适用于 Amazon S3 的 SCP 示例 - Amazon Organizations
防止上传 Amazon S3 未加密对象
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

适用于 Amazon S3 的 SCP 示例

防止上传 Amazon S3 未加密对象

以下策略限制所有用户将未加密的对象上传到 S3 存储桶。

{
  "Effect": "Deny",
  "Action": "s3:PutObject",
  "Resource": "*",
  "Condition": {
    "Null": {
      "s3:x-amz-server-side-encryption": "true"
    }
  }
}

以下策略限制所有用户将未加密的对象上传到 S3 存储桶,并且对其存储桶中的对象上传强制执行指定的加密类型(AES256 或 aws:kms)。

[
  {
    "Effect": "Deny",
    "Action": "s3:PutObject",
    "Resource": "*",
    "Condition": {
      "Null": {
        "s3:x-amz-server-side-encryption": "true"
      }
    }
  },
  {
    "Effect": "Deny",
    "Action": "s3:PutObject",
    "Resource": "*",
    "Condition": {
      "StringNotEquals": {
        "s3:x-amz-server-side-encryption": "AES256"
      }
    }
  }
]