s3-bucket-policy-grantee-check

检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何 AWS 委托人、联合用户、服务委托人、IP 地址或 VPC 的限制。如果存储桶策略不存在，则此规则为 COMPLIANT。

例如，如果规则的输入参数为包含 111122223333 和 444455556666 这两个委托人的列表，并且存储桶策略指定仅 111122223333 能够访问存储桶，则此规则为 COMPLIANT。使用相同的输入参数：如果存储桶策略指定 111122223333 和 444455556666 可以访问存储桶，则此规则也为 COMPLIANT。

但是，如果存储桶策略指定 999900009999 可以访问存储桶，则此规则将为 NON_COMPLIANT。

注意

如果存储桶策略包含多个语句，则将根据此规则评估存储桶策略中的每条语句。

标识符：S3_BUCKET_POLICY_GRANTEE_CHECK

资源类型：AWS::S3::Bucket

触发器类型： 配置更改

AWS 区域: 所有支持的 AWS 区域

参数：

awsPrincipals（可选）
类型：CSV: Comma-separated 委托人列表，例如 IAM 用户 ARN、IAM 角色 ARN 和账户。 AWS 您必须提供完整的 ARN 或使用部分匹配。例如，“arn: aws: iam:: role/AccountID” 或 “arn: aws: iam:: role/*” role_name。AccountID如果提供的值与存储桶策略中指定的主体 ARN 不完全匹配，则此规则为 NON_COMPLIANT。
servicePrincipals（可选）
类型：CSV: Comma-separated 服务主体列表，例如 “cloudtrail.amazonaws.com，lambda.amazonaws.com”。
federatedUsers（可选）
类型：CSV: Comma-separated 网络联合身份验证的身份提供者列表，例如 Amazon Cognito 和 SAML 身份提供商。例如 'cognito-identity.amazonaws.com，arn: aws: iam:: 111122223333: saml--provider '。provider/my
ipAddresses（可选）
类型：CSV: Comma-separated CIDR 格式化的 IP 地址列表，例如 '10.0.0.1、192.168.1。 0/24，2001：db8:: /32'。
vpcIds（可选）
类型：CSV: Comma-separated 亚马逊虚拟私有云（亚马逊 VPC）ID 列表，例如 'vpc-1234abc0，vpc-ab1234c0 '。

AWS CloudFormation 模板

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则，请参阅使用 AWS CloudFormation 模板创建 AWS Config 托管规则。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

s3-bucket-mfa-delete-enabled

s3-bucket-policy-not-more-permissive