请求是否被拒绝?我不能使用 aws cli,因为我认为它在默认情况下与 AWS 服务通信时使用 SSL。
提前致谢。
解决方案
推荐阅读
- listbox - Zkoss 列表框+冻结+hide_column
- android - 查询一个GL_TEXTURE_EXTERNAL_OES的大小?
- python - 使用 2 个模块刷新
- javascript - 是否可以将 Polymer 3 组件拆分为单独的 JavaScript、HTML 和 CSS 文件?
- python-3.x - 找出某个类后如何在soup.find_all中获取一个元素?
- node.js - “无法加载默认凭据”- 使用模拟器的 PubSub Node.js 模块
- autofac - AutoFac 模块未处理
- neo4j - Neo4j:如何在 Neo4j 服务器上安装 APOC?
- reactjs - JEST 组件测试
- javascript - Meteor:为客户端转换 MongoDB 服务器代码