s3-bucket-policy-grantee-check - AWS Config
AWS CloudFormation 範本

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

s3-bucket-policy-grantee-check

檢查 Amazon S3 儲存貯體授予的存取權是否受到VPCs您提供的任何 AWS 主體、聯合使用者、服務主體、IP 地址的限制。規則是COMPLIANT如果不存在儲存貯體政策。

例如,如果規則的輸入參數是兩個主體的清單: 444455556666 111122223333和 儲存貯體政策指定 111122223333 只能存取儲存貯體,則規則為 COMPLIANT。使用相同的輸入參數:如果儲存貯體政策指定 111122223333444455556666可存取儲存貯體,則它也是 COMPLIANT。

不過,如果儲存貯體政策指定 999900009999 可存取儲存貯體,則規則為 NON_COMPLIANT。

注意

如果儲存貯體政策包含多個陳述式,則儲存貯體政策中的每個陳述式都會根據此規則進行評估。

識別符:S3_BUCKET_POLICY_GRANTEE_CHECK

資源類型: AWS::S3::Bucket

觸發類型: Configuration changes (組態變更)

AWS 區域:所有支援 AWS 的區域

參數:

awsPrincipals (選用)
類型: CSV

以逗號分隔的主體清單ARNs,例如IAM使用者 ARNs、IAM角色 和 AWS 帳戶。您必須提供完整ARN或使用部分比對。例如,"arn:aws:iam::AccountID:角色/role_name" 或 "arn:aws:iam::AccountID:role/*"。如果提供的值與儲存貯體政策中ARN指定的主體不完全相符,則規則為 NON_COMPLIANT。

servicePrincipals (選用)
類型: CSV

以逗號分隔的服務主體清單,例如 'cloudtrail.amazonaws.com, lambda.amazonaws.com'。

federatedUsers (選用)
類型: CSV

以逗號分隔的 Web 身分聯合身分提供者清單,例如 Amazon Cognito 和SAML身分提供者。例如 'cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider'。

ipAddresses (選用)
類型: CSV

以逗號分隔的格式化 IP CIDR 地址清單,例如 '10.0.0.1、192.168.1.0/24、2001:db8::/32'。

vpcIds (選用)
類型: CSV

以逗號分隔的 Amazon Virtual Private Clouds (Amazon VPC) 清單IDs,例如 'vpc-1234abc0、vpc-ab1234c0'。

AWS CloudFormation 範本

若要使用 AWS CloudFormation 範本建立 AWS Config 受管規則,請參閱 建立 AWS Config 受管規則 (使用 AWS CloudFormation 範本)