s3- bucket-policy-grantee-check

Vérifie que l'accès accordé par le compartiment Amazon S3 est restreint par AWS les principaux, les utilisateurs fédérés, les principaux de service, les adresses IP ou ceux VPCs que vous fournissez. La règle est COMPLIANT si une stratégie de compartiment n'est pas présente.

Par exemple, si le paramètre d'entrée pour la règle est la liste des deux principaux : 111122223333 et 444455556666 et la politique de compartiment spécifie que seul 111122223333 peut accéder au compartiment, alors la règle est COMPLIANT. Avec les mêmes paramètres d'entrée : si la politique du bucket le spécifie 111122223333 et 444455556666 permet d'accéder au bucket, il est également CONFORME.

Toutefois, si la politique du compartiment indique que 999900009999 l'accès au compartiment est autorisé, la règle est NON_COMPLIANT.

Note

Si une politique de compartiment contient plusieurs instructions, chaque instruction de la politique de compartiment est évaluée par cette règle.

Identificateur : S3_BUCKET_POLICY_GRANTEE_CHECK

Types de ressources : AWS::S3::Bucket

Type de déclencheur : changements de configuration

Région AWS: Toutes les AWS régions prises en charge sauf la région Asie-Pacifique (Thaïlande) et Mexique (centre)

Paramètres :

awsPrincipals (facultatif)
Type : CSV: Liste de principes séparés par des virgules, tels que l'utilisateur IAM ARNs, le rôle IAM et les comptes. ARNs AWS Vous devez fournir l'ARN complet ou utiliser une correspondance partielle. Par exemple, « arn:aws:iam : :role/ » ou « arn:aws:iam : :role/* AccountID ». role_name AccountID Si la valeur fournie ne correspond pas exactement à l'ARN principal spécifié dans la politique du bucket, la règle est NON_COMPLIANT.
servicePrincipals (facultatif)
Type : CSV: Liste des principaux de services séparés par des virgules, par exemple « cloudtrail.amazonaws.com, lambda.amazonaws.com ».
federatedUsers (facultatif)
Type : CSV: Liste de fournisseurs d'identité séparés par des virgules pour la fédération d'identité Web tels qu'Amazon Cognito et les fournisseurs d'identité SAML. Par exemple, « cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider ».
ipAddresses (facultatif)
Type : CSV: Liste d'adresses IP au format CIDR séparées par des virgules, par exemple « 10.0.0.1, 192.168.1.0/24, 2001:db8::/32 ».
vpcIds (facultatif)
Type : CSV: Liste séparée par des virgules des Amazon Virtual Private Clouds (Amazon VPC) IDs, par exemple « vpc-1234abc0, vpc-ab1234c0".

AWS CloudFormation modèle

Pour créer des règles AWS Config gérées à l'aide AWS CloudFormation de modèles, voirCréation de règles AWS Config gérées à l'aide AWS CloudFormation de modèles.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

s3- bucket-mfa-delete-enabled

s3- bucket-policy-not-more -permissif