S3-bucket-policy-grantee-check - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

S3-bucket-policy-grantee-check

检查 Amazon S3 存储桶授予的访问权限是否受到任何限制Amazon委托人、联合用户、服务主体、IP 地址或您提供的 VPC。如果存储桶策略不存在,则规则为 COMPLIANT。

例如,如果规则的输入参数为包含 111122223333444455556666 这两个委托人的列表,并且存储桶策略指定仅 111122223333 能够访问存储桶,则规则为 COMPLIANT。使用相同的输入参数:如果存储桶策略中指定了这一点111122223333444455556666可以访问存储桶,它也是合规的。但是,如果存储桶策略指定 999900009999 可以访问存储桶,则规则将为 NON-COMPLIANT。

注意

如果存储桶策略包含多个语句,则将根据此规则评估存储桶策略中的每条语句。

标识符:S3_BUCKET_POLICY_GRANTEE_CHECK

触发器类型:配置更改

Amazon Web Services 区域:全部支持Amazon中除中东(阿联酋)区域以外的区域

参数:

awsPrincipals(可选)
类型: CSV

以逗号分隔的主体列表,例如 IAM 用户 ARN、IAM 角色 ARN 和Amazon账户,例如 'arn: aws: iam::::: 1145678333333336666666666666666666666666:: role/Bob, 126789012:

servicePrincipals(可选)
类型: CSV

以逗号分隔的服务主体列表,例如 “cloudtrail.amazonaws.com,lambda.amazonaws.com”。

federatedUsers(可选)
类型: CSV

以逗号分隔的 Web 联合身份验证身份提供商列表,例如 Amazon Cognito 和 SAML 身份提供商。例如 “cognito-provider.mayonaws.com, arn: aws: iam::: 11126333333333333333333333333333333333

ipAddresses Adsres
类型: CSV

以逗号分隔的 CIDR 格式化 IP 地址列表,例如 '10.0.1、192.168.1.0/24、2001:db8:: /32'。

vpcIds(可选)
类型: CSV

以逗号分隔的亚马逊虚拟私有云 (Amazon VPC) ID 列表,例如 'vpc-1234abc0,vpc-ab1234c0'。

Amazon CloudFormation 模板

要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则,请参阅使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则