s3-bucket-policy-grantee-check

Verifica che l'accesso concesso dal bucket Amazon S3 sia limitato dai AWS principali, dagli utenti federati, dai responsabili del servizio, dagli indirizzi IP o dai VPC che fornisci. La regola è COMPLIANT se una policy del bucket non è disponibile.

Ad esempio, se il parametro di input per la regola è l'elenco di due principali: 111122223333 e 444455556666 e la policy del bucket specifica che solo 111122223333 può accedere al bucket, allora la regola è COMPLIANT. Con gli stessi parametri di input: se la policy del bucket lo specifica 111122223333 e 444455556666 può accedere al bucket, il bucket è anche CONFORME.

Tuttavia, se la policy del bucket specifica chi 999900009999 può accedere al bucket, la regola è NON_COMPLIANT.

Nota

Se una policy del bucket contiene più di un'istruzione, ogni istruzione in tale policy viene valutata in base a questa regola.

Identifier (Identificatore): S3_BUCKET_POLICY_GRANTEE_CHECK

Tipi di risorse: AWS::S3::Bucket

Tipo di trigger: Modifiche alla configurazione

Regione AWS: Tutte le regioni supportate AWS

Parametri:

awsPrincipals (opzionale)
Tipo: CSV: Comma-separated elenco di principali come IAM User ARN, IAM Role ARN e account. AWS È necessario fornire l'ARN completo o utilizzare la corrispondenza parziale. Ad esempio, «arn:aws:iam: ::role/" o «arn:aws:iam: ::role/*AccountID». role_name AccountID Se il valore fornito non corrisponde esattamente all'ARN principale specificato nella policy del bucket, la regola è NON_COMPLIANT.
servicePrincipals (opzionale)
Tipo: CSV: Comma-separated elenco dei responsabili del servizio, ad esempio 'cloudtrail.amazonaws.com, lambda.amazonaws.com'.
federatedUsers (opzionale)
Tipo: CSV: Comma-separated elenco di provider di identità per la federazione delle identità Web come Amazon Cognito e provider di identità SAML. Ad esempio 'cognito-identity.amazonaws.com, arn:aws:iam: :111122223333:saml- -provider'. provider/my
ipAddresses (opzionale)
Tipo: CSV: Comma-separated elenco di indirizzi IP in formato CIDR, ad esempio '10.0.0.1, 192.168.1. 0/24, 2001: db8: :/32'.
vpcIds (opzionale)
Tipo: CSV: Comma-separated elenco di ID Amazon Virtual Private Clouds (Amazon VPC), ad esempio 'vpc-1234abc0, vpc-ab1234c0'.

AWS CloudFormation modello

AWS Config Per AWS CloudFormation creare regole Creazione di regole AWS Config gestite con AWS CloudFormation modelli gestite con modelli, consulta.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

s3-bucket-mfa-delete-enabled

s3-bucket-policy-not-more-permissive