¿Cómo puedo solucionar el error «El bucket no puede tener ACL definidas con la configuración BucketOwnerEnforced de ObjectOwnership» en CloudFormation?

2 minutos de lectura

Cuando intento desplegar un bucket de Amazon Simple Storage Service (Amazon S3) a través de una pila de AWS CloudFormation, aparece un error.

Breve descripción

En los buckets recién creados, Amazon S3 activa ObjectOwnership y lo establece en BucketOwnerEnforced de forma predeterminada. Esta configuración desactiva las listas de control de acceso (ACL) y el propietario del bucket posee automáticamente todos los objetos del bucket y tiene el control total sobre ellos. Por lo tanto, los despliegues que intentan invocar las ACL con esta configuración producen el error siguiente:

Bucket cannot have ACLs set with ObjectOwnership's BucketOwnerEnforced setting (Service: Amazon S3; Status Code: 400; Error Code: InvalidBucketAclWithObjectOwnership; Request ID: VCC82DDB; S3 Extended Request ID: itIVupTUTYxdhtOqXHTRxiwthYK4I/AvFqgNCWSqs8=; Proxy: null)

Por ejemplo, la siguiente plantilla de despliegue produce este error:

AWSTemplateFormatVersion: "2010-09-09"

Resources:
  PortalBucket:
    Type: AWS::S3::Bucket
    Properties:
      AccessControl: LogDeliveryWrite
      VersioningConfiguration:
        Status: Enabled
      WebsiteConfiguration:
        IndexDocument: 'index.html'
        ErrorDocument: 'error.html'
      BucketEncryption:
        ServerSideEncryptionConfiguration:
          - ServerSideEncryptionByDefault:
              SSEAlgorithm: AES256

Para resolver este problema, cambie el valor de ObjectOwnership para que el bucket permita las ACL.

Importante: No se recomienda utilizar las ACL para Amazon S3. Si su caso de uso requiere las ACL, consulte los siguientes pasos de solución de problemas para permitirlas.

Resolución

Defina el valor de ObjectOwnership en ObjectWriter o BucketOwnerPreferred.
Para desplegar su bucket de S3, utilice la plantilla siguiente:

AWSTemplateFormatVersion: "2010-09-09"

Resources:
  PortalBucket:
    Type: AWS::S3::Bucket
    Properties:
      AccessControl: LogDeliveryWrite
      VersioningConfiguration:
        Status: Enabled
      WebsiteConfiguration:
        IndexDocument: 'index.html'
        ErrorDocument: 'error.html'
      BucketEncryption:
        ServerSideEncryptionConfiguration:
          - ServerSideEncryptionByDefault:
              SSEAlgorithm: AES256
      OwnershipControls:
        Rules:
          - ObjectOwnership: ObjectWriter

Esto le permite activar las ACL en el bucket.

Para obtener más información sobre el comportamiento predeterminado de Amazon S3 con las ACL, consulte Aviso: Los cambios de seguridad de Amazon S3 llegarán en abril de 2023.

Temas

Gestión y gobierno

Etiquetas

AWS CloudFormation

Idioma

Español

OFICIAL DE AWSActualizada hace un año

Contenido relevante

¿Cómo soluciono el error «No se han podido validar las siguientes configuraciones de destino» en AWS CloudFormation?
OFICIAL DE AWSActualizada hace 2 años
He habilitado el acceso público en la ACL de mi bucket mediante la consola de Amazon S3. ¿Mi bucket está abierto a todo el mundo?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo solucionar el error: «The following parameters are not defined for the specified group» al actualizar la versión del motor de mi clúster de RDS con CloudFormation?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo soluciono el error «No tenía permisos de IAM para procesar las etiquetas en el recurso de AWS::EC2::Instance» al crear un recurso de AWS::EC2::Instance en CloudFormation?
OFICIAL DE AWSActualizada hace 3 años