Amazon web services S3创建bucket强制标记策略不起作用

我正在尝试对S3 bucket应用强制标记限制条件。但下面的语句总是抛出拒绝访问错误

我在创建新bucket时遵循的步骤

添加Bucket名称

添加标签“环境”和价值“开发”

单击Create Bucket，但它抛出拒绝访问错误

自定义策略声明：

{

然而，我已经添加了s3:CreateBucket和s3:PutBucketTagging操作，但仍然不起作用

“行动”： [ “s3:CreateBucket”， “s3:Putbuckettaging” ]

快照：

---

CreateBucket操作不允许您在bucket上放置标记

---

我假设您正在S3控制台中工作。当您单击“创建Bucket”时，它正在运行（至少）两个请求：CreateBucket和PutBucketTagging。您的策略仅允许它在请求包含这些标记时运行CreateBucket。但是，CreateBucket请求不包含这些标记（因为他们什么也不做）.

Hi Joey，我添加了PutBucketTagging，但它不起作用。这不是因为你缺少权限，而是因为你的CreateBucket权限不允许你做任何事情，因为没有CreateBucket请求会有任何请求标记。在创建S3 bucket时，有没有方法应用强制标记。我已经用EC2和强制标记对我来说很好。CreateBucket操作不接受任何标记，因此您不能根据标记的内容设置条件。这是不可能的。一个可能的选项是创建一个具有CreateBucket和PutBucketTagging权限的lambda，只给用户调用该lambda的权限，但我不确定是否这符合你正在尝试做的事情。

        "Sid": "PermissionsRelatedToBucketOperations",

        "Effect": "Allow",
        "Action": [
            "s3:CreateBucket"
        ],
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:RequestTag/Environment": [
                    "",
                    "Development",
                    "Production"
                ]
            },
            "ForAllValues:StringEquals": {
                "aws:TagKeys": [
                    "Environment"
                ]
            }
        }
    }