本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
s3-bucket-policy-grantee-check
检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何 Amazon 委托人、联合用户、服务委托人、IP 地址或 VPC 的限制。如果存储桶策略不存在,则此规则为 COMPLIANT。
例如,如果规则的输入参数为包含 111122223333
和 444455556666
这两个委托人的列表,并且存储桶策略指定仅 111122223333
能够访问存储桶,则此规则为 COMPLIANT。使用相同的输入参数:如果存储桶策略指定 111122223333
和 444455556666
可以访问存储桶,则它也是合规的。但是,如果存储桶策略指定 999900009999
可以访问存储桶,则规则将为 NON-COMPLIANT。
注意
如果存储桶策略包含多个语句,则将根据此规则评估存储桶策略中的每条语句。
标识符:S3_BUCKET_POLICY_GRANTEE_CHECK
资源类型: AWS::S3::Bucket
触发器类型: 配置更改
Amazon Web Services 区域:除亚太 Amazon 地区(海得拉巴)、加拿大西部(卡尔加里)、欧洲(西班牙)地区以外的所有支持区域
参数:
- awsPrincipals(可选)
- 类型:CSV
-
以逗号分隔的委托人列表,例如 IAM 用户 ARN、IAM 角色 ARN 和 Amazon 账户,例如 'arn: aws: iam:: 111122223333: user/Alice,arn: aws: iam:: 4444555566666: role/bob,123456789012'。
- servicePrincipals(可选)
- 类型:CSV
-
逗号分隔的服务委托人列表,例如“cloudtrail.amazonaws.com, lambda.amazonaws.com”。
- federatedUsers(可选)
- 类型:CSV
-
Web 身份联合验证的身份提供商(如 Amazon Cognito 和 SAML 身份提供商)的逗号分隔列表。例如“cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider”。
- ipAddresses(可选)
- 类型:CSV
-
CIDR 格式的 IP 地址的逗号分隔列表,例如“10.0.0.1, 192.168.1.0/24, 2001:db8::/32”。
- vpcIds(可选)
- 类型:CSV
-
Amazon Virtual Private Cloud (Amazon VPC) ID 的逗号分隔列表,例如“vpc-1234abc0, vpc-ab1234c0”。
Amazon CloudFormation 模板
要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则,请参阅使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则。