s3-bucket-policy-grantee-check - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

s3-bucket-policy-grantee-check

检查 Amazon S3 存储桶授予的访问权限是否受到任何 Amazon 委托人、联合用户、服务委托人、IP 地址或您VPCs提供的限制。规则是存储桶策略COMPLIANT是否不存在。

例如,如果规则的输入参数是两个委托人的列表:111122223333和,444455556666并且存储桶策略指定111122223333只能访问存储桶,则规则为COMPLIANT。使用相同的输入参数:如果存储桶策略指定了该存储桶111122223333并且444455556666可以访问该存储桶,那么它也是COMPLIANT。

但是,如果存储桶策略指定999900009999可以访问存储桶,则规则为 NON _ COMPLIANT。

注意

如果存储桶策略包含多个语句,则将根据此规则评估存储桶策略中的每条语句。

标识符:S3_ _ _ BUCKET _ POLICY GRANTEE CHECK

资源类型: AWS::S3::Bucket

触发器类型: 配置更改

Amazon Web Services 区域:除亚太 Amazon 地区(海得拉巴)、亚太地区(马来西亚)、加拿大西部(卡尔加里)、欧洲(西班牙)地区以外的所有支持区域

参数:

awsPrincipals (可选)
类型:CSV

以逗号分隔的委托人列表,例如IAM用户ARNsARNs、IAM角色和帐户。 Amazon 您必须提供完整内容ARN或使用部分匹配。例如,“arn: aws: iam:: role/AccountID” 或 “arn: aws: iam:: role/*” role_nameAccountID如果提供的值与存储桶策略中ARN指定的委托人不完全匹配,则规则为 NON _ COMPLIANT。

servicePrincipals (可选)
类型:CSV

逗号分隔的服务委托人列表,例如“cloudtrail.amazonaws.com, lambda.amazonaws.com”。

federatedUsers (可选)
类型:CSV

以逗号分隔的用于网络联合身份验证的身份提供者列表,例如 Amazon Cognit SAML o 和身份提供商。例如“cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider”。

ipAddresses (可选)
类型:CSV

以逗号分隔的CIDR格式化 IP 地址列表,例如 '10.0.0.1、192.168.1.0/24、2001:db8:: /32'。

vpcIds (可选)
类型:CSV

以逗号分隔的亚马逊虚拟私有云(亚马逊VPC)列表,例如 “vpc-1234abc0IDs,vpc-ab1234c0”。

Amazon CloudFormation 模板

要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则,请参阅使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则