本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
s3-bucket-policy-grantee-check
检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何 Amazon 委托人、联合用户、服务委托人、IP 地址或 VPC 的限制。如果存储桶策略不存在,则此规则为 COMPLIANT。
例如,如果规则的输入参数为包含 111122223333 和 444455556666 这两个委托人的列表,并且存储桶策略指定仅 111122223333 能够访问存储桶,则此规则为 COMPLIANT。使用相同的输入参数:如果存储桶策略指定 111122223333 和 444455556666 可以访问存储桶,则此规则也为 COMPLIANT。
但是,如果存储桶策略指定 999900009999 可以访问存储桶,则此规则将为 NON_COMPLIANT。
注意
如果存储桶策略包含多个语句,则将根据此规则评估存储桶策略中的每条语句。
标识符:S3_BUCKET_POLICY_GRANTEE_CHECK
资源类型:AWS::S3::Bucket
触发器类型: 配置更改
Amazon Web Services 区域: 所有支持的 Amazon 区域
参数:
- awsPrincipals(可选)
- 类型:CSV
-
Comma-separated 委托人列表,例如 IAM 用户 ARN、IAM 角色 ARN 和账户。 Amazon 您必须提供完整的 ARN 或使用部分匹配。例如,“arn: aws: iam:: role/
AccountID” 或 “arn: aws: iam:: role/*”role_name。AccountID如果提供的值与存储桶策略中指定的主体 ARN 不完全匹配,则此规则为 NON_COMPLIANT。 - servicePrincipals(可选)
- 类型:CSV
-
Comma-separated 服务主体列表,例如 “cloudtrail.amazonaws.com,lambda.amazonaws.com”。
- federatedUsers(可选)
- 类型:CSV
-
Comma-separated 网络联合身份验证的身份提供者列表,例如 Amazon Cognito 和 SAML 身份提供商。例如 'cognito-identity.amazonaws.com,arn: aws: iam:: 111122223333: saml--provider '。provider/my
- ipAddresses(可选)
- 类型:CSV
-
Comma-separated CIDR 格式化的 IP 地址列表,例如 '10.0.0.1、192.168.1。 0/24,2001:db8:: /32'。
- vpcIds(可选)
- 类型:CSV
-
Comma-separated 亚马逊虚拟私有云(亚马逊 VPC)ID 列表,例如 'vpc-1234abc0,vpc-ab1234c0 '。
Amazon CloudFormation 模板
要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则,请参阅使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则。