View a markdown version of this page

s3-bucket-public-write-prohibited - AWS Config
AWS CloudFormation plantilla

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

s3-bucket-public-write-prohibited

Comprueba si sus buckets de Amazon S3 no permiten acceso de escritura público. La regla comprueba la configuración de Block Public Access, la política del bucket y la lista de control de acceso (ACL) del bucket.

La regla se cumple cuando se dan las dos condiciones siguientes:

  • La configuración de Block Public Access restringe las políticas públicas o la política del bucket no permite el acceso de escritura público.

  • La configuración de Block Public Access restringe las ACL públicas o la ACL del bucket no permite el acceso de escritura público.

La regla no se cumple en los siguientes casos:

  • Si la configuración Bloquear el acceso público no restringe las políticas públicas, AWS Config evalúa si la política permite el acceso de escritura público. Si la política permite el acceso de escritura público, la regla no se cumple.

  • Si la configuración Bloquear el acceso público no restringe las ACL de bucket públicas, AWS Config evalúa si la ACL de bucket permite el acceso de escritura público. Si la ACL del bucket permite el acceso de escritura público, la regla no se cumple.

nota

Esta regla no evalúa los cambios en el acceso a bloques públicos en el nivel de cuenta. Para comprobar si la configuración de los bloqueos de acceso público necesarios se ha definido en el nivel de cuenta, consulte s3-account-level-public-access-blocks y s3-account-level-public-access-blocks-periodic.

nota

Para que se considere no pública, una política de bucket de S3 debe conceder acceso solo a valores fijos. Esto significa que una política no cumple con las normas si concede acceso a un comodín o al siguiente elemento de política de IAM: las variables. Un valor fijo que contenga un comodín puede seguir siendo COMPATIBLE.

Identificador: S3_BUCKET_PUBLIC_WRITE_PROHIBITED

Tipos de recurso: AWS::S3::Bucket

Tipo de desencadenador: cambios de configuración y periódicos

Región de AWS: Todas las regiones compatibles AWS

Parámetros:

Ninguno

AWS CloudFormation plantilla

Para crear reglas AWS Config administradas con AWS CloudFormation plantillas, consulteCreación de reglas AWS Config administradas con AWS CloudFormation plantillas.