s3-bucket-policy-grantee-check

检查 Amazon S3 存储桶授予的访问权限是否受到任何 AWS 委托人、联合用户、服务委托人、IP 地址或您VPCs提供的限制。规则是存储桶策略COMPLIANT是否不存在。

例如，如果规则的输入参数是两个委托人的列表：111122223333和，444455556666并且存储桶策略指定111122223333只能访问存储桶，则规则为COMPLIANT。使用相同的输入参数：如果存储桶策略指定了该存储桶111122223333并且444455556666可以访问该存储桶，那么它也是COMPLIANT。

但是，如果存储桶策略指定999900009999可以访问存储桶，则规则为 NON _ COMPLIANT。

注意

如果存储桶策略包含多个语句，则将根据此规则评估存储桶策略中的每条语句。

标识符：S3_ _ _ BUCKET _ POLICY GRANTEE CHECK

资源类型： AWS::S3::Bucket

触发器类型： 配置更改

AWS 区域: 所有支持的 AWS 区域

参数：

awsPrincipals （可选）
类型:CSV: 以逗号分隔的委托人列表，例如IAM用户ARNsARNs、IAM角色和帐户。 AWS 您必须提供完整内容ARN或使用部分匹配。例如，“arn: aws: iam::AccountID:角色/role_name“或” arn: aws: iam::AccountID:角色/*”。如果提供的值与存储桶策略中ARN指定的委托人不完全匹配，则规则为 NON _ COMPLIANT。
servicePrincipals （可选）
类型:CSV: 逗号分隔的服务委托人列表，例如“cloudtrail.amazonaws.com, lambda.amazonaws.com”。
federatedUsers （可选）
类型:CSV: 以逗号分隔的用于网络联合身份验证的身份提供者列表，例如 Amazon Cognit SAML o 和身份提供商。例如“cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider”。
ipAddresses （可选）
类型:CSV: 以逗号分隔的CIDR格式化 IP 地址列表，例如 '10.0.0.1、192.168.1.0/24、2001:db8:: /32'。
vpcIds （可选）
类型:CSV: 以逗号分隔的亚马逊虚拟私有云（亚马逊VPC）列表，例如 “vpc-1234abc0IDs，vpc-ab1234c0”。

AWS CloudFormation 模板

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则，请参阅使用 AWS CloudFormation 模板创建 AWS Config 托管规则。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

s3-bucket-mfa-delete-enabled

s3-bucket-policy-not-more-宽容