s3-bucket-policy-grantee-check

检查 Amazon S3 存储桶授予的访问权限是否受到您提供的任何AWS委托人、联合用户、服务主体、IP 地址或 VPC 的限制。如果存储桶策略不存在，则规则为 COMPLIANT。

例如，如果规则的输入参数为包含 111122223333 和 444455556666 这两个委托人的列表，并且存储桶策略指定仅 111122223333 能够访问存储桶，则规则为 COMPLIANT。使用相同的输入参数：如果存储桶策略指定 111122223333 和 444455556666 可以访问存储桶，则它也是合规的。但是，如果存储桶策略指定 999900009999 可以访问存储桶，则规则将为 NON-COMPLIANT。

注意

如果存储桶策略包含多个语句，则将根据此规则评估存储桶策略中的每条语句。

标识符：S3_BUCKET_POLICY_GRANTEE_CHECK

资源类型：AWS::S3::Bucket

触发器类型： 配置更改

AWS 区域: 中东）、欧AWS洲）、欧洲）、欧洲）、欧洲）、欧洲）、欧洲）、欧洲）、欧洲）、欧洲）、欧洲）、欧洲）、欧洲）、欧洲）、欧洲）、欧洲）、中国）

参数：

awsPrincipals（可选）

类型 CSV 类型 CSV 类型

以逗号分隔的主体列表，例如 IAM 用户 ARN、IAM 角色 ARN 和AWS账户，例如 'arn: aws: iam:: 111122223333: user/Alice，arn: aws: iam:: 444455556666: role/bob，123456789012 '。

servicePrincipals（可选）

类型 CSV 类型 CSV 类型

以逗号分隔的服务主体列表，例如 “cloudtrail.amazonaws.com，lambda.amazonaws.com”。

federatedUsers（可选）

类型 CSV 类型 CSV 类型

以逗号分隔的网络联合身份提供商列表，例如 Amazon Cognito 和 SAML 身份提供商。例如 'cognito-identity.amaws: iam: iam: iam: iam:: 111122223333: saml-provider/my-provider/my-provider。

ipAddresses（可选）

类型 CSV 类型 CSV 类型

以逗号分隔的 CIDR 格式的 IP 地址列表，例如 '10.0.0.1、192.168.1.0/24、2001: db8:: /32'。

vpcIds（可选）

类型 CSV 类型 CSV 类型

以逗号分隔的亚马逊虚拟私有云 (亚马逊 VPC) ID 列表，例如 'vpc-1234abc0、vpc-ab1234c0'。

AWS CloudFormation 模板

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则，请参阅使用 AWS CloudFormation 模板创建 AWS Config 托管规则。