s3- bucket-policy-grantee-check - AWS Config
AWS CloudFormation modelo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

s3- bucket-policy-grantee-check

Verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dos AWS principais, usuários federados, diretores de serviços, endereços IP ou fornecidos por você. VPCs A regra é COMPLIANT se uma política de bucket não estiver presente.

Por exemplo, se o parâmetro de entrada da regra for a lista de dois principais: 111122223333 444455556666 e a política do bucket especificar que só 111122223333 pode acessar o bucket, a regra será. COMPLIANT Com os mesmos parâmetros de entrada: se a política do bucket especificar isso 111122223333 e 444455556666 puder acessar o bucket, ela também COMPLIANT será.

No entanto, se a política do bucket especificar quem 999900009999 pode acessar o bucket, a regra será NON _COMPLIANT.

nota

Se uma política de bucket contiver mais de uma instrução, cada instrução na política de bucket será avaliada de acordo com essa regra.

Identificador: S3_ _ _ BUCKET _ POLICY GRANTEE CHECK

Tipos de recursos: AWS::S3::Bucket

Tipo de trigger: alterações da configuração

Região da AWS: Todas as AWS regiões suportadas

Parâmetros:

awsPrincipals (Opcional)
Tipo: CSV

Lista separada por vírgulas de entidades principais, como IAM usuário ARNsARNs, IAM função e contas. AWS Você deve fornecer a correspondência completa ARN ou usar a correspondência parcial. Por exemplo, “arn:aws:iam::AccountID:função/role_name“ou “arn:aws:iam::AccountID:função/*”. Se o valor fornecido não corresponder exatamente ao principal ARN especificado na política do bucket, a regra será NON _COMPLIANT.

servicePrincipals (Opcional)
Tipo: CSV

Lista separada por vírgulas das entidades principais de serviços, por exemplo, 'cloudtrail.amazonaws.com, lambda.amazonaws.com'.

federatedUsers (Opcional)
Tipo: CSV

Lista separada por vírgula de provedores de identidade para federação de identidade na web, como Amazon Cognito SAML e provedores de identidade. Por exemplo, 'cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider'.

ipAddresses (Opcional)
Tipo: CSV

Lista separada por vírgulas de endereços IP CIDR formatados, por exemplo, '10.0.0.1, 192.168.1.0/24, 2001:db8: :/32'.

vpcIds (Opcional)
Tipo: CSV

Lista separada por vírgulas das Amazon Virtual Private Clouds VPC (Amazon)IDs, por exemplo, 'vpc-1234abc0, vpc-ab1234c0'.

AWS CloudFormation modelo

Para criar regras AWS Config gerenciadas com AWS CloudFormation modelos, consulteCriar regras gerenciadas do AWS Config com modelos do AWS CloudFormation.