As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# s3-bucket-policy-grantee-check
<a name="s3-bucket-policy-grantee-check"></a>

Verifica se o acesso concedido pelo bucket do Amazon S3 é restrito por qualquer um dos AWS principais, usuários federados, entidades principais de serviços, endereços IP ou VPCs que você fornece. A regra será COMPLIANT se uma política de bucket não estiver presente.

Por exemplo, se o parâmetro de entrada para a regra for a lista de duas entidades principais: `111122223333` e `444455556666` e a política de bucket especificar que apenas `111122223333` pode acessar o bucket, a regra será COMPLIANT. Com os mesmos parâmetros de entrada: se a política de bucket especificar que `111122223333` e `444455556666` podem acessar o bucket, ela também será COMPLIANT.

No entanto, se a política de bucket especificar que `999900009999` pode acessar o bucket, a regra será NON\_COMPLIANT. 

**nota**  
Se uma política de bucket contiver mais de uma instrução, cada instrução na política de bucket será avaliada de acordo com essa regra.



**Identificador:** S3\_BUCKET\_POLICY\_GRANTEE\_CHECK

**Tipos de Recurso:** AWS::S3::Bucket

**Tipo de trigger:** alterações da configuração

**Região da AWS:** Todas as AWS regiões suportadas

**Parâmetros:**

awsPrincipals (opcional)Tipo: CSV  
Comma-separated lista de principais, como ARNs de usuário do IAM, ARNs de função do IAM e contas. AWS Você deve fornecer o ARN completo ou usar a correspondência parcial. Por exemplo, “arn:aws:iam: ::role/" ou “arn:aws:iam: ::role/\*{{AccountID}}”. {{role\_name}} {{AccountID}} Se o valor fornecido não corresponder exatamente ao ARN da entidade principal especificado na política do bucket, a regra será NON\_COMPLIANT.

servicePrincipals (opcional)Tipo: CSV  
Comma-separated lista de diretores de serviços, por exemplo, 'cloudtrail.amazonaws.com, lambda.amazonaws.com'.

federatedUsers (opcional)Tipo: CSV  
Comma-separated lista de provedores de identidade para federação de identidade da web, como Amazon Cognito e provedores de identidade SAML. Por exemplo, 'cognito-identity.amazonaws.com, arn:aws:iam: :111122223333:saml- -provider'. provider/my

ipAddresses (opcional)Tipo: CSV  
Comma-separated lista de endereços IP formatados com CIDR, por exemplo, '10.0.0.1, 192.168.1. 0/24, 2001:db8: :/32'.

vpcIds (opcional)Tipo: CSV  
Comma-separated lista de IDs da Amazon Virtual Private Clouds (Amazon VPC), por exemplo, 'vpc-1234abc0, vpc-ab1234c0'.

## AWS CloudFormation modelo
<a name="w2aac20c16c17b7e1395c25"></a>

Para criar regras AWS Config gerenciadas com AWS CloudFormation modelos, consulte[Criação de regras AWS Config gerenciadas com AWS CloudFormation modelos](aws-config-managed-rules-cloudformation-templates.md).