访问控制列表 (ACL) 概述 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

访问控制列表 (ACL) 概述

Amazon S3 访问控制列表(ACL)使您可以管理存储桶和对象的访问权限。每个存储桶和对象都有一个作为子资源而附加的 ACL。它定义了哪些 Amazon Web Services 账户或组将被授予访问权限以及访问的类型。收到针对某个资源的请求后,Amazon S3 将检查相应的 ACL 以验证请求者是否拥有所需的访问权限。

S3 对象所有权是 Amazon S3 存储桶级别的设置,您可以使用该设置来控制上传到存储桶的对象的所有权和禁用或启用 ACL。默认情况下,对象所有权设为强制存储桶拥有者设置,并且所有 ACL 均处于禁用状态。禁用 ACL 后,存储桶拥有者拥有存储桶中的所有对象,并使用访问管理策略来专门管理对这些对象的访问权限。

Amazon S3 中的大多数现代使用案例不再需要使用 ACL。我们建议您将 ACL 保持为禁用状态,除非有需要单独控制每个对象的访问权限的特殊情况。禁用 ACL 后,您可以使用策略来控制对存储桶中所有对象的访问权限,无论是谁将对象上传到您的存储桶。有关更多信息,请参阅 为您的存储桶控制对象所有权和禁用 ACL。

重要

如果您的存储桶针对 S3 对象所有权使用强制存储桶拥有者设置,则必须使用策略授予对存储桶及其中对象的访问权限。启用强制存储桶拥有者设置后,设置访问控制列表(ACL)或更新 ACL 的请求将失败并返回 AccessControlListNotSupported 错误代码。仍然支持读取 ACL 的请求。

创建存储桶或对象时,Amazon S3 将创建一个默认 ACL 以授予资源拥有者对资源的完全控制权限。这显示在下面的示例存储桶 ACL 中(默认对象 ACL 具有相同的结构):

<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>*** Owner-Canonical-User-ID ***</ID> <DisplayName>owner-display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Canonical User"> <ID>*** Owner-Canonical-User-ID ***</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> </AccessControlList> </AccessControlPolicy>

示例 ACL 包含一个可通过 Amazon Web Services 账户的规范用户 ID 识别拥有者的 Owner 元素。有关查找规范用户 ID 的说明,请参阅查找 Amazon Web Services 账户规范用户 IDGrant 元素将识别被授权者(Amazon Web Services 账户或预定义的组)和所授予的权限。此默认的 ACL 拥有一个适用于所有者的 Grant 元素。您可以通过添加 Grant 元素授予权限,每个授权都将识别被授权者和权限。

注意

ACL 可以拥有最多 100 个授权。

谁是被授权者?

被授权者可以是 Amazon Web Services 账户或某个预定义的 Amazon S3 组。您可以使用电子邮件地址或规范用户 ID 向 Amazon Web Services 账户授予权限。但是,如果您在授权请求中提供电子邮件地址,Amazon S3 将为该账户查找规范用户 ID 并将它添加到 ACL。生成的 ACL 始终包含 Amazon Web Services 账户的规范用户 ID,而不是 Amazon Web Services 账户的电子邮件地址。

授予访问权限时,可以将每个被授权者指定为一个 type="value" 对,其中 type 为以下值之一:

  • id – 如果指定的值是 Amazon Web Services 账户的规范用户 ID

  • uri – 如果您正在向预定义组授予权限

  • emailAddress – 如果指定的值是 Amazon Web Services 账户的电子邮件地址

重要

仅以下 Amazon 区域中支持使用电子邮件地址指定被授权者:

  • 美国东部(弗吉尼亚北部)

  • 美国西部(加利福尼亚北部)

  • 美国西部(俄勒冈)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太地区(东京)

  • 欧洲(爱尔兰)

  • 南美洲(圣保罗)

有关 Amazon S3 支持的所有区域和端点的列表,请参阅《Amazon Web Services 一般参考》中的区域和端点

例 示例:电子邮件地址

例如,以下 x-amz-grant-read 标头向由电子邮件地址标识的 Amazon Web Services 账户授予读取对象数据及其元数据的权限:

x-amz-grant-read: emailAddress="xyz@example.com", emailAddress="abc@example.com"
警告

当您需要向其他 Amazon Web Services 账户授权访问您的资源时,注意 Amazon Web Services 账户可以向其账户下的用户授予权限。这称为跨账户访问。有关使用跨账户访问的信息,请参阅 IAM 用户指南中的创建角色以向 IAM 用户委派权限

查找 Amazon Web Services 账户规范用户 ID

规范用户 ID 与您的 Amazon Web Services 账户关联。此 ID 是一个长串字符,例如:

79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be

有关如何查找您账户的规范用户 ID 的信息,请参阅《Amazon 账户管理参考指南》中的 Find the canonical user ID for your Amazon Web Services 账户

您也可以通过读取 Amazon Web Services 账户 有权访问的存储桶或对象的 ACL,查找 Amazon Web Services 账户 的规范用户 ID。如果某个 Amazon Web Services 账户通过授权请求被授予了许可,ACL 中将新增一个授权条目和账户的规范用户 ID。

注意

如果您公开存储桶(不建议),则任何未经身份验证的用户都可以将对象上传到该存储桶。这些匿名用户没有 Amazon Web Services 账户。当匿名用户将对象上传到您的存储桶时,Amazon S3 会在 ACL 中添加特殊的规范用户 ID(65a011a29cdf8ec533ec3d1ccaae921c)作为对象拥有者。有关更多信息,请参阅 Amazon S3 存储桶和对象所有权

Amazon S3 预定义的组

Amazon S3 拥有一系列预定义的组。将账户访问权限授予某个组时,您可以指定我们的一个 Amazon S3 URI,而不是规范用户 ID。Amazon S3 提供以下预定义组:

  • “经身份验证的用户”组 – 由 http://acs.amazonaws.com/groups/global/AuthenticatedUsers 表示。

    该组代表了所有 Amazon Web Services 账户。该组的访问权限允许任何 Amazon Web Services 账户 访问资源。但是,所有的请求必须是已签名的 (经身份验证)。

    警告

    在您向经身份验证的用户组授予访问权限后,世界上任何经身份验证的 Amazon 用户都可以访问您的资源。

  • “所有用户”组 – 由 http://acs.amazonaws.com/groups/global/AllUsers 表示。

    授予此组的访问权限将允许世界上的任何人访问资源。请求可以是已签名的 (经身份验证),也可以是未签名的 (匿名)。未签名的请求将省略请求中的 Authentication 标头。

    警告

    强烈建议您绝不要向 All Users 组授予 WRITEWRITE_ACPFULL_CONTROL 权限。例如,尽管 WRITE 权限不允许非所有者覆盖或删除现有对象,但 WRITE 权限仍允许任何人在您的存储桶中存储对象,而您需要为此付费。有关这些权限的详细信息,请参阅下一节 我能授予哪些许可?

  • “日志传输”组 – 由 http://acs.amazonaws.com/groups/s3/LogDelivery 表示。

    对于存储桶的 WRITE 权限使该组可以将服务器访问日志(请参阅使用服务器访问日志记录来记录请求)写入存储桶。

注意

使用 ACL 时,被授权者可以是 Amazon Web Services 账户或者某个预定义的 Amazon S3 组。但是,被授权者不能是 IAM 用户。有关 IAM 中 Amazon 用户和权限的更多信息,请参阅使用 Amazon Identity and Access Management

我能授予哪些许可?

下表列出了 Amazon S3 在 ACL 中支持的权限集。对于对象 ACL 和存储桶 ACL,ACL 权限集相同。但是,根据上下文(存储桶 ACL 或对象 ACL),这些 ACL 权限将授予针对特定存储桶或对象操作的权限。下表列出了权限并描述这些权限在对象和存储桶上下文中的意义。

有关使用 Amazon S3 控制台 ACL 权限的更多信息,请参阅 配置 ACL

许可 在存储桶上授权的时间 在对象上授权的时间
READ 允许被授权者列出存储桶中的对象 允许被授权者读取对象数据及其元数据
WRITE 允许被授权者在存储桶中创建新对象。对于现有对象的存储桶和对象拥有者,还允许删除和覆写这些对象 不适用
READ_ACP 允许被授权者读取存储桶 ACL 允许被授权者读取对象 ACL
WRITE_ACP 允许被授权者为适用的存储桶编写 ACL 允许被授权者为适用的对象编写 ACL
FULL_CONTROL 允许被授予者对存储桶拥有 READWRITEREAD_ACPWRITE_ACP 权限 允许被授予者对于对象拥有 READREAD_ACPWRITE_ACP 权限
警告

在授予对您的 S3 存储桶和对象的访问权限时应谨慎使用。例如,授予对存储桶的 WRITE 权限将允许被授权者创建存储桶中的任何对象。我们强烈建议您在授予权限之前通读整个访问控制列表 (ACL) 概述部分。

ACL 权限和访问策略权限的映射

如先前表中所示,相比于在访问策略中可设置的权限数目(请参阅Amazon S3 的策略操作),ACL 仅允许授予有限数量的权限。其中的每个权限允许一个或多个 Amazon S3 操作。

下表显示每个 ACL 权限如何映射到相应的访问策略权限。正如您所见,与 ACL 相比,访问策略允许的权限更多。您可以将 ACL 主要用于授予基本的读/写权限(类似于文件系统权限)。有关何时使用 ACL 的更多信息,请参阅 Amazon S3 的身份和访问管理

有关使用 Amazon S3 控制台 ACL 权限的更多信息,请参阅 配置 ACL

ACL 权限 当在存储桶上授予 ACL 权限时的相应访问策略 当在对象上授予 ACL 权限时的相应访问策略
READ s3:ListBuckets3:ListBucketVersionss3:ListBucketMultipartUploads s3:GetObjects3:GetObjectVersion
WRITE

s3:PutObject

存储桶拥有者可以创建、覆写和删除存储桶中的任何对象,而对象拥有者对其对象拥有 FULL_CONTROL

此外,如果被授权者是存储桶拥有者,使用存储桶 ACL 来授予 WRITE 许可将允许对该存储桶中的任意版本执行 s3:DeleteObjectVersion 操作。

不适用
READ_ACP s3:GetBucketAcl s3:GetObjectAcls3:GetObjectVersionAcl
WRITE_ACP s3:PutBucketAcl s3:PutObjectAcls3:PutObjectVersionAcl
FULL_CONTROL 等同于授予 READWRITEREAD_ACPWRITE_ACP ACL 权限。因此,此 ACL 权限将映射到相应访问策略权限的组合。 等同于授予 READREAD_ACPWRITE_ACP ACL 权限。因此,此 ACL 权限将映射到相应访问策略权限的组合。

条件键

授予访问策略权限时,您可以使用条件键通过存储桶策略对某个对象限制 ACL 的值。以下上下文键对应于 ACL。您可以使用这些上下文键强制在请求中使用特定 ACL:

  • s3:x-amz-grant-read ‐ 需要读取访问权限。

  • s3:x-amz-grant-write ‐ 需要写入访问权限。

  • s3:x-amz-grant-read-acp ‐ 需要对存储桶 ACL 的读取访问权限。

  • s3:x-amz-grant-write-acp ‐ 需要对存储桶 ACL 的写入访问权限。

  • s3:x-amz-grant-full-control ‐ 需要完全控制权限。

  • s3:x-amz-acl ‐ 需要一个 标准 ACL

有关涉及 ACL 特定标头的策略示例,请参阅授予 s3:PutObject 权限,指定了要求存储桶拥有者获得完全控制的条件。有关 Amazon S3 特定条件键的完整列表,请参阅《Service Authorization Reference》中的 Actions, resources, and condition keys for Amazon S3

有关按 S3 资源类型对 S3 API 操作的权限的更多信息,请参阅 Amazon S3 API 操作所需的权限

常见 Amazon S3 请求的 aclRequired

要识别需要 ACL 进行授权的 Amazon S3 请求,您可以使用 Amazon S3 服务器访问日志或 Amazon CloudTrail 中的 aclRequired 值。CloudTrail 或 Amazon S3 服务器访问日志中显示的 aclRequired 值取决于调用了哪些操作以及有关请求者、对象拥有者和存储桶拥有者的某些信息。如果不需要 ACL,或者您正在设置 bucket-owner-full-control 标准 ACL,或者如果您的存储桶策略允许请求,则 Amazon S3 服务器访问日志中的 aclRequired 值字符串为“-”,但 CloudTrail 中不存在该值字符串。

下表列出了 CloudTrail 或 Amazon S3 服务器访问日志中各种 Amazon S3 API 操作的预期 aclRequired 值。您可以使用此信息来了解哪些 Amazon S3 操作依赖于 ACL 进行授权。在下表中,A、B 和 C 代表与请求者、对象拥有者和存储桶拥有者关联的不同账户。带有星号(*)的条目表示账户 A、B 或 C 中的任意一个。

注意

除非另有说明,否则下表中的 PutObject 操作表示未设置 ACL 的请求,除非该 ACL 是 bucket-owner-full-control ACL。aclRequired 为 null 值表示 Amazon CloudTrail 日志中不存在 aclRequired

下表显示 CloudTrail 的 aclRequired 值。

操作名称 请求者 对象拥有者 存储桶拥有者 存储桶策略授予访问权限 aclRequired Reason
GetObject A A A 是或否 null 同一账户的访问
GetObject A B A 是或否 null 强制存储桶拥有者的同账户访问
GetObject A A B null 存储桶策略授予的跨账户访问
GetObject A A B 跨账户访问依赖于 ACL
GetObject A A B null 存储桶策略授予的跨账户访问
GetObject A B B 跨账户访问依赖于 ACL
GetObject A B C null 存储桶策略授予的跨账户访问
GetObject A B C 跨账户访问依赖于 ACL
PutObject A 不适用 A 是或否 null 同一账户的访问
PutObject A 不适用 B null 存储桶策略授予的跨账户访问
PutObject A 不适用 B 跨账户访问依赖于 ACL
使用 ACL 的 PutObjectbucket-owner-full-control 除外) * 不适用 * 是或否 请求授予 ACL
ListObjects A 不适用 A 是或否 null 同一账户的访问
ListObjects A 不适用 B null 存储桶策略授予的跨账户访问
ListObjects A 不适用 B 跨账户访问依赖于 ACL
DeleteObject A 不适用 A 是或否 null 同一账户的访问
DeleteObject A 不适用 B null 存储桶策略授予的跨账户访问
DeleteObject A 不适用 B 跨账户访问依赖于 ACL
PutObjectAcl * * * 是或否 请求授予 ACL
PutBucketAcl * 不适用 * 是或否 请求授予 ACL

注意

除非另有说明,否则下表中的 REST.PUT.OBJECT 操作表示未设置 ACL 的请求,除非该 ACL 是 bucket-owner-full-control ACL。aclRequired 值字符串为“-”表示 Amazon S3 服务器访问日志中的 null 值。

下表显示 Amazon S3 服务器访问日志的 aclRequired 值。

操作名称 请求者 对象拥有者 存储桶拥有者 存储桶策略授予访问权限 aclRequired Reason
REST.GET.OBJECT A A A 是或否 - 同一账户的访问
REST.GET.OBJECT A B A 是或否 - 强制存储桶拥有者的同账户访问
REST.GET.OBJECT A A B - 存储桶策略授予的跨账户访问
REST.GET.OBJECT A A B 跨账户访问依赖于 ACL
REST.GET.OBJECT A B B - 存储桶策略授予的跨账户访问
REST.GET.OBJECT A B B 跨账户访问依赖于 ACL
REST.GET.OBJECT A B C - 存储桶策略授予的跨账户访问
REST.GET.OBJECT A B C 跨账户访问依赖于 ACL
REST.PUT.OBJECT A 不适用 A 是或否 - 同一账户的访问
REST.PUT.OBJECT A 不适用 B - 存储桶策略授予的跨账户访问
REST.PUT.OBJECT A 不适用 B 跨账户访问依赖于 ACL
使用 ACL 的 REST.PUT.OBJECTbucket-owner-full-control 除外) * 不适用 * 是或否 请求授予 ACL
REST.GET.BUCKET A 不适用 A 是或否 - 同一账户的访问
REST.GET.BUCKET A 不适用 B - 存储桶策略授予的跨账户访问
REST.GET.BUCKET A 不适用 B 跨账户访问依赖于 ACL
REST.DELETE.OBJECT A 不适用 A 是或否 - 同一账户的访问
REST.DELETE.OBJECT A 不适用 B - 存储桶策略授予的跨账户访问
REST.DELETE.OBJECT A 不适用 B 跨账户访问依赖于 ACL
REST.PUT.ACL * * * 是或否 请求授予 ACL

示例 ACL

下面的存储桶上的示例 ACL 可识别资源所有者和一系列的授权。格式是指 Amazon S3 REST API 中的 ACL 的 XML 表示形式。存储桶拥有者拥有资源的 FULL_CONTROL。此外,ACL 还演示了如何将对于某个资源的权限授予两个 Amazon Web Services 账户(由规范用户 ID 标识)以及上一节讨论的两个预定义 Amazon S3 组。

<?xml version="1.0" encoding="UTF-8"?> <AccessControlPolicy xmlns="http://s3.amazonaws.com/doc/2006-03-01/"> <Owner> <ID>Owner-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Owner> <AccessControlList> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>Owner-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>FULL_CONTROL</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>user1-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>WRITE</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="CanonicalUser"> <ID>user2-canonical-user-ID</ID> <DisplayName>display-name</DisplayName> </Grantee> <Permission>READ</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group"> <URI>http://acs.amazonaws.com/groups/global/AllUsers</URI> </Grantee> <Permission>READ</Permission> </Grant> <Grant> <Grantee xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:type="Group"> <URI>http://acs.amazonaws.com/groups/s3/LogDelivery</URI> </Grantee> <Permission>WRITE</Permission> </Grant> </AccessControlList> </AccessControlPolicy>

标准 ACL

Amazon S3 支持一系列预定义的授权,称为标准 ACL。每个标准 ACL 都有一组预定义的被授权者和许可。下表列出了一系列标准 ACL 和相关联的预定义授权。

标准 ACL 适用于 添加到 ACL 的权限
private 存储桶和对象 所有者将获得 FULL_CONTROL。其他人没有访问权限 (默认)。
public-read 存储桶和对象 所有者将获得 FULL_CONTROLAllUsers 组 (参阅 谁是被授权者?) 将获得 READ 访问权限。
public-read-write 存储桶和对象 所有者将获得 FULL_CONTROLAllUsers 组将获得 READWRITE 访问权限。通常不建议在存储桶上授予该权限。
aws-exec-read 存储桶和对象 所有者将获得 FULL_CONTROL。Amazon EC2 从 Amazon S3 获取对 READ Amazon Machine Image (AMI) 服务包的 GET 访问权限。
authenticated-read 存储桶和对象 所有者将获得 FULL_CONTROLAuthenticatedUsers 组将获得 READ 访问权限。
bucket-owner-read 对象 对象所有者将获得 FULL_CONTROL。存储桶拥有者将获得 READ 访问权限。如果您在创建存储段时指定此标准的 ACL,Amazon S3 将忽略它。
bucket-owner-full-control 对象 对象所有者和存储桶拥有者均可获得对对象的 FULL_CONTROL。如果您在创建存储段时指定此标准的 ACL,Amazon S3 将忽略它。
log-delivery-write 存储桶 LogDelivery 组将获得针对存储桶的 WRITEREAD_ACP 许可。有关日志的更多信息,请参阅(使用服务器访问日志记录来记录请求)。
注意

您可以在请求中仅指定这些标准 ACL 中的一个。

您可以使用 x-amz-acl 请求标头在请求中指定标准 ACL。当 Amazon S3 收到包含标准 ACL 的请求时,它会向资源的 ACL 添加预定义的授权。