本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# s3-bucket-policy-grantee-check
<a name="s3-bucket-policy-grantee-check"></a>

检查 Amazon S3 存储桶授予的访问权限是否受到任何 AWS 委托人、联合用户、服务委托人、IP 地址或您 VPCs 提供的限制。如果存储桶策略不存在，则此规则为 COMPLIANT。

例如，如果规则的输入参数为包含 `111122223333` 和 `444455556666` 这两个委托人的列表，并且存储桶策略指定仅 `111122223333` 能够访问存储桶，则此规则为 COMPLIANT。使用相同的输入参数：如果存储桶策略指定 `111122223333` 和 `444455556666` 可以访问存储桶，则此规则也为 COMPLIANT。

但是，如果存储桶策略指定 `999900009999` 可以访问存储桶，则此规则将为 NON\$1COMPLIANT。

**注意**  
如果存储桶策略包含多个语句，则将根据此规则评估存储桶策略中的每条语句。



**标识符：**S3\$1BUCKET\$1POLICY\$1GRANTEE\$1CHECK

**资源类型：** AWS::S3::Bucket

**触发器类型：** 配置更改

**AWS 区域:** 所有支持的 AWS 区域

**参数：**

awsPrincipals（可选）类型：CSV  
以逗号分隔的委托人列表，例如 IAM 用户 ARNs、IAM 角色 ARNs和账户。 AWS 您必须提供完整的 ARN 或使用部分匹配。例如，“arn: aws: iam:: role/*AccountID*” 或 “arn: aws: iam:: role/\$1” *role\$1name*。*AccountID*如果提供的值与存储桶策略中指定的主体 ARN 不完全匹配，则此规则为 NON\$1COMPLIANT。

servicePrincipals（可选）类型：CSV  
逗号分隔的服务委托人列表，例如“cloudtrail.amazonaws.com, lambda.amazonaws.com”。

federatedUsers（可选）类型：CSV  
Web 身份联合验证的身份提供商（如 Amazon Cognito 和 SAML 身份提供商）的逗号分隔列表。例如“cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider”。

ipAddresses（可选）类型：CSV  
CIDR 格式的 IP 地址的逗号分隔列表，例如“10.0.0.1, 192.168.1.0/24, 2001:db8::/32”。

vpcIds（可选）类型：CSV  
以逗号分隔的亚马逊虚拟私有云（亚马逊 VPC）列表，例如 'vpc-1234abc0 IDs、vpc-ab1234c0'。

## AWS CloudFormation 模板
<a name="w2aac20c16c17b7e1383c25"></a>

要使用 AWS CloudFormation 模板创建 AWS Config 托管规则，请参阅[使用 AWS CloudFormation 模板创建 AWS Config 托管规则](aws-config-managed-rules-cloudformation-templates.md)。