s3-bucket-policy-grantee-check - AWS Config

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

s3-bucket-policy-grantee-check

Amazon S3バケットによって許可されたアクセスが、指定したAWSプリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、またはいずれかのプリンシパルによって制限されていることを確認します。VPCsルールは、バケットポリシーが存在しない場合 COMPLIANT です。

たとえば、ルールへの入力パラメータが 2 つのプリンシパルのリストである場合: 111122223333およびバケットポリシーでは、 のみがバケットにアクセスできると指定されており、ルールは COMPLIANT です。444455556666111122223333同じ入力パラメータ: バケットポリシーでその 111122223333が指定されていて444455556666、 がバケットにアクセスできる場合は、それも準拠しています。ただし、バケットポリシーで、999900009999 がバケットにアクセスできると指定している場合、ルールは NON-COMPLIANT です。

注記

バケットポリシーに複数のステートメントが含まれている場合、バケットポリシーの各ステートメントはこのルールに対して評価されます。

識別子: S3_BUCKET_POLICY_GRANTEE_CHECK

トリガータイプ: 設定変更

AWS リージョン: サポートされているすべての AWS リージョン

パラメータ:

awsPrincipals

IAMユーザー、ARNsロール、IAMアカウントなどのプリンシパルのカンマ区切りリスト。例: 'ARNs, AWS , arn:aws:iam::111122223333:user/Alice 'arn:aws:iam::444455556666:role/Bob123456789012

servicePrincipals

サービスプリンシパルのカンマ区切りリスト。例: 'cloudtrail.amazonaws.com, lambda.amazonaws.com'

federatedUsers

Amazon Cognito、SAML ID プロバイダなど、ウェブ ID フェデレーション用の ID プロバイダのカンマ区切りリスト。たとえば、パラメータとして 'cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider' を指定できます。

ipAddresses

CIDR 形式の IP アドレスのカンマ区切りリスト。例: '10.0.0.1, 192.168.1.0/24, 2001:db8::/32'

vpcIds

Amazon Virtual Private Cloud(Amazon VPC) IDs のカンマ区切りリスト。例: 'vpc-1234abc0, vpc-ab1234c0 '

AWS CloudFormation テンプレート

AWS CloudFormation テンプレートを使用して AWS Config マネージドルールを作成するには、「AWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成」を参照してください。