

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# s3- bucket-policy-grantee-check
<a name="s3-bucket-policy-grantee-check"></a>

Vérifie que l'accès accordé par le compartiment Amazon S3 est restreint par AWS les principaux, les utilisateurs fédérés, les principaux de service, les adresses IP ou ceux VPCs que vous fournissez. La règle est COMPLIANT si une stratégie de compartiment n'est pas présente.

Par exemple, si le paramètre d'entrée pour la règle est la liste des deux principaux : `111122223333` et `444455556666` et la politique de compartiment spécifie que seul `111122223333` peut accéder au compartiment, alors la règle est COMPLIANT. Avec les mêmes paramètres d'entrée : si la politique du bucket le spécifie `111122223333` et `444455556666` permet d'accéder au bucket, il est également CONFORME.

Toutefois, si la politique du compartiment indique que `999900009999` l'accès au compartiment est autorisé, la règle est NON\$1COMPLIANT. 

**Note**  
Si une politique de compartiment contient plusieurs instructions, chaque instruction de la politique de compartiment est évaluée par cette règle.


**Identificateur :** S3\$1BUCKET\$1POLICY\$1GRANTEE\$1CHECK

**Types de ressources :** AWS::S3::Bucket

**Type de déclencheur :** changements de configuration

**Région AWS:** Toutes les AWS régions prises en charge

**Paramètres :**

awsPrincipals (facultatif)Type : CSV  
Liste de principes séparés par des virgules, tels que l'utilisateur IAM ARNs, le rôle IAM et les comptes. ARNs AWS Vous devez fournir l'ARN complet ou utiliser une correspondance partielle. Par exemple, « arn:aws:iam : :role/ » ou « arn:aws:iam : :role/\$1 *AccountID* ». *role\$1name* *AccountID* Si la valeur fournie ne correspond pas exactement à l'ARN principal spécifié dans la politique du bucket, la règle est NON\$1COMPLIANT.

servicePrincipals (facultatif)Type : CSV  
Liste des principaux de services séparés par des virgules, par exemple « cloudtrail.amazonaws.com, lambda.amazonaws.com ».

federatedUsers (facultatif)Type : CSV  
Liste de fournisseurs d'identité séparés par des virgules pour la fédération d'identité Web tels qu'Amazon Cognito et les fournisseurs d'identité SAML. Par exemple, « cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider ».

ipAddresses (facultatif)Type : CSV  
Liste d'adresses IP au format CIDR séparées par des virgules, par exemple « 10.0.0.1, 192.168.1.0/24, 2001:db8::/32 ».

vpcIds (facultatif)Type : CSV  
Liste séparée par des virgules des Amazon Virtual Private Clouds (Amazon VPC) IDs, par exemple « vpc-1234abc0, vpc-ab1234c0".

## AWS CloudFormation modèle
<a name="w2aac20c16c17b7e1383c25"></a>

Pour créer des règles AWS Config gérées à l'aide AWS CloudFormation de modèles, voir[Création de règles AWS Config gérées à l'aide AWS CloudFormation de modèles](aws-config-managed-rules-cloudformation-templates.md).