AWS S3-拒绝上传非加密对象

Question

我使用非root用户登录到我的公司AWS帐户。

S3存储桶的默认加密是带有自定义ARN的AWS KMS。

但是，当我尝试上传一个文件并选择“无”加密时，它失败并显示禁止错误。如果我使用AES-256或AWS-KMS加密，则可以上传相同的文件。

据我所知，存储桶必须有一个用于上传非加密对象的拒绝策略，但我在存储桶策略中看到的是"aws:SecureTransport"："false“的拒绝策略，我认为这是为了限制来自非HTTPS源的访问。

有人能解释一下上传是如何受到限制的吗？

Answer 1

AWS IAM流程中有很多地方可能会导致拒绝。它可以在组织策略、S3存储桶策略、IAM、S3内联策略、IAM组策略等中。

有两个工具可以帮助您跟踪拒绝发生的位置。

从Policy Simulator开始，检查用户或角色的IAM策略。和Policy Simulator Documentation

此外，如果您有Cloudtrails设置，您可以搜索Cloudwatch Insights中的日志，以查看是什么导致了拒绝。