执行S3-桶创建的标记

Question

我一直试图创建一个IAM策略，以强制对S3资源进行标记。政策：

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Deny",
        "Action": [
            "s3:CreateBucket"
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "aws:RequestTag/Tag1": "true"
            }
        }
    },
    {
        "Sid": "VisualEditor1",
        "Effect": "Deny",
        "Action": [
            "s3:CreateBucket"
        ],
        "Resource": "*",
        "Condition": {
            "Null": {
                "aws:RequestTag/Tag2": "true"
            }
        }
    }
]
}

此条件适用于EC2和EB，但在这里，它在以下消息中失败：

​

​

这里的错误是什么，对S3资源强制标记还需要哪些其他权限？

对不起，我看到了一些类似我的问题，但没有人真正回答我的问题。

Answer 1

CreateBucket API不支持标记。它们必须稍后通过PutBucketTagging添加。

因此，据我所知，您不能在创建时强制执行标记。您可以实现一些反应过程，例如定期扫描桶以确保正确的标记。