View a markdown version of this page

疑難排解 - AWS 上的自動化安全回應
PutS3BucketPolicyDeny 失敗如何停用解決方案

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

疑難排解

已知問題解決提供減輕已知錯誤的指示。如果這些指示無法解決您的問題,請聯絡 AWS Support 提供為此解決方案開啟 AWS Support 案例的說明。

PutS3BucketPolicyDeny 失敗

相關聯的控制項:AWS FSBP v1.0.0 S3.6、NIST.800-53.r5 CA-9(1)、NIST.800-53.r5 CM-2

問題:PutS3BucketPolicyDeny 出現下列錯誤:

Unable to create an explicit deny statement for {bucket_name}.

如果目標儲存貯體上所有政策的主體都是「*」,解決方案就無法將拒絕政策新增至目標儲存貯體,因為它會封鎖所有主體的所有儲存貯體動作。

解決方案:修改儲存貯體政策,允許對特定帳戶執行動作,而不是使用「*」主體,並限制拒絕的動作。

如何停用解決方案

如果發生事件,您可能會發現您需要停用解決方案,而不移除任何基礎設施。這些案例詳細說明如何在解決方案中停用不同的元件。

案例 1:停用單一控制項的自動修復

  1. 在管理員帳戶中,導覽至 AWS CloudFormation 主控台

  2. 尋找管理員堆疊並檢視其輸出索引標籤。

  3. 複製RemediationConfigurationDynamoDBTable輸出的值。

  4. 導覽至 DynamoDB 主控台並開啟修復組態資料表。

  5. 選取 Explore Table Items (探索資料表項目)。

  6. 掃描或查詢項目下,選取查詢

  7. 分割區索引鍵:controlId 欄位中輸入控制項 ID (例如 Lambda.1),然後按一下執行

  8. 選取傳回的項目,然後按一下動作 > 編輯項目

  9. automatedRemediationEnabled屬性值變更為 False

  10. 按一下儲存並關閉

案例 2:停用所有控制項的自動修復

  1. 依照案例 1 中的步驟 1-5 存取修復組態資料表項目。

  2. 掃描或查詢項目下,選取掃描以檢視所有控制項。

  3. 對於將 automatedRemediationEnabled 設為 True 的每個控制項,選取項目,然後按一下動作 > 編輯項目

  4. automatedRemediationEnabled屬性值變更為 False,然後按一下儲存並關閉

  5. 針對您要停用的所有控制項重複此步驟。

案例 3:停用帳戶的手動修復

  1. 導覽至 EventBridge 主控台

  2. 在邊欄中選取規則

  3. 選取預設事件匯流排並搜尋 Remediate_with_ASR_CustomAction

  4. 選取規則,然後按一下停用按鈕。