当没有键为"project"的Tag时,我想防止用户创建S3 bucket。遵循政策是行不通的。它防止在任何情况下创建
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyCreationWithoutProjectTag",
"Effect": "Deny",
"Action": "s3:CreateBucket",
"Resource": "*",
"Condition": {
"StringNotLike": {
"aws:RequestTag/project": "*"
}
}
}
]}
EC2-AWS的标签强制和强制标记AWS资源
没有帮助。
转到AWS组织中的策略并选择标记策略。如果之前没有启用,请确保启用它。然后创建这样的策略。您可以为此使用给定的json编辑器。
{
"tags": {
"Project": {
"tag_key": {
"@@assign": "Project"
},
"enforced_for": {
"@@assign": [
"s3:bucket"
]
}
}
}
}
在这里,我为Project标记创建了一个标记策略。创建标记策略后,请确保将其附加到目标OU/帐户。
之后,再次转到"策略"并选择"服务控制策略(SCP("如果它不可用,请确保启用它。在那里,创建一个新的SCP策略并添加以下策略。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyS3CreationSCP1",
"Effect": "Deny",
"Action": [
"s3:CreateBucket"
],
"Resource": "*",
"Condition": {
"Null": {
"aws:RequestTag/Project": "true"
}
}
}
]
}
在这里,我创建了SCP来执行以前的标记策略。创建SCP后,请确保将其附加到目标OU/帐户。