本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# s3-bucket-policy-grantee-check
<a name="s3-bucket-policy-grantee-check"></a>

檢查 Amazon S3 儲存貯體授予的存取權是否受到您提供的任何 AWS 委託人、聯合身分使用者、服務委託人、IP 地址或 VPCs的限制。如果儲存貯體政策不存在，則表示規則為 COMPLIANT。

例如，如果規則的輸入參數是兩個委託人清單：`111122223333` 和 `444455556666` 且儲存貯體政策指定只有 `111122223333` 可以存取儲存貯體，則表示規則為 COMPLIANT。使用相同的輸入參數：如果儲存貯體政策指定 `111122223333`和 `444455556666` 可以存取儲存貯體，則它也是 COMPLIANT。

不過，如果儲存貯體政策指定 `999900009999` 可存取儲存貯體，則規則為「NON\$1COMPLIANT」。

**注意**  
如果儲存貯體政策包含多個陳述式，則儲存貯體政策中的每個陳述式都會根據此規則進行評估。



**Identifier: (識別符：)** S3\$1BUCKET\$1POLICY\$1GRANTEE\$1CHECK

**資源類型：**AWS::S3::Bucket

觸發類型： Configuration changes (組態變更)****

**AWS 區域：**所有支援 AWS 的區域

**參數：**

awsPrincipals (選用)類型：CSV  
以逗號分隔的主體清單，例如 IAM 使用者 ARNs、IAM 角色 ARNs 和 AWS 帳戶。您必須提供完整的 ARN 或使用部分比對。例如，"arn：aws：iam：：*AccountID*：role/*role\$1name*" 或 "arn：aws：iam：：*AccountID*：role/\$1"。如果提供的值與儲存貯體政策中指定的主體 ARN 不完全相符，則規則為「NON\$1COMPLIANT」。

servicePrincipals (選用)類型：CSV  
以逗號分隔的服務主體清單，例如 'cloudtrail.amazonaws.com, lambda.amazonaws.com'。

federatedUsers (選用)類型：CSV  
以逗號分隔之 Web 聯合身分的身分提供者清單，例如 Amazon Cognito 和 SAML 身分提供者。例如 'cognito-identity.amazonaws.com, arn:aws:iam::111122223333:saml-provider/my-provider'。

ipAddresses (選用)類型：CSV  
以逗號分隔的 CIDR 格式化 IP 地址清單，例如 '10.0.0.1, 192.168.1.0/24, 2001:db8::/32'。

vpcIds (選用)類型：CSV  
以逗號分隔的 Amazon Virtual Private Cloud (Amazon VPC) ID 清單，例如 'vpc-1234abc0, vpc-ab1234c0'。

## AWS CloudFormation 範本
<a name="w2aac20c16c17b7e1383c25"></a>

若要使用 AWS CloudFormation 範本建立 AWS Config 受管規則，請參閱 [使用 AWS CloudFormation 範本建立 AWS Config 受管規則](aws-config-managed-rules-cloudformation-templates.md)。