s3-bucket-blacklisted-actions-prohibited - AWS Config

s3-bucket-blacklisted-actions-prohibited

Amazon Simple Storage Service (Amazon S3) バケットポリシーが、バケット内のリソースで他の AWS アカウントのプリンシパルにして、ブロッククリストに登録されたバケットレベルおよびオブジェクトレベルのアクションを許可していないことを確認します。例えば、このルールでは、Amazon S3 バケットポリシーが、別の AWS アカウントのバケット内のオブジェクトで s3:GetBucket* アクションと s3:DeleteObject のいずれの実行も許可していないことを確認します。ブロックリストに登録されているアクションが Amazon S3 バケットポリシーによって許可されている場合、ルールは NON_COMPLIANT です。

注記

このルールでは、Principal プロパティ内のエンティティのみがチェックされ、ポリシーの Condition プロパティの条件は考慮されません。

Identifier: S3_BUCKET_BLACKLISTED_ACTIONS_PROHIBITED

リソースタイプ: AWS::S3::Bucket

トリガータイプ: 設定変更

AWS リージョン: 中東 (アラブ首長国連邦)、アジアパシフィック (ハイデラバード)、欧州 (スペイン)、欧州 (チューリッヒ) を除く、サポートされているすべての AWS リージョン

パラメータ:

blacklistedActionPattern
タイプ: CSV

ブラックリストに登録されているアクションのパターン (例: s3:GetBucket* および s3:DeleteObject) のカンマ区切りのリスト。

AWS CloudFormation テンプレート

AWS Config テンプレートを使用して AWS CloudFormation マネージドルールを作成するには、「AWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成」を参照してください。