S3-bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service (Amazon S3) バケットポリシーが、他のアカウントのプリンシパルに対して、バケット内のリソースに対するブロックリストに登録されたバケットレベルおよびオブジェクトレベルのアクションを許可していないかどうかを確認します。 AWS たとえば、このルールは、Amazon S3 バケットポリシーが、 AWS s3:GetBucket*他のアカウントがバケット内のどのオブジェクトに対してもアクションを実行することを許可していないことを確認します。s3:DeleteObjectブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON_COMPLIANT です。

注記

このルールでは、Principal プロパティ内のエンティティのみがチェックされ、ポリシーの Condition プロパティの条件は考慮されません。

Identifier: S3_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED

リソースタイプ: AWS::S3::Bucket

トリガータイプ: 設定変更

AWS リージョン: アジア太平洋 (ハイデラバード)、ヨーロッパ (スペイン) AWS リージョンを除くすべてのサポート対象リージョン

パラメータ:

blacklistedActionPattern

タイプ: CSV

ブラックリストに登録されたアクションパターンのカンマ区切りリスト。例:s3: * と s3: GetBucket DeleteObject

AWS CloudFormation テンプレート

AWS Config AWS CloudFormation テンプレートを使用してマネージドルールを作成するには、を参照してくださいAWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成。