s3- bucket-policy-grantee-check

Amazon S3 버킷에서 부여한 액세스가 사용자가 제공한 AWS 주체, 연동 사용자, 서비스 주체, IP 주소 또는 VPC에 의해 제한되는지 확인합니다. 버킷 정책이 없을 경우 규칙이 COMPLIANT로 간주됩니다.

예를 들어 규칙에 대한 입력 파라미터가 111122223333과 444455556666이라는 두 보안 주체 목록이고 버킷 정책에서 111122223333만 버킷을 액세스할 수 있도록 지정하는 경우 규칙이 COMPLIANT로 간주됩니다. 입력 파라미터가 동일하고 버킷 정책에서 111122223333과 444455556666이 버킷을 액세스할 수 있도록 지정하는 경우에도 규칙은 규정 준수로 간주됩니다. 하지만 버킷 정책에서 999900009999가 버킷을 액세스할 수 있도록 지정하는 경우에는 규칙 상태가 NON-COMPLIANT입니다.

참고

버킷 정책에 두 개 이상의 문이 포함된 경우, 버킷 정책의 각 문은 이 규칙에 따라 평가됩니다.

식별자: S3_BUCKET_POLICY_GRANTEE_CHECK

리소스 유형: AWS::S3::Bucket

트리거 0유형: 구성 변경

AWS 리전: 아시아 태평양 (하이데라바드), 캐나다 서부 (캘거리), 유럽 (스페인) AWS 지역을 제외한 모든 지원 지역

파라미터:

awsPrincipals(선택 사항)

유형: CSV

IAM 사용자 ARN, IAM 역할 ARN 및 AWS 계정과 같은 쉼표로 구분된 보안 주체 목록 (예: 'arn:aws:iam: :111122223333:사용자/앨리스, arn:aws:iam: :444455556666:role/bob, 123456789012').

servicePrincipals(선택 사항)

유형: CSV

서비스 보안 주체를 쉼표로 구분한 목록입니다(예: 'cloudtrail.amazonaws.com, lambda.amazonaws.com').

federatedUsers(선택 사항)

유형: CSV

웹 자격 증명 연동을 위한 자격 증명 공급자(Amazon Cognito 및 SAML 자격 증명 공급자 등)를 쉼표로 구분한 목록입니다. 그 예로 'cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider'를 들 수 있습니다.

ipAddresses(선택 사항)

유형: CSV

CIDR 형식의 IP 주소를 쉼표로 구분한 목록입니다addresses(예: '10.0.0.1, 192.168.1.0/24, 2001:db8::/32').

vpcIds(선택 사항)

유형: CSV

Amazon Virtual Private Cloud(VPC) ID를 쉼표로 구분한 목록입니다(예: 'vpc-1234abc0, vpc-ab1234c0').

AWS CloudFormation 템플릿

AWS CloudFormation 템플릿으로 AWS Config 관리형 규칙을 만들려면 을 참조하십시오AWS CloudFormation 템플릿으로 AWS Config 관리형 규칙 만들기.