Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
s3- bucket-policy-grantee-check
Vérifie que l'accès accordé par le compartiment Amazon S3 est restreint par AWS les principaux, les utilisateurs fédérés, les principaux de service, les adresses IP ou ceux VPCs que vous fournissez. La règle s'applique COMPLIANT si aucune politique de compartiment n'est présente.
Par exemple, si le paramètre d'entrée de la règle est la liste de deux principes : 111122223333
444455556666
et que la politique du compartiment précise que seul le compartiment 111122223333
peut accéder au compartiment, alors la règle estCOMPLIANT. Avec les mêmes paramètres d'entrée : si la politique de compartiment spécifie que 111122223333
et 444455556666
peuvent accéder au compartiment, elle est également conforme. Toutefois, si la politique du compartiment 999900009999
indique que l'accès au compartiment est autorisé, la règle est NON -COMPLIANT.
Note
Si une politique de compartiment contient plusieurs instructions, chaque instruction de la politique de compartiment est évaluée par cette règle.
Identifiant : S3_ _ _ BUCKET _ POLICY GRANTEE CHECK
Types de ressources : AWS::S3::Bucket
Type de déclencheur : changements de configuration
Région AWS: Toutes les AWS régions prises en charge
Paramètres :
- awsPrincipals (Facultatif)
- Type : CSV
-
Liste de principes séparés par des virgules, tels que l'IAMutilisateurARNs, le IAM rôle ARNs et les AWS comptes, par exemple « arn:aws:iam : :111122223333:user/Alice, arn:aws:iam : :444455556666:role/bob, 123456789012 ».
- servicePrincipals (Facultatif)
- Type : CSV
-
Liste des principaux de services séparés par des virgules, par exemple « cloudtrail.amazonaws.com, lambda.amazonaws.com ».
- federatedUsers (Facultatif)
- Type : CSV
-
Liste de fournisseurs d'identité séparés par des virgules pour la fédération d'identité Web, tels qu'Amazon Cognito SAML et les fournisseurs d'identité. Par exemple, « cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider ».
- ipAddresses (Facultatif)
- Type : CSV
-
Liste d'adresses IP CIDR formatées séparées par des virgules, par exemple « 10.0.0.1, 192.168.1.0/24, 2001:db8 : :/32 ».
- vpcIds (Facultatif)
- Type : CSV
-
Liste séparée par des virgules des Amazon Virtual Private Clouds VPC (Amazon)IDs, par exemple « vpc-1234abc0, vpc-ab1234c0".
AWS CloudFormation modèle
Pour créer des règles AWS Config gérées à l'aide AWS CloudFormation de modèles, voirCréation de règles gérées AWS Config avec des modèles AWS CloudFormation.