Amazon Simple Storage Service
开发人员指南 (API Version 2006-03-01)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。点 击 Getting Started with Amazon AWS to see specific differences applicable to the China (Beijing) Region.

访问策略语言概述

这一部分中的主题描述用于存储桶和用户策略的基本元素在 Amazon S3 中的用法。有关完整策略语言信息,请参阅IAM 用户指南 中的主题: IAM 策略概述AWS IAM 策略参考

注意

存储桶策略的大小限制为 20 KB。

访问策略中的常用元素

就其最基本的意义而言,策略包含以下元素:

  • 资源 – 存储桶和对象是您能够允许或拒绝权限的 Amazon S3 资源。在策略中,使用 Amazon 资源名称 (ARN) 标识资源。

  • 操作 – 对于每个资源,Amazon S3 都支持一组操作。允许 (或拒绝) 的资源操作通过使用操作关键字指定 (请参阅在策略中指定权限)。

    例如,s3:ListBucket 权限将允许对 Amazon S3 GET Bucket (List Objects) 操作的用户权限。

  • Effect – 当用户请求特定操作 (可以是允许或拒绝) 时的效果。

    如果没有显式授予 (允许) 对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。

  • Principal – 允许访问语句中的操作和资源的账户或用户。仅在存储桶策略中指定委托人。它是作为权限获得者的用户、账户、服务或其他实体。在用户策略中,被附加了策略的用户是隐式委托人。

下面的存储桶策略示例展示了上述常用策略元素。此策略允许账户 Account-ID 中的用户 Dave 对 examplebucket 存储桶具有 s3:GetBucketLocations3:ListBuckets3:GetObject Amazon S3 权限。

Copy
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ExampleStatement1", "Effect": "Allow", "Principal": { "AWS": "arn:aws-cn:iam::Account-ID:user/Dave" }, "Action": [ "s3:GetBucketLocation", "s3:ListBucket", "s3:GetObject" ], "Resource": [ "arn:aws-cn:s3:::examplebucket" ] } ] }

因为这是存储桶策略,所以它包含 Principal 元素,该元素指定谁获得此权限。

有关这些访问策略元素的更多信息,请参阅以下主题:

以下主题提供更多策略示例: