Amazon Simple Storage Service
开发人员指南 (API Version 2006-03-01)
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

访问策略语言概述

这一部分中的主题描述用于存储桶和用户策略的基本元素在 Amazon S3 中的用法。有关完整策略语言信息,请参阅IAM 用户指南 中的主题: IAM 策略概述AWS IAM 策略参考

注意

存储桶策略的大小限制为 20 KB。

访问策略中的常用元素

就其最基本的意义而言,策略包含以下元素:

  • 资源 – 存储桶和对象是您能够允许或拒绝权限的 Amazon S3 资源。在策略中,使用 Amazon 资源名称 (ARN) 标识资源。

  • 操作 – 对于每个资源,Amazon S3 都支持一组操作。允许 (或拒绝) 的资源操作通过操作关键字指定 (请参阅在策略中指定权限)。

    例如,使用 s3:ListBucket 权限,用户可对 Amazon S3 执行 GET 存储桶 (列出对象) 操作。

  • Effect – 当用户请求特定操作 (可以是允许或拒绝) 时的效果。

    如果没有显式授予 (允许) 对资源的访问权限,则隐式拒绝访问。您也可显式拒绝对资源的访问,这样可确保用户无法访问该资源,即使有其他策略授予了访问权限的情况下也是如此。

  • Principal – 允许访问语句中的操作和资源的账户或用户。在存储桶策略中,委托人是作为权限获得者的用户、账户、服务或其他实体。

下面的存储桶策略示例展示了上述常用策略元素。此策略为 Account-ID 账户中的用户 Dave 授予针对 examplebucket 存储桶的 s3:GetObjects3:GetBucketLocations3:ListBucket Amazon S3 权限。

{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleStatement01", "Effect": "Allow", "Principal": { "AWS": "arn:aws-cn:iam::Account-ID:user/Dave" }, "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws-cn:s3:::examplebucket/*", "arn:aws-cn:s3:::examplebucket" ] } ] }

有关这些访问策略元素的更多信息,请参阅以下主题:

以下主题提供更多策略示例: