s3-bucket-policy-grantee-check - AWS Config
AWS CloudFormation 範本

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

s3-bucket-policy-grantee-check

檢查 Amazon S3 儲存貯體授予的存取權是否受到您提供的任何 AWS 委託人、聯合身分使用者、服務委託人、IP 地址或 VPCs的限制。如果儲存貯體政策不存在,則表示規則為 COMPLIANT。

例如,如果規則的輸入參數是兩個委託人清單:111122223333444455556666 且儲存貯體政策指定只有 111122223333 可以存取儲存貯體,則表示規則為 COMPLIANT。使用相同的輸入參數:如果儲存貯體政策指定 111122223333444455556666 可存取儲存貯體,則它也是 COMPLIANT。

不過,如果儲存貯體政策指定 999900009999可存取儲存貯體,則規則為 NON_COMPLIANT。

注意

如果儲存貯體政策包含多個陳述式,則儲存貯體政策中的每個陳述式都會根據此規則進行評估。

Identifier: (識別符:) S3_BUCKET_POLICY_GRANTEE_CHECK

資源類型:AWS::S3::Bucket

觸發類型: Configuration changes (組態變更)

AWS 區域:除亞太區域 (泰國)、墨西哥 (中部) AWS 區域以外所有支援的 區域

參數:

awsPrincipals (選用)
類型:CSV

逗號分隔的主體清單,例如 IAM 使用者 ARNs、IAM 角色 ARNs 和 AWS 帳戶。您必須提供完整的 ARN 或使用部分比對。例如,"arn:aws:iam::AccountID:role/role_name" 或 "arn:aws:iam::AccountID:role/*"。如果提供的值與儲存貯體政策中指定的主體 ARN 不完全相符,則規則為「NON_COMPLIANT」。

servicePrincipals (選用)
類型:CSV

以逗號分隔的服務主體清單,例如 'cloudtrail.amazonaws.com, lambda.amazonaws.com'。

federatedUsers (選用)
類型:CSV

以逗號分隔之 Web 聯合身分的身分提供者清單,例如 Amazon Cognito 和 SAML 身分提供者。例如 'cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider'。

ipAddresses (選用)
類型:CSV

以逗號分隔的 CIDR 格式化 IP 地址清單,例如 '10.0.0.1, 192.168.1.0/24, 2001:db8::/32'。

vpcIds (選用)
類型:CSV

以逗號分隔的 Amazon Virtual Private Cloud (Amazon VPC) ID 清單,例如 'vpc-1234abc0, vpc-ab1234c0'。

AWS CloudFormation 範本

若要使用 AWS CloudFormation 範本建立 AWS Config 受管規則,請參閱 使用 AWS CloudFormation 範本建立 AWS Config 受管規則