

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# s3- bucket-policy-grantee-check
<a name="s3-bucket-policy-grantee-check"></a>

Comprueba que el acceso otorgado por el bucket de Amazon S3 esté restringido por alguno de AWS los principales, usuarios federados, principales de servicio, direcciones IP o VPCs que usted proporcione. La regla es COMPLIANT si no está presente una política de bucket.

Por ejemplo, si el parámetro de entrada a la regla es la lista de dos entidades principales: `111122223333` y `444455556666` y la política de bucket especifica que solo `111122223333` puede obtener acceso al bucket, la regla es COMPLIANT. Con los mismos parámetros de entrada: si la política de bucket especifica que `111122223333` y `444455556666` pueden obtener acceso al bucket, también será COMPLIANT.

Sin embargo, si la política de bucket especifica que `999900009999` puede obtener acceso al bucket, la regla es NON\$1COMPLIANT. 

**nota**  
Si una política de bucket contiene más de una instrucción, cada instrucción de la política de buckets se evalúa según esta regla.


**Identificador:** S3\$1BUCKET\$1POLICY\$1GRANTEE\$1CHECK

**Tipos de recursos:** AWS::S3::Bucket

**Tipo de disparador:** cambios de configuración

**Región de AWS:** Todas las AWS regiones compatibles

**Parámetros:**

awsPrincipals (opcional)Tipo: CSV  
Lista de principales separados por comas, como el usuario de IAM ARNs, el rol de IAM y las cuentas. ARNs AWS Debe proporcionar el ARN completo o utilizar una coincidencia parcial. Por ejemplo, «arn:aws:iam: :role/» o «arn:aws:iam: ::role/\$1». *AccountID* *role\$1name* *AccountID* Si el valor proporcionado no coincide exactamente con el ARN de la entidad principal especificado en la política del bucket, la regla es NON\$1COMPLIANT.

servicePrincipals (opcional)Tipo: CSV  
Lista separada por comas de las entidades principales de servicio, por ejemplo, cloudtrail.amazonaws.com, lambda.amazonaws.com.

federatedUsers (opcional)Tipo: CSV  
Lista separada por comas de los proveedores de identidades para la federación de identidades web, tales como los proveedores de identidad Amazon Cognito y SAML. Por ejemplo, cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider.

ipAddresses (opcional)Tipo: CSV  
Lista separada por comas de direcciones IP con formato CIDR, por ejemplo, 10.0.0.1, 192.168.1.0/24, 2001:db8::/32.

vpcIds (opcional)Tipo: CSV  
Lista separada por comas de Amazon Virtual Private Clouds (Amazon VPC), por ejemplo, «vpc-1234abc0 IDs, vpc-ab1234c0".

## AWS CloudFormation plantilla
<a name="w2aac20c16c17b7e1383c25"></a>

Para crear reglas AWS Config administradas con AWS CloudFormation plantillas, consulte[Creación de reglas AWS Config administradas con AWS CloudFormation plantillas](aws-config-managed-rules-cloudformation-templates.md).