本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
s3-bucket-policy-grantee-check
检查 Amazon S3 存储桶授予的访问权限是否受到任何 Amazon 委托人、联合用户、服务委托人、IP 地址或您VPCs提供的限制。规则是存储桶策略COMPLIANT是否不存在。
例如,如果规则的输入参数是两个委托人的列表:111122223333
和,444455556666
并且存储桶策略指定111122223333
只能访问存储桶,则规则为COMPLIANT。使用相同的输入参数:如果存储桶策略指定了该存储桶111122223333
并且444455556666
可以访问该存储桶,那么它也是COMPLIANT。
但是,如果存储桶策略指定999900009999
可以访问存储桶,则规则为 NON _ COMPLIANT。
注意
如果存储桶策略包含多个语句,则将根据此规则评估存储桶策略中的每条语句。
标识符:S3_ _ _ BUCKET _ POLICY GRANTEE CHECK
资源类型: AWS::S3::Bucket
触发器类型: 配置更改
Amazon Web Services 区域:除亚太 Amazon 地区(海得拉巴)、亚太地区(马来西亚)、加拿大西部(卡尔加里)、欧洲(西班牙)地区以外的所有支持区域
参数:
- awsPrincipals (可选)
- 类型:CSV
-
以逗号分隔的委托人列表,例如IAM用户ARNsARNs、IAM角色和帐户。 Amazon 您必须提供完整内容ARN或使用部分匹配。例如,“arn: aws: iam:: role/
AccountID
” 或 “arn: aws: iam:: role/*”role_name
。AccountID
如果提供的值与存储桶策略中ARN指定的委托人不完全匹配,则规则为 NON _ COMPLIANT。 - servicePrincipals (可选)
- 类型:CSV
-
逗号分隔的服务委托人列表,例如“cloudtrail.amazonaws.com, lambda.amazonaws.com”。
- federatedUsers (可选)
- 类型:CSV
-
以逗号分隔的用于网络联合身份验证的身份提供者列表,例如 Amazon Cognit SAML o 和身份提供商。例如“cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider”。
- ipAddresses (可选)
- 类型:CSV
-
以逗号分隔的CIDR格式化 IP 地址列表,例如 '10.0.0.1、192.168.1.0/24、2001:db8:: /32'。
- vpcIds (可选)
- 类型:CSV
-
以逗号分隔的亚马逊虚拟私有云(亚马逊VPC)列表,例如 “vpc-1234abc0IDs,vpc-ab1234c0”。
Amazon CloudFormation 模板
要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则,请参阅使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则。