s3-bucket-policy-grantee-check - Amazon Config
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

s3-bucket-policy-grantee-check

检查 Amazon S3 存储桶授予的访问权限是否受任何 Amazon 委托人、联合用户、服务委托人、IP 地址或您提供的 VPC 的限制。如果存储桶策略不存在,则此规则为 COMPLIANT。

例如,如果规则的输入参数为包含 111122223333444455556666 这两个委托人的列表,并且存储桶策略指定仅 111122223333 能够访问存储桶,则此规则为 COMPLIANT。使用相同的输入参数:如果存储桶策略指定 111122223333444455556666 可以访问存储桶,则它也是合规的。但是,如果存储桶策略指定 999900009999 可以访问存储桶,则规则将为 NON-COMPLIANT。

注意

如果存储桶策略包含多个语句,则将根据此规则评估存储桶策略中的每条语句。

标识符:S3_BUCKET_POLICY_GRANTEE_CHECK

资源类型: AWS::S3::Bucket

触发器类型: 配置更改

Amazon Web Services 区域:除亚太地区(海得拉巴)、加拿大西部(卡尔加里)和欧洲(西班牙)区域外的所有受支持 Amazon 区域

参数:

awsPrincipals(可选)
类型:CSV

逗号分隔的委托人列表,例如 IAM 用户 ARN、IAM 角色 ARN 和 Amazon 账户,如“arn:aws:iam::111122223333:user/Alice, arn:aws:iam::444455556666:role/Bob, 123456789012”。

servicePrincipals(可选)
类型:CSV

逗号分隔的服务委托人列表,例如“cloudtrail.amazonaws.com, lambda.amazonaws.com”。

federatedUsers(可选)
类型:CSV

Web 身份联合验证的身份提供商(如 Amazon Cognito 和 SAML 身份提供商)的逗号分隔列表。例如“cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider”。

ipAddresses(可选)
类型:CSV

CIDR 格式的 IP 地址的逗号分隔列表,例如“10.0.0.1, 192.168.1.0/24, 2001:db8::/32”。

vpcIds(可选)
类型:CSV

Amazon Virtual Private Cloud (Amazon VPC) ID 的逗号分隔列表,例如“vpc-1234abc0, vpc-ab1234c0”。

Amazon CloudFormation 模板

要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则,请参阅使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则