Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
s3-bucket-policy-grantee-check
Comprueba que el acceso otorgado por el bucket de Amazon S3 esté restringido por alguno de AWS los principales, usuarios federados, principales de servicio, direcciones IP o VPC que usted proporcione. La regla es COMPLIANT si no está presente una política de bucket.
Por ejemplo, si el parámetro de entrada a la regla es la lista de dos entidades principales: 111122223333 y 444455556666 y la política de bucket especifica que solo 111122223333 puede obtener acceso al bucket, la regla es COMPLIANT. Con los mismos parámetros de entrada: si la política de bucket especifica que 111122223333 y 444455556666 pueden obtener acceso al bucket, también será COMPLIANT.
Sin embargo, si la política de bucket especifica que 999900009999 puede obtener acceso al bucket, la regla es NON_COMPLIANT.
nota
Si una política de bucket contiene más de una instrucción, cada instrucción de la política de buckets se evalúa según esta regla.
Identificador: S3_BUCKET_POLICY_GRANTEE_CHECK
Tipos de recurso: AWS::S3::Bucket
Tipo de disparador: cambios de configuración
Región de AWS: Todas las regiones compatibles AWS
Parámetros:
- awsPrincipals (opcional)
- Tipo: CSV
-
Comma-separated lista de entidades principales, como los ARN de los usuarios de IAM, los ARN de los roles de IAM y las cuentas. AWS Debe proporcionar el ARN completo o utilizar una coincidencia parcial. Por ejemplo, «arn:aws:iam: :role/» o «arn:aws:iam: ::role/*».
AccountIDrole_nameAccountIDSi el valor proporcionado no coincide exactamente con el ARN de la entidad principal especificado en la política del bucket, la regla es NON_COMPLIANT. - servicePrincipals (opcional)
- Tipo: CSV
-
Comma-separated lista de entidades principales de servicio, por ejemplo, 'cloudtrail.amazonaws.com, lambda.amazonaws.com'.
- federatedUsers (opcional)
- Tipo: CSV
-
Comma-separated lista de proveedores de identidad para la federación de identidades web, como Amazon Cognito y SAML. Por ejemplo, «cognito-identity.amazonaws.com, arn:aws:iam: :111122223333:saml- -provider». provider/my
- ipAddresses (opcional)
- Tipo: CSV
-
Comma-separated lista de direcciones IP con formato CIDR, por ejemplo, «10.0.0.1, 192.168.1. 0/24, 2001:db8: :/32'.
- vpcIds (opcional)
- Tipo: CSV
-
Comma-separated lista de ID de Amazon Virtual Private Clouds (Amazon VPC), por ejemplo, 'vpc-1234abc0, vpc-ab1234c0'.
AWS CloudFormation plantilla
AWS Config Para AWS CloudFormation crear reglas Creación de reglas AWS Config administradas con AWS CloudFormation plantillas administradas con plantillas, consulte.
