s3-bucket-policy-grantee-check - AWS Config

s3-bucket-policy-grantee-check

Amazon S3 バケットによって許可されたアクセスが、指定した任意の AWS プリンシパル、フェデレーティッドユーザー、サービスプリンシパル、IP アドレス、または VPC によって制限されていることを確認します。バケットポリシーが存在しない場合、ルールは COMPLIANT です。

例えば、ルールの入力パラメータが 111122223333 および 444455556666 という 2 つのプリンシパルのリストで、バケットポリシーでは、111122223333 のみがバケットにアクセスできると指定している場合、ルールは COMPLIANT です。同じ入力パラメータのときに、バケットポリシーで 111122223333 および 444455556666 がバケットにアクセスできると指定している場合も準拠しています。ただし、バケットポリシーで、999900009999 がバケットにアクセスできると指定している場合、ルールは NON-COMPLIANT です。

注記

バケットポリシーに複数のステートメントが含まれている場合、バケットポリシーの各ステートメントはこのルールに対して評価されます。

識別子: S3_BUCKET_POLICY_GRANTEE_CHECK

トリガータイプ: 設定変更

AWS リージョン: サポートされているすべての AWS リージョン

パラメータ:

awsPrincipals (オプション)
タイプ: CSV

IAM ユーザー ARN、IAM ロール ARN、AWS アカウントなどのプリンシパルのカンマ区切りリスト。例: 「arn:aws:iam::111122223333:user/Alice, arn:aws:iam::444455556666:role/Bob, 123456789012」

servicePrincipals (オプション)
タイプ: CSV

サービスプリンシパルのカンマ区切りリスト。例: 「cloudtrail.amazonaws.com, lambda.amazonaws.com」

federatedUsers (オプション)
タイプ: CSV

Amazon Cognito、SAML ID プロバイダーなど、ウェブ ID フェデレーションの アイデンティティ プロバイダーのカンマ区切りリスト。例: 「cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider」

ipAddresses (オプション)
タイプ: CSV

CIDR 形式の IP アドレスのカンマ区切りリスト。例: 「10.0.0.1, 192.168.1.0/24, 2001:db8::/32」

vpcIds (オプション)
タイプ: CSV

Amazon Virtual Private Cloud (Amazon VPC) ID のカンマ区切りリスト。例: 「vpc-1234abc0, vpc-ab1234c0」

AWS CloudFormation テンプレート

AWS Config テンプレートを使用して AWS CloudFormation マネージドルールを作成するには、「AWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成」を参照してください。