Comment corriger l'erreur « Impossible de définir les ACL du compartiment à l’aide du paramètre BucketOwnerEnforced de ObjectOwnership » dans CloudFormation ?

Lecture de 2 minute(s)

Lorsque j'essaie de déployer un compartiment Amazon Simple Storage Service (Amazon S3) via une pile AWS CloudFormation, une erreur se produit.

Brève description

Pour les compartiments récemment créés, Amazon S3 active ObjectOwnership et le définit par défaut sur BucketOwnerEnforced. Ce paramètre désactive les listes de contrôles d'accès (ACL), et le propriétaire du compartiment possède immédiatement tous les objets du compartiment et en a le contrôle total. Par conséquent, les déploiements qui tentent d'invoquer des ACL avec ce paramètre génèrent l'erreur suivante :

Bucket cannot have ACLs set with ObjectOwnership's BucketOwnerEnforced setting (Service: Amazon S3; Status Code: 400; Error Code: InvalidBucketAclWithObjectOwnership; Request ID: VCC82DDB; S3 Extended Request ID: itIVupTUTYxdhtOqXHTRxiwthYK4I/AvFqgNCWSqs8=; Proxy: null)

Par exemple, le modèle de déploiement suivant entraîne cette erreur :

AWSTemplateFormatVersion: "2010-09-09"

Resources:
  PortalBucket:
    Type: AWS::S3::Bucket
    Properties:
      AccessControl: LogDeliveryWrite
      VersioningConfiguration:
        Status: Enabled
      WebsiteConfiguration:
        IndexDocument: 'index.html'
        ErrorDocument: 'error.html'
      BucketEncryption:
        ServerSideEncryptionConfiguration:
          - ServerSideEncryptionByDefault:
              SSEAlgorithm: AES256

Pour résoudre ce problème, modifiez la valeur de ObjectOwnership pour le compartiment afin d'autoriser les ACL.

**Important :**Il n'est pas recommandé d'utiliser des ACL pour Amazon S3. Si votre cas d'utilisation nécessite des ACL, reportez-vous aux étapes suivantes de résolution pour les autoriser.

Résolution

Définissez la valeur de ObjectOwnership sur ObjectWriter ou BucketOwnerPreferred.
Pour déployer votre compartiment S3, utilisez le modèle suivant :

AWSTemplateFormatVersion: "2010-09-09"

Resources:
  PortalBucket:
    Type: AWS::S3::Bucket
    Properties:
      AccessControl: LogDeliveryWrite
      VersioningConfiguration:
        Status: Enabled
      WebsiteConfiguration:
        IndexDocument: 'index.html'
        ErrorDocument: 'error.html'
      BucketEncryption:
        ServerSideEncryptionConfiguration:
          - ServerSideEncryptionByDefault:
              SSEAlgorithm: AES256
      OwnershipControls:
        Rules:
          - ObjectOwnership: ObjectWriter

Ainsi, vous activez les ACL sur le compartiment.

Pour plus d'informations sur le comportement par défaut d'Amazon S3 avec les ACL, consultez la sectionHeads-up (En vedette) : Des modifications de sécurité d'Amazon S3 seront apportées en avril 2023.

Sujets

Gestion et gouvernance

Balises

AWS CloudFormation

Langue

Français

AWS OFFICIELA mis à jour il y a 10 mois

Aucun commentaire

Contenus pertinents

Impossible de stop mon instance SageMaker
rePost-User-9472894
demandé il y a un an
Impossible d'afficher la page de modification WAF sur une distribution Cloudfront
Réponse acceptée
Adesin
demandé il y a 7 mois
Délai de validation du certificat ACM
Hubert MOKET
demandé il y a 3 mois
Utilisation du transfert sftp
Quentins
demandé il y a 9 mois
Redémarrage automatique du serveur
Excelsoins
demandé il y a 2 mois
Comment résoudre l'erreur « La validation des paramètres a échoué : la valeur du paramètre 'abc' pour le nom de paramètre 'ABC' n'existe pas » dans CloudFormation ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je résoudre l’erreur : « Les paramètres suivants ne sont pas définis pour le groupe spécifié » lorsque je mets à niveau la version du moteur de mon cluster RDS à l’aide de CloudFormation ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment définir des paramètres spéciaux dans une tâche AWS Glue en utilisant AWS CloudFormation ?
AWS OFFICIELA mis à jour il y a 2 ans
Pourquoi m'est-il impossible de charger le contenu du site web présent dans mon compartiment Amazon S3 depuis un autre compte AWS ?
AWS OFFICIELA mis à jour il y a 8 mois