Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# s3-bucket-policy-grantee-check
<a name="s3-bucket-policy-grantee-check"></a>

Comprueba que el acceso otorgado por el bucket de Amazon S3 esté restringido por alguno de AWS los principales, usuarios federados, principales de servicio, direcciones IP o VPC que usted proporcione. La regla es COMPLIANT si no está presente una política de bucket.

Por ejemplo, si el parámetro de entrada a la regla es la lista de dos entidades principales: `111122223333` y `444455556666` y la política de bucket especifica que solo `111122223333` puede obtener acceso al bucket, la regla es COMPLIANT. Con los mismos parámetros de entrada: si la política de bucket especifica que `111122223333` y `444455556666` pueden obtener acceso al bucket, también será COMPLIANT.

Sin embargo, si la política de bucket especifica que `999900009999` puede obtener acceso al bucket, la regla es NON\_COMPLIANT. 

**nota**  
Si una política de bucket contiene más de una instrucción, cada instrucción de la política de buckets se evalúa según esta regla.



**Identificador:** S3\_BUCKET\_POLICY\_GRANTEE\_CHECK

**Tipos de recurso:** AWS::S3::Bucket

**Tipo de disparador:** cambios de configuración

**Región de AWS: Todas las regiones compatibles** AWS 

**Parámetros:**

awsPrincipals (opcional)Tipo: CSV  
Comma-separated lista de entidades principales, como los ARN de los usuarios de IAM, los ARN de los roles de IAM y las cuentas. AWS Debe proporcionar el ARN completo o utilizar una coincidencia parcial. Por ejemplo, «arn:aws:iam: :role/» o «arn:aws:iam: ::role/\*». {{AccountID}} {{role\_name}} {{AccountID}} Si el valor proporcionado no coincide exactamente con el ARN de la entidad principal especificado en la política del bucket, la regla es NON\_COMPLIANT.

servicePrincipals (opcional)Tipo: CSV  
Comma-separated lista de entidades principales de servicio, por ejemplo, 'cloudtrail.amazonaws.com, lambda.amazonaws.com'.

federatedUsers (opcional)Tipo: CSV  
Comma-separated lista de proveedores de identidad para la federación de identidades web, como Amazon Cognito y SAML. Por ejemplo, «cognito-identity.amazonaws.com, arn:aws:iam: :111122223333:saml- -provider». provider/my

ipAddresses (opcional)Tipo: CSV  
Comma-separated lista de direcciones IP con formato CIDR, por ejemplo, «10.0.0.1, 192.168.1. 0/24, 2001:db8: :/32'.

vpcIds (opcional)Tipo: CSV  
Comma-separated lista de ID de Amazon Virtual Private Clouds (Amazon VPC), por ejemplo, 'vpc-1234abc0, vpc-ab1234c0'.

## AWS CloudFormation plantilla
<a name="w2aac20c16c17b7e1395c25"></a>

 AWS Config Para AWS CloudFormation crear reglas [Creación de reglas AWS Config administradas con AWS CloudFormation plantillas](aws-config-managed-rules-cloudformation-templates.md) administradas con plantillas, consulte.