Привет всем! Я запутался с bucket политиками S3, у меня есть

noncompliant рул в AWS Config, которое называется "security hub-s3-bucket-ssl-requests-only".
Я просмотрел множество форумов, видеороликов и руководств, в которых описывается, как решить эту проблему, но все эти инструкции не учитывают наличие нескольких statements и conditions в S3 bucket policy.
Все маны добавляют необходимую политику при отстутсвии таковых вообще, например:
"Просто добавьте эту {json policy} в S3 bucket и наслаждайтесь результатом"
Проблема в том, что в моем случае это не работает при добавлении необходимой политики к существующей.
Пример: У меня есть S3 bucket для CloudTrail logs, в bucket'e есть следующая политика:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AWSCloudTrailAclCheck20150319",
"Effect": "Deny",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-cloudtrail-logs-2023",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
},
"StringNotEquals": {
"AWS:SourceArn": "arn:aws:cloudtrail:eu-south-1:{ID}:trail/****-Account-Management"
}
}
},
{
"Sid": "AWSCloudTrailWrite20150319",
"Effect": "Deny",
"Principal": {
"Service": "cloudtrail.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-cloudtrail-logs-2023/AWSLogs/{ID}/*",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
},
"StringNotEquals": {
"s3:x-amz-acl": "bucket-owner-full-control",
"AWS:SourceArn": "arn:aws:cloudtrail:eu-south-1:{ID}:trail/****-Account-Management"
}
}
}
]
}
Как вы видите, я добавил условие из манов:
"Bool": {"aws:SecureTransport": "false"},
Затем я revaluated правило в AWS Config и всё ещё получаю "Noncompliant" рул.
Что здесь не так?
Очень ценю вашу помощь, спасибо.

Всё круто, но, имхо не хватает get object и get object version