Amazon web services 使用AWS控制台将文件上载到s3存储桶,该控制台的策略具有匹配的拒绝条件;s3:x-amz-server-side-encryption“&引用;aws:kms“;
我正在尝试将文件上载到S3存储桶,并使用AWS控制台将默认加密启用为SSE-KMS和对存储桶策略的拒绝声明。但是,我遇到了拒绝访问错误。如果我从bucket策略中删除拒绝条件,我就能够使用AWS控制台将文件上载到S3 我知道,使用aws cli可以通过传递Amazon web services 使用AWS控制台将文件上载到s3存储桶,该控制台的策略具有匹配的拒绝条件;s3:x-amz-server-side-encryption“&引用;aws:kms“;,amazon-web-services,amazon-s3,amazon-iam,amazon-kms,Amazon Web Services,Amazon S3,Amazon Iam,Amazon Kms,我正在尝试将文件上载到S3存储桶,并使用AWS控制台将默认加密启用为SSE-KMS和对存储桶策略的拒绝声明。但是,我遇到了拒绝访问错误。如果我从bucket策略中删除拒绝条件,我就能够使用AWS控制台将文件上载到S3 我知道,使用aws cli可以通过传递--sse aws:kms--sse kms密钥id来实现这一点,但是,我想知道是否有办法通过aws控制台上传文件 桶策略--> KMS策略--> IAM角色策略--> (新)S3控制台上载功能包括选择KMS和KMS键的选项。展开UI中“附加上
--sse aws:kms--sse kms密钥id
来实现这一点,但是,我想知道是否有办法通过aws控制台上传文件
桶策略-->
KMS策略-->
IAM角色策略-->
(新)S3控制台上载功能包括选择KMS和KMS键的选项。展开UI中“附加上载选项”下的相关部分。是的,完全正确。几分钟前我确实尝试过,并且能够使用KMS密钥上传文件。谢谢你。
{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "KMSPut",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::MyBucket/*",
"Condition": {
"StringNotEquals": {
"s3:x-amz-server-side-encryption": "aws:kms"
}
}
}
]
}
{
"Version": "2012-10-17",
"Id": "key-default-1",
"Statement": [
{
"Sid": "Allow use of the key",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::12345678:role/MyRole",
]
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
],
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::MyBucket"
],
"Effect": "Allow"
},
{
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::MyBucket/*"
],
"Effect": "Allow"
},
{
"Action": [
"kms:Encrypt",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:eu-west-1:12345678:key/1234-abcd-dcba-4321"
],
"Effect": "Allow"
}
]
}