文档首页/ 配置审计 Config/ 用户指南/ 资源合规/ 系统内置预设策略/ 对象存储服务 OBS/ OBS桶策略中授权检查
更新时间:2024-12-13 GMT+08:00
查看PDF
分享

OBS桶策略中授权检查

规则详情

表1 规则详情

参数

说明

规则名称

obs-bucket-policy-grantee-check

规则展示名

OBS桶策略中授权检查

规则描述

OBS桶策略授权了不被允许的访问行为,视为“不合规”。

标签

obs、access-analyzer-verified

规则触发方式

配置变更

规则评估的资源类型

obs.buckets

规则参数
  • principal:授权的身份列表,例如:["domain/aaaa:user/111111", "domain/bbbb"]。
  • sourceIp:授权的sourceIp列表,例如:["192.168.0.0/16"]。
  • sourceVpc:授权的sourceVpc列表,需填入请求发起的VPC ID,例如["vpcidaaaa"]。
  • sourceVpce:授权的sourceVpce列表,需填入请求发起的VPC终端节点ID,例如["vpceidaaaa"]。

注:上述字段的格式均需与OBS桶策略中的principal或condition的格式一致。

应用场景

桶策略是作用于所配置的OBS桶及桶内对象的,OBS桶拥有者通过桶策略可为IAM用户或其他账号授权桶及桶内对象的操作权限,详见桶策略。桶策略应当仅授予刚好能完成工作所需的权限,通过最小权限原则,可以帮助您安全地控制对OBS桶及桶内对象的访问。

修复项指导

通过可视化视图JSON视图修改桶策略内容,避免桶策略授权非预期的身份或网络。

检测逻辑

  • OBS桶策略授予的访问权限受您提供的访问身份和网络限制约束,视为“合规”。
  • OBS桶策略授予的访问权限不受您提供的访问身份和网络限制约束,视为“不合规”。
  • 满足sourceIp条件或满足sourceVpc条件或满足sourceVpce条件,都视为满足网络限制。
  • 规则参数中的格式,与OBS桶策略的相关字段格式一致。
父主题: 对象存储服务 OBS

相关文档