s3- bucket-policy-grantee-check - AWS Config
AWS CloudFormation modello

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

s3- bucket-policy-grantee-check

Verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o da te forniti. VPCs La regola è COMPLIANT se non è presente una policy sui bucket.

Ad esempio, se il parametro di input della regola è l'elenco di due principi: 111122223333 444455556666 e la policy del bucket specifica che solo 111122223333 può accedere al bucket, allora la regola è. COMPLIANT Con gli stessi parametri di input: se la policy del bucket lo specifica 111122223333 e 444455556666 può accedere al bucket, lo è anche. COMPLIANT

Tuttavia, se la policy del bucket specifica chi 999900009999 può accedere al bucket, la regola è _. NON COMPLIANT

Nota

Se una policy del bucket contiene più di un'istruzione, ogni istruzione in tale policy viene valutata in base a questa regola.

Identificatore: S3_ _ _ BUCKET POLICY GRANTEE CHECK

Tipi di risorse: AWS::S3::Bucket

Tipo di trigger: Modifiche alla configurazione

Regione AWS: tutte le AWS regioni supportate tranne Asia Pacifico (Hyderabad), Asia Pacifico (Malesia), Canada occidentale (Calgary), Europa (Spagna)

Parametri:

awsPrincipals (Facoltativo)
Tipo: CSV

Elenco separato da virgole di principali come IAM UtenteARNs, IAM Ruolo ARNs e Account. AWS È necessario fornire la corrispondenza completa ARN o utilizzare la corrispondenza parziale. Ad esempio, «arn:aws:iam: ::role/" o «arn:aws:iam: ::role/*AccountID». role_name AccountID Se il valore fornito non corrisponde esattamente al valore principale specificato nella policy del bucket, la regola è _. ARN NON COMPLIANT

servicePrincipals (Facoltativo)
Tipo: CSV

Elenco separato da virgole dei principali del servizio, ad esempio "cloudtrail.amazonaws.com, lambda.amazonaws.com".

federatedUsers (Opzionale)
Tipo: CSV

Elenco separato da virgole di provider di identità per la federazione delle identità Web come Amazon Cognito e provider di identità. SAML Ad esempio "cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider".

ipAddresses (Facoltativo)
Tipo: CSV

Elenco separato da virgole di indirizzi IP CIDR formattati, ad esempio '10.0.0.1, 192.168.1.0/24, 2001:db8: :/32'.

vpcIds (Facoltativo)
Tipo: CSV

Elenco separato da virgole di Amazon Virtual Private Clouds (AmazonVPC)IDs, ad esempio 'vpc-1234abc0, vpc-ab1234c0'.

AWS CloudFormation modello

Per creare regole AWS Config gestite con AWS CloudFormation modelli, vedereCreazione di regole gestite di AWS Config con modelli AWS CloudFormation.