Como evito a exclusão de depósitos do S3?

O AWS Policy Generator é uma ferramenta muito útil para a exploração e criação de tais políticas. Seu uso é explicado na respectiva postagem introdutória do blog (um link direto para ela é enquanto isso disponível juntamente com a maioria dos formulários de entrada de política no AWS Management Console também.

Eu criei um exemplo de acordo com sua especificação (lembre-se de gerar um novo para seus próprios recursos, é claro):

{
  "Id": "ExamplePolicyId12345678",
  "Statement": [
    {
      "Sid": "ExampleStmtSid12345678",
      "Action": [
        "s3:DeleteBucket"
      ],
      "Effect": "Deny",
      "Resource": "arn:aws:s3:::test-example-com",
      "Principal": {
        "AWS": [
          "*"
        ]
      }
    }
  ]
}

Observe que o Console de gerenciamento da AWS atualmente não oculta o comando de exclusão nem os relatórios de sua execução não são bem-sucedidos para os buckets com essas políticas, no entanto, o bucket permanece em vigor;)

A resposta de @ Steffen está certa, mas eu queria colocar outra nota importante. Enquanto a política protege contra o intervalo real que está sendo excluído. Não protege contra os itens no intervalo que está sendo excluído. O que faz sentido, mas o que você deve saber é que no console da AWS, se você escolher excluir o bloco, ele removerá todos os itens no bloco e não excluirá o intervalo. Assim, todos os dados que você tiver no intervalo desaparecerão. Isso não é óbvio a princípio e pode causar problemas sérios para alguém se ele não souber.

TL;DR; Trying to delete the bucket even with delete bucket prohibited will kill all the items in the bucket but keep the bucket around

Outra opção é ativar o Controle de versão e o Excluir do MFA . Isso dificulta o esvaziamento e a exclusão de um intervalo.