Pulumi -为CloudTrail日志创建S3存储桶策略-资源无效

基础概念

Pulumi 是一个现代的基础设施即代码（IaC）工具，允许开发者使用熟悉的编程语言（如 TypeScript、Python、Go 等）来定义和管理云资源。CloudTrail 是 AWS 提供的服务，用于记录 AWS 账户的活动，包括 API 调用和配置更改。S3 存储桶策略用于控制对 S3 存储桶的访问。

类型

AWS S3 存储桶策略：用于控制对 S3 存储桶的访问权限。
CloudTrail 日志：记录 AWS 账户的活动日志。

应用场景

在 AWS 中，使用 CloudTrail 记录账户活动，并将日志存储在 S3 存储桶中。通过 Pulumi 可以方便地创建和管理这些资源及其策略。

问题及解决方案

问题描述

在使用 Pulumi 创建 CloudTrail 日志的 S3 存储桶策略时，可能会遇到“资源无效”的错误。

原因

这个错误通常是由于策略配置不正确或不完整导致的。例如，策略中可能缺少必要的权限或条件。

解决方案

以下是一个示例代码，展示如何使用 Pulumi 创建一个 S3 存储桶并为其配置 CloudTrail 日志策略：

import * as pulumi from "@pulumi/pulumi";
import * as aws from "@pulumi/aws";

// 创建 S3 存储桶
const bucket = new aws.s3.Bucket("my-cloudtrail-bucket");

// 创建 CloudTrail 日志策略
const bucketPolicy = new aws.s3.BucketPolicy("my-cloudtrail-bucket-policy", {
    bucket: bucket.bucket,
    policy: JSON.stringify({
        Version: "2012-10-17",
        Statement: [
            {
                Effect: "Allow",
                Principal: {
                    Service: "cloudtrail.amazonaws.com"
                },
                Action: "s3:GetBucketAcl",
                Resource: bucket.arn,
                Condition: {
                    StringEquals: {
                        "aws:SourceArn": `arn:aws:cloudtrail:${aws.config.region}:*:*`
                    }
                }
            },
            {
                Effect: "Allow",
                Principal: {
                    Service: "cloudtrail.amazonaws.com"
                },
                Action: "s3:PutObject",
                Resource: `${bucket.arn}/*`,
                Condition: {
                    StringEquals: {
                        "aws:SourceArn": `arn:aws:cloudtrail:${aws.config.region}:*:*`
                    }
                }
            }
        ]
    })
});

export const bucketName = bucket.bucket;