Amazon web services 如何在创建S3存储桶时强制使用标记?
我想防止用户在没有带有键“project”的标记时创建S3 bucket。 遵循政策是行不通的。它在任何情况下都会阻止创建Amazon web services 如何在创建S3存储桶时强制使用标记?,amazon-web-services,amazon-s3,amazon-iam,Amazon Web Services,Amazon S3,Amazon Iam,我想防止用户在没有带有键“project”的标记时创建S3 bucket。 遵循政策是行不通的。它在任何情况下都会阻止创建 { "Version": "2012-10-17", "Statement": [ { "Sid": "DenyCreationWithoutProjectTag", "Effect": "Deny&quo
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyCreationWithoutProjectTag",
"Effect": "Deny",
"Action": "s3:CreateBucket",
"Resource": "*",
"Condition": {
"StringNotLike": {
"aws:RequestTag/project": "*"
}
}
}
]}
和
没有帮助。CreateBucket不允许您指示标记,因此这将永远不会起作用。好的,谢谢。您是否看到了实现这一点的另一种方法?您可以使用CloudTrail对CreateBucketAPI请求作出反应,并验证新创建的bucket是否在一定时间内被标记。确保bucket继续具有项目标记的过程可能比在创建时只测试标记的过程要好。可能调查AWS配置管理的规则,或者每天运行一次流程(例如简单Lambda)以查询未标记的存储桶。