s-3 bucket-policy-grantee-check - AWS Config
AWS CloudFormation Vorlage

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

s-3 bucket-policy-grantee-check

Überprüft, ob der vom Amazon S3 S3-Bucket gewährte Zugriff durch die von Ihnen AWS angegebenen Principals, Verbundbenutzer, Service-Principals, IP-Adressen oder VPCs IP-Adressen eingeschränkt ist. Die Regel gilt, COMPLIANT wenn keine Bucket-Richtlinie vorhanden ist.

Wenn der Eingabeparameter für die Regel beispielsweise die Liste mit zwei Prinzipalen ist: 111122223333 444455556666 und die Bucket-Richtlinie spezifiziert, dass nur auf den Bucket zugegriffen werden 111122223333 kann, dann gilt COMPLIANT die Regel. Mit den gleichen Eingabeparametern: Wenn die Bucket-Richtlinie dies spezifiziert 111122223333 und auf den Bucket zugreifen 444455556666 kann, ist dies auch COMPLIANT der Fall.

Wenn die Bucket-Richtlinie jedoch angibt, dass auf den Bucket zugegriffen werden 999900009999 kann, lautet die Regel NON _COMPLIANT.

Anmerkung

Wenn eine Bucket-Richtlinie mehr als eine Anweisung enthält, wird jede Anweisung in der Bucket-Richtlinie anhand dieser Regel ausgewertet.

Kennung: S3_ _ _ BUCKET _ POLICY GRANTEE CHECK

Ressourcentypen: AWS::S3::Bucket

Auslösertyp: Konfigurationsänderungen

AWS-Region: Alle unterstützten AWS Regionen

Parameter:

awsPrincipals (Fakultativ)
Typ: CSV

Durch Kommas getrennte Liste von Prinzipalen wie IAM Benutzer ARNsARNs, IAM Rolle und Konten. AWS Sie müssen den vollständigen ARN oder teilweisen Abgleich angeben. Zum Beispiel „arn:aws:iam::AccountID:role/role_name"oder „arn:aws:iam::AccountID:Rolle/*“. Wenn der angegebene Wert nicht exakt mit dem in der Bucket-Richtlinie ARN angegebenen Prinzipal übereinstimmt, lautet die Regel _. NON COMPLIANT

servicePrincipals (Fakultativ)
Typ: CSV

Durch Kommata getrennte Liste von Service-Prinzipalen, zum Beispiel „cloudtrail.amazonaws.com, lambda.amazonaws.com“.

federatedUsers (Fakultativ)
Typ: CSV

Durch Kommas getrennte Liste von Identitätsanbietern für den Web-Identitätsverbund wie Amazon Cognito und SAML Identitätsanbietern. Zum Beispiel „cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider“.

ipAddresses (Fakultativ)
Typ: CSV

Durch Kommas getrennte Liste CIDR formatierter IP-Adressen, zum Beispiel '10.0.0.1, 192.168.1.0/24, 2001:db8: :/32'.

vpcIds (Fakultativ)
Typ: CSV

Durch Kommas getrennte Liste von Amazon Virtual Private Clouds (AmazonVPC)IDs, zum Beispiel 'vpc-1234abc0, vpc-ab1234c0'.

AWS CloudFormation Vorlage

Informationen zum Erstellen AWS Config verwalteter Regeln mit AWS CloudFormation Vorlagen finden Sie unterErstellen von verwalteten AWS Config-Regeln mit AWS CloudFormation-Vorlagen.