Amazon Simple Storage Service
控制台用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

设置存储桶和对象访问权限

本部分介绍如何使用 Amazon Simple Storage Service (Amazon S3) 控制台授予存储桶和对象的访问权限。本部分还介绍如何使用 Amazon S3 阻止公有访问来阻止使用允许对 S3 存储桶中的数据进行公有访问的任何设置的应用程序。

存储桶和对象是 Amazon S3 资源。 您使用基于资源的访问策略来授予对存储桶和对象的访问权限。您可以将访问策略与资源关联。访问策略描述了谁可以访问资源。资源所有者是创建资源的 AWS 账户。有关资源所有权和访问策略的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的访问管理概述

存储桶访问权限 指定了拥有对存储桶中的对象的访问权限的用户以及他们拥有的访问权限的类型。对象访问权限 指定了拥有对象访问权限的用户以及他们拥有的访问权限的类型。例如,一个用户可能只有读取权限,而另一个人可能有读写权限。

存储桶和对象的权限是相互独立的。对象不继承其存储桶的权限。例如,如果您创建了一个存储桶并授予一个用户写入权限,则将无法访问此用户的对象,除非此用户显式授予您访问权限。

要向其他 AWS 账户和公众授予对存储桶和对象的访问权限,可使用称为访问控制列表 (ACL) 的基于资源的访问策略。

存储桶策略 是一种基于资源的 AWS Identity and Access Management (IAM) 策略,可向其他 AWS 账户或 IAM 用户授予对 S3 存储桶的访问权限。存储桶策略补充 (在很多情况下取代) 基于 ACL 的访问策略。有关将 IAM 与 Amazon S3 结合使用的更多信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的管理您的 Amazon S3 资源的访问权限

有关管理访问权限的更多深入信息,请参阅 Amazon Simple Storage Service 开发人员指南 中的 Amazon S3 资源访问权限管理介绍

本节还说明如何使用 Amazon S3 控制台向 S3 存储桶添加跨源资源共享 (CORS) 配置。CORS 允许在一个域中加载的客户端 Web 应用程序与另一个域中的资源进行交互。