s3-bucket-policy-grantee-check - Amazon Config
Amazon CloudFormation 模板
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

s3-bucket-policy-grantee-check

检查 Amazon S3 存储桶授予的访问权限是否受任何 Amazon 委托人、联合用户、服务委托人、IP 地址或您提供的 VPC 的限制。如果存储桶策略不存在,则此规则为 COMPLIANT。

例如,如果规则的输入参数为包含 111122223333444455556666 这两个委托人的列表,并且存储桶策略指定仅 111122223333 能够访问存储桶,则此规则为 COMPLIANT。使用相同的输入参数:如果存储桶策略指定 111122223333444455556666 可以访问存储桶,则此规则也为 COMPLIANT。

但是,如果存储桶策略指定 999900009999 可以访问存储桶,则此规则将为 NON_COMPLIANT。

注意

如果存储桶策略包含多个语句,则将根据此规则评估存储桶策略中的每条语句。

标识符:S3_BUCKET_POLICY_GRANTEE_CHECK

资源类型:AWS::S3::Bucket

触发器类型: 配置更改

Amazon Web Services 区域:所有受支持的 Amazon 区域

参数:

awsPrincipals(可选)
类型:CSV

主体(如 IAM 用户 ARN、IAM 角色 ARN 和 Amazon 账户)的逗号分隔列表。您必须提供完整的 ARN 或使用部分匹配。例如,“arn:aws:iam::AccountID:role/role_name”或“arn:aws:iam::AccountID:role/*”。如果提供的值与存储桶策略中指定的主体 ARN 不完全匹配,则此规则为 NON_COMPLIANT。

servicePrincipals(可选)
类型:CSV

逗号分隔的服务委托人列表,例如“cloudtrail.amazonaws.com, lambda.amazonaws.com”。

federatedUsers(可选)
类型:CSV

Web 身份联合验证的身份提供商(如 Amazon Cognito 和 SAML 身份提供商)的逗号分隔列表。例如“cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider”。

ipAddresses(可选)
类型:CSV

CIDR 格式的 IP 地址的逗号分隔列表,例如“10.0.0.1, 192.168.1.0/24, 2001:db8::/32”。

vpcIds(可选)
类型:CSV

Amazon Virtual Private Cloud (Amazon VPC) ID 的逗号分隔列表,例如“vpc-1234abc0, vpc-ab1234c0”。

Amazon CloudFormation 模板

要使用 Amazon Config 模板创建 Amazon CloudFormation 托管规则,请参阅使用 Amazon Config 模板创建 Amazon CloudFormation 托管规则