本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# s3-bucket-policy-grantee-check
<a name="s3-bucket-policy-grantee-check"></a>

检查 Amazon S3 存储桶授予的访问权限是否受到任何 Amazon 委托人、联合用户、服务委托人、IP 地址或您 VPCs 提供的限制。如果存储桶策略不存在，则此规则为 COMPLIANT。

例如，如果规则的输入参数为包含 `111122223333` 和 `444455556666` 这两个委托人的列表，并且存储桶策略指定仅 `111122223333` 能够访问存储桶，则此规则为 COMPLIANT。使用相同的输入参数：如果存储桶策略指定 `111122223333` 和 `444455556666` 可以访问存储桶，则此规则也为 COMPLIANT。

但是，如果存储桶策略指定 `999900009999` 可以访问存储桶，则此规则将为 NON\_COMPLIANT。

**注意**  
如果存储桶策略包含多个语句，则将根据此规则评估存储桶策略中的每条语句。



**标识符：**S3\_BUCKET\_POLICY\_GRANTEE\_CHECK

**资源类型：** AWS::S3::Bucket

**触发器类型：** 配置更改

**Amazon Web Services 区域:** 所有支持的 Amazon 区域

**参数：**

awsPrincipals（可选）类型：CSV  
以逗号分隔的委托人列表，例如 IAM 用户 ARNs、IAM 角色 ARNs和账户。 Amazon 您必须提供完整的 ARN 或使用部分匹配。例如，“arn: aws: iam:: role/{{AccountID}}” 或 “arn: aws: iam:: role/\*” {{role\_name}}。{{AccountID}}如果提供的值与存储桶策略中指定的主体 ARN 不完全匹配，则此规则为 NON\_COMPLIANT。

servicePrincipals（可选）类型：CSV  
逗号分隔的服务委托人列表，例如“cloudtrail.amazonaws.com, lambda.amazonaws.com”。

federatedUsers（可选）类型：CSV  
Web 身份联合验证的身份提供商（如 Amazon Cognito 和 SAML 身份提供商）的逗号分隔列表。例如“cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider”。

ipAddresses（可选）类型：CSV  
CIDR 格式的 IP 地址的逗号分隔列表，例如“10.0.0.1, 192.168.1.0/24, 2001:db8::/32”。

vpcIds（可选）类型：CSV  
以逗号分隔的亚马逊虚拟私有云（亚马逊 VPC）列表，例如 'vpc-1234abc0 IDs、vpc-ab1234c0'。

## Amazon CloudFormation 模板
<a name="w2aac20c16c17b7e1389c25"></a>

要使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则，请参阅[使用 Amazon CloudFormation 模板创建 Amazon Config 托管规则](aws-config-managed-rules-cloudformation-templates.md)。