s3- bucket-policy-grantee-check

Vérifie que l'accès accordé par le compartiment Amazon S3 est restreint par AWS les principaux, les utilisateurs fédérés, les principaux de service, les adresses IP ou ceux VPCs que vous fournissez. La règle s'applique COMPLIANT si aucune politique de compartiment n'est présente.

Par exemple, si le paramètre d'entrée de la règle est la liste de deux principes : 111122223333 444455556666 et que la politique du compartiment précise que seul le compartiment 111122223333 peut accéder au compartiment, alors la règle estCOMPLIANT. Avec les mêmes paramètres d'entrée : si la politique de compartiment spécifie que 111122223333 et 444455556666 peuvent accéder au compartiment, elle est également conforme. Toutefois, si la politique du compartiment 999900009999 indique que l'accès au compartiment est autorisé, la règle est NON -COMPLIANT.

Note

Si une politique de compartiment contient plusieurs instructions, chaque instruction de la politique de compartiment est évaluée par cette règle.

Identifiant : S3_ _ _ BUCKET _ POLICY GRANTEE CHECK

Types de ressources : AWS::S3::Bucket

Type de déclencheur : changements de configuration

Région AWS: Toutes les AWS régions prises en charge

Paramètres :

awsPrincipals (Facultatif)
Type : CSV: Liste de principes séparés par des virgules, tels que l'IAMutilisateurARNs, le IAM rôle ARNs et les AWS comptes, par exemple « arn:aws:iam : :111122223333:user/Alice, arn:aws:iam : :444455556666:role/bob, 123456789012 ».
servicePrincipals (Facultatif)
Type : CSV: Liste des principaux de services séparés par des virgules, par exemple « cloudtrail.amazonaws.com, lambda.amazonaws.com ».
federatedUsers (Facultatif)
Type : CSV: Liste de fournisseurs d'identité séparés par des virgules pour la fédération d'identité Web, tels qu'Amazon Cognito SAML et les fournisseurs d'identité. Par exemple, « cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider ».
ipAddresses (Facultatif)
Type : CSV: Liste d'adresses IP CIDR formatées séparées par des virgules, par exemple « 10.0.0.1, 192.168.1.0/24, 2001:db8 : :/32 ».
vpcIds (Facultatif)
Type : CSV: Liste séparée par des virgules des Amazon Virtual Private Clouds VPC (Amazon)IDs, par exemple « vpc-1234abc0, vpc-ab1234c0".

AWS CloudFormation modèle

Pour créer des règles AWS Config gérées à l'aide AWS CloudFormation de modèles, voirCréation de règles gérées AWS Config avec des modèles AWS CloudFormation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

s3- bucket-mfa-delete-enabled

s3- bucket-policy-not-more -permissif