s3-bucket-policy-grantee-check

Vérifie que l'accès accordé par le compartiment Amazon S3 est restreint par AWS les principaux, les utilisateurs fédérés, les principaux de service, les adresses IP ou les VPC que vous fournissez. La règle est COMPLIANT si une stratégie de compartiment n'est pas présente.

Par exemple, si le paramètre d'entrée pour la règle est la liste des deux principaux : 111122223333 et 444455556666 et la politique de compartiment spécifie que seul 111122223333 peut accéder au compartiment, alors la règle est COMPLIANT. Avec les mêmes paramètres d'entrée : si la politique du bucket le spécifie 111122223333 et 444455556666 permet d'accéder au bucket, il est également CONFORME.

Toutefois, si la politique du compartiment indique que 999900009999 l'accès au compartiment est autorisé, la règle est NON_COMPLIANT.

Note

Si une politique de compartiment contient plusieurs instructions, chaque instruction de la politique de compartiment est évaluée par cette règle.

Identificateur : S3_BUCKET_POLICY_GRANTEE_CHECK

Types de ressources : AWS::S3::Bucket

Type de déclencheur : changements de configuration

Région AWS: Toutes les AWS régions prises en charge

Paramètres :

awsPrincipals (facultatif)
Type : CSV: Comma-separated liste de principes tels que les ARN des utilisateurs IAM, les ARN des rôles IAM et les comptes. AWS Vous devez fournir l'ARN complet ou utiliser une correspondance partielle. Par exemple, « arn:aws:iam : :role/ » ou « arn:aws:iam : :role/* AccountID ». role_name AccountID Si la valeur fournie ne correspond pas exactement à l'ARN principal spécifié dans la politique du bucket, la règle est NON_COMPLIANT.
servicePrincipals (facultatif)
Type : CSV: Comma-separated liste des principaux services, par exemple « cloudtrail.amazonaws.com, lambda.amazonaws.com ».
federatedUsers (facultatif)
Type : CSV: Comma-separated liste de fournisseurs d'identité pour la fédération d'identité Web, tels qu'Amazon Cognito et les fournisseurs d'identité SAML. Par exemple, « cognito-identity.amazonaws.com, arn:aws:iam : :111122223333:saml- --provider'. provider/my
ipAddresses (facultatif)
Type : CSV: Comma-separated liste d'adresses IP au format CIDR, par exemple « 10.0.0.1, 192.168.1 ». 0/24, 2001:db8 : :/32'.
vpcIds (facultatif)
Type : CSV: Comma-separated liste des identifiants Amazon Virtual Private Clouds (Amazon VPC), par exemple « vpc-1234abc0, vpc-ab1234c0".

AWS CloudFormation modèle

Pour créer des règles AWS Config gérées à l'aide AWS CloudFormation de modèles, voirCréation de règles AWS Config gérées à l'aide AWS CloudFormation de modèles.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

s3-bucket-mfa-delete-enabled

s3-bucket-policy-not-more-permissive