s3-bucket-policy-not-more-permissive - AWS Config

s3-bucket-policy-not-more-permissive

Amazon Simple Storage Service バケットポリシーでは、指定するコントロール Amazon S3 バケットポリシー以外にアカウント間のアクセス許可が付与されていないことを確認します。

注記

無効なパラメータ値を指定した場合、次のエラーが表示されます。「controlPolicy パラメータの値が、Amazon S3 バケットポリシーである必要があります。」

識別子: S3_BUCKET_POLICY_NOT_MORE_PERMISSIVE

トリガータイプ: 設定変更

AWS リージョン: サポートされているすべての AWS リージョン

パラメータ:

controlPolicy

S3 バケットのアクセス許可の上限値を定義する Amazon S3 バケットポリシー。ポリシーには最大 1024 文字を含めることができます。

制御ポリシーの例は次のとおりです。

{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS": "11112222333" }, "Effect": "Allow", "Action": "s3:GetObject", "Resource": "*" }, { "Principal": { "AWS": "44445556666" }, "Effect": "Allow", "Action": "s3:*", "Resource": "*" } ] }

最初の Allow ステートメントでは、AWS アカウント ID 111122223333 が任意のリソース (*) 上のオブジェクト s3:GetObject を取得できることを指定します。2 番目の Allow ステートメントでは、AWS アカウント ID 44445556666 が任意のリソース (*) 上で任意の s3 アクション (s3:*) を実行できることを指定します。

上記のコントロールポリシーをルールの入力パラメータとする NON_COMPLIANT バケットポリシーの例は次のとおりです。

次のバケットポリシーでは、IAM ユーザー Alice に対して AWS アカウント ID 888899998888 でのアクセス許可を付与するため、このバケットポリシーは NON_COMPLIANT です。これらのアクセス許可は、コントロールポリシーで暗黙的に拒否されます。

{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS": [ "arn:aws:iam::888899998888:user/Alice" ] }, "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::example-bucket/*" } ] }

次のバケットポリシーでは、AWS アカウント ID 11112222333 に、コントロールポリシーによって暗黙的に拒否される s3:PutBucketPolicy を実行するアクセス許可を付与するため、このバケットポリシーは NON_COMPLIANT です。

{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS": [ "11112222333" ] }, "Effect": "Allow", "Action": "s3:PutBucketPolicy", "Resource": "arn:aws:s3:::example-bucket" } ] }

COMPLIANT バケットポリシーの例は次のとおりです。

このコントロールポリシーでは AWS アカウント ID 11112222333 からのプリンシパルに任意のオブジェクトに対する s3:GetObject の実行を許可するため、このバケットポリシーは COMPLIANT です。

{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS" : [ "arn:aws:iam::11112222333:user/Bob" ] }, "Effect": "Allow", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::example-bucket/photos/*" } ] }

このコントロールポリシーでは AWS アカウント ID 444455556666 を持つプリンシパルに任意のオブジェクトに対する S3 アクションの実行を許可するため、次のバケットポリシーは COMPLIANT です。

{ "Version": "2012-10-17", "Statement": [ { "Principal": { "AWS": [ "44445556666" ] }, "Effect": "Allow", "Action": "s3:*Configuration", "Resource": "arn:aws:s3:::example-bucket" } ] }

AWS CloudFormation テンプレート

AWS CloudFormation テンプレートを使用して AWS Config マネージドルールを作成するには、「AWS CloudFormation テンプレートを使用した AWS Config マネージドルールの作成」を参照してください。