本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# s3-bucket-policy-grantee-check
<a name="s3-bucket-policy-grantee-check"></a>

检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何 AWS 委托人、联合用户、服务委托人、IP 地址或 VPC 的限制。如果存储桶策略不存在，则此规则为 COMPLIANT。

例如，如果规则的输入参数为包含 `111122223333` 和 `444455556666` 这两个委托人的列表，并且存储桶策略指定仅 `111122223333` 能够访问存储桶，则此规则为 COMPLIANT。使用相同的输入参数：如果存储桶策略指定 `111122223333` 和 `444455556666` 可以访问存储桶，则此规则也为 COMPLIANT。

但是，如果存储桶策略指定 `999900009999` 可以访问存储桶，则此规则将为 NON\_COMPLIANT。

**注意**  
如果存储桶策略包含多个语句，则将根据此规则评估存储桶策略中的每条语句。



**标识符：**S3\_BUCKET\_POLICY\_GRANTEE\_CHECK

**资源类型：**AWS::S3::Bucket

**触发器类型：** 配置更改

**AWS 区域:** 所有支持的 AWS 区域

**参数：**

awsPrincipals（可选）类型：CSV  
Comma-separated 委托人列表，例如 IAM 用户 ARN、IAM 角色 ARN 和账户。 AWS 您必须提供完整的 ARN 或使用部分匹配。例如，“arn: aws: iam:: role/{{AccountID}}” 或 “arn: aws: iam:: role/\*” {{role\_name}}。{{AccountID}}如果提供的值与存储桶策略中指定的主体 ARN 不完全匹配，则此规则为 NON\_COMPLIANT。

servicePrincipals（可选）类型：CSV  
Comma-separated 服务主体列表，例如 “cloudtrail.amazonaws.com，lambda.amazonaws.com”。

federatedUsers（可选）类型：CSV  
Comma-separated 网络联合身份验证的身份提供者列表，例如 Amazon Cognito 和 SAML 身份提供商。例如 'cognito-identity.amazonaws.com，arn: aws: iam:: 111122223333: saml--provider '。provider/my

ipAddresses（可选）类型：CSV  
Comma-separated CIDR 格式化的 IP 地址列表，例如 '10.0.0.1、192.168.1。 0/24，2001：db8:: /32'。

vpcIds（可选）类型：CSV  
Comma-separated 亚马逊虚拟私有云（亚马逊 VPC）ID 列表，例如 'vpc-1234abc0，vpc-ab1234c0 '。

## AWS CloudFormation 模板
<a name="w2aac20c16c17b7e1395c25"></a>

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则，请参阅[使用 AWS CloudFormation 模板创建 AWS Config 托管规则](aws-config-managed-rules-cloudformation-templates.md)。