Wie behebe ich den Fehler „Bucket cannot have ACLs set with ObjectOwnership's BucketOwnerEnforced setting“ in CloudFormation?

Lesedauer: 2 Minute

Wenn ich versuche, einen Amazon Simple Storage Service (Amazon S3)-Bucket über einen AWS-CloudFormation-Stack bereitzustellen, erhalte ich eine Fehlermeldung.

Kurzbeschreibung

Für neu erstellte Buckets aktiviert Amazon S3 ObjectOwnership und legt es standardmäßig auf BucketOwnerEnforced fest. Mit dieser Einstellung werden Zugriffssteuerungslisten (ACLs) deaktiviert, der Bucket-Besitzer besitzt automatisch jedes Objekt im Bucket und hat die volle Kontrolle darüber. Daher führen Bereitstellungen, die versuchen, ACLs mit dieser Einstellung aufzurufen, zu dem folgenden Fehler:

Bucket cannot have ACLs set with ObjectOwnership's BucketOwnerEnforced setting (Service: Amazon S3; Status Code: 400; Error Code: InvalidBucketAclWithObjectOwnership; Request ID: VCC82DDB; S3 Extended Request ID: itIVupTUTYxdhtOqXHTRxiwthYK4I/AvFqgNCWSqs8=; Proxy: null)

Die folgende Bereitstellungsvorlage führt beispielsweise zu diesem Fehler:

AWSTemplateFormatVersion: "2010-09-09"

Resources:
  PortalBucket:
    Type: AWS::S3::Bucket
    Properties:
      AccessControl: LogDeliveryWrite
      VersioningConfiguration:
        Status: Enabled
      WebsiteConfiguration:
        IndexDocument: 'index.html'
        ErrorDocument: 'error.html'
      BucketEncryption:
        ServerSideEncryptionConfiguration:
          - ServerSideEncryptionByDefault:
              SSEAlgorithm: AES256

Um dieses Problem zu beheben, ändern Sie den Wert von ObjectOwnership für den Bucket, sodass ACLs zugelassen werden.

Wichtig: Es ist keine bewährte Methode, ACLs für Amazon S3 zu verwenden. Wenn Ihr Anwendungsfall ACLs erfordert, lesen Sie die folgenden Schritte zur Fehlerbehebung, um diese zuzulassen.

Lösung

Setzen Sie den Wert von ObjectOwnership auf ObjectWriter oder BucketOwnerPreferred.
Verwenden Sie die folgende Vorlage, um Ihren S3-Bucket bereitzustellen:

AWSTemplateFormatVersion: "2010-09-09"

Resources:
  PortalBucket:
    Type: AWS::S3::Bucket
    Properties:
      AccessControl: LogDeliveryWrite
      VersioningConfiguration:
        Status: Enabled
      WebsiteConfiguration:
        IndexDocument: 'index.html'
        ErrorDocument: 'error.html'
      BucketEncryption:
        ServerSideEncryptionConfiguration:
          - ServerSideEncryptionByDefault:
              SSEAlgorithm: AES256
      OwnershipControls:
        Rules:
          - ObjectOwnership: ObjectWriter

Auf diese Weise können Sie ACLs für den Bucket aktivieren.

Weitere Informationen zum Standardverhalten von Amazon S3 mit ACLs finden Sie unter Achtung: Die Sicherheitsänderungen von Amazon S3 werden im April 2023 eingeführt.

Themen

Management & Unternehmensführung

Relevanter Inhalt

Ich habe den öffentlichen Zugriff auf die ACL meines Buckets mithilfe der Amazon S3-Konsole aktiviert. Steht mein Bucket allen offen?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie behebe ich den Fehler „Unable to verify/create output bucket“ in Amazon Athena?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie kann ich zu meinen Objekten in Amazon S3 eine ACL mit vollständiger Kontrolle für Bucket-Eigentümer hinzufügen?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie verwende ich benutzerdefinierte Ressourcen mit Amazon S3-Buckets in CloudFormation?
AWS OFFICIALAktualisiert vor 2 Jahren