

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# s3-bucket-policy-grantee-check
<a name="s3-bucket-policy-grantee-check"></a>

Vérifie que l'accès accordé par le compartiment Amazon S3 est restreint par AWS les principaux, les utilisateurs fédérés, les principaux de service, les adresses IP ou les VPC que vous fournissez. La règle est COMPLIANT si une stratégie de compartiment n'est pas présente.

Par exemple, si le paramètre d'entrée pour la règle est la liste des deux principaux : `111122223333` et `444455556666` et la politique de compartiment spécifie que seul `111122223333` peut accéder au compartiment, alors la règle est COMPLIANT. Avec les mêmes paramètres d'entrée : si la politique du bucket le spécifie `111122223333` et `444455556666` permet d'accéder au bucket, il est également CONFORME.

Toutefois, si la politique du compartiment indique que `999900009999` l'accès au compartiment est autorisé, la règle est NON\_COMPLIANT. 

**Note**  
Si une politique de compartiment contient plusieurs instructions, chaque instruction de la politique de compartiment est évaluée par cette règle.


**Identificateur :** S3\_BUCKET\_POLICY\_GRANTEE\_CHECK

**Types de ressources :** AWS::S3::Bucket

**Type de déclencheur :** changements de configuration

**Région AWS:** Toutes les AWS régions prises en charge

**Paramètres :**

awsPrincipals (facultatif)Type : CSV  
Comma-separated liste de principes tels que les ARN des utilisateurs IAM, les ARN des rôles IAM et les comptes. AWS Vous devez fournir l'ARN complet ou utiliser une correspondance partielle. Par exemple, « arn:aws:iam : :role/ » ou « arn:aws:iam : :role/\* {{AccountID}} ». {{role\_name}} {{AccountID}} Si la valeur fournie ne correspond pas exactement à l'ARN principal spécifié dans la politique du bucket, la règle est NON\_COMPLIANT.

servicePrincipals (facultatif)Type : CSV  
Comma-separated liste des principaux services, par exemple « cloudtrail.amazonaws.com, lambda.amazonaws.com ».

federatedUsers (facultatif)Type : CSV  
Comma-separated liste de fournisseurs d'identité pour la fédération d'identité Web, tels qu'Amazon Cognito et les fournisseurs d'identité SAML. Par exemple, « cognito-identity.amazonaws.com, arn:aws:iam : :111122223333:saml- --provider'. provider/my

ipAddresses (facultatif)Type : CSV  
Comma-separated liste d'adresses IP au format CIDR, par exemple « 10.0.0.1, 192.168.1 ». 0/24, 2001:db8 : :/32'.

vpcIds (facultatif)Type : CSV  
Comma-separated liste des identifiants Amazon Virtual Private Clouds (Amazon VPC), par exemple « vpc-1234abc0, vpc-ab1234c0".

## AWS CloudFormation modèle
<a name="w2aac20c16c17b7e1395c25"></a>

Pour créer des règles AWS Config gérées à l'aide AWS CloudFormation de modèles, voir[Création de règles AWS Config gérées à l'aide AWS CloudFormation de modèles](aws-config-managed-rules-cloudformation-templates.md).