本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
问题排查
已知问题解决方案提供了缓解已知错误的说明。如果这些说明无法解决您的问题,请联系 AWS Supp ort 提供有关如何为该解决方案提出 AWS Support 案例的说明。
Puts3 失败BucketPolicyDeny 了
相关控件:AWS FSBP v1.0.0 S3.6、(1)、 NIST.800-53.r5 CA-9 nist.800-53.r5 CM-2
问题:PutS3 BucketPolicyDeny 出现以下错误:
Unable to create an explicit deny statement for {bucket_name}.
如果目标存储桶上所有策略的委托人均为 “*”,则该解决方案无法将拒绝策略添加到目标存储桶,因为它会阻止所有委托人执行的所有存储桶操作。
解决方案:修改存储桶策略以允许对特定账户执行操作,而不是使用 “*” 委托人并限制被拒绝的操作。
如何禁用该解决方案
在发生事件时,您可能会发现需要在不移除任何基础架构的情况下禁用该解决方案。这些场景详细说明了如何在解决方案中禁用不同的组件。
场景 1:禁用单个控件的自动修复
-
在管理员账户中,导航到 AWS CloudFormation 控制台
。 -
找到管理堆栈并查看其输出选项卡。
-
复制
RemediationConfigurationDynamoDBTable输出的值。 -
导航到 DynamoDB
控制台并打开 “修复配置” 表。 -
选择 Explore Table Items(浏览表项目)。
-
在 “扫描或查询项目” 下,选择 “查询”。
-
在 “分区键:controlID” 字段中输入控件 ID(例如
Lambda.1),然后单击 “运行”。 -
选择退回的商品,然后单击 “操作” > “编辑商品”。
-
将
automatedRemediationEnabled属性值更改为 False。 -
单击 “保存并关闭”。
场景 2:禁用所有控件的自动修复
-
按照场景 1 中的步骤 1-5 访问修正配置表中的项目。
-
在 “扫描或查询项目” 下,选择 “扫描” 以查看所有控件。
-
对于
automatedRemediationEnabled设置为 True 的每个控件,选择相应项目并单击操作 > 编辑项目。 -
将
automatedRemediationEnabled属性值更改为 False,然后单击 “保存并关闭”。 -
对要禁用的所有控件重复此操作。
场景 3:禁用账户的手动修复
-
导航至 EventBridge 控制台
。 -
在侧栏中选择 “规则”。
-
选择默认事件总线并搜索
Remediate_with_ASR_CustomAction。 -
选择规则并单击 “禁用” 按钮。
