使用 ACL 管理访问 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 ACL 管理访问

访问控制列表(ACL)是基于资源的选项之一,可用于管理对存储桶和对象的访问。您可以使用 ACL 向其他 Amazon Web Services 账户授予基本的读/写权限。使用 ACL 管理权限有一些限制。

例如,您可以仅向其他 Amazon Web Services 账户授予权限;您无法向您账户中的用户授予权限。无法授予条件性权限,也无法显式拒绝权限。ACL 适用于特定情景。例如,如果存储桶拥有者允许其他 Amazon Web Services 账户上传对象,则对这些对象的权限只能由拥有此对象的 Amazon Web Services 账户使用对象 ACL 加以管理。

S3 对象所有权是 Amazon S3 存储桶级别的设置,您可以使用该设置来控制上传到存储桶的对象的所有权和禁用或启用 ACL。默认情况下,对象所有权设为强制存储桶拥有者设置,并且所有 ACL 均处于禁用状态。禁用 ACL 后,存储桶拥有者拥有存储桶中的所有对象,并使用访问管理策略来专门管理对这些对象的访问权限。

Amazon S3 中的大多数现代使用案例不再需要使用 ACL。我们建议您将 ACL 保持为禁用状态,除非有需要单独控制每个对象的访问权限的特殊情况。禁用 ACL 后,您可以使用策略来控制对存储桶中所有对象的访问权限,无论是谁将对象上传到您的存储桶。有关更多信息,请参阅 为您的存储桶控制对象所有权和禁用 ACL。

重要

如果您的存储桶针对 S3 对象所有权使用强制存储桶拥有者设置,则必须使用策略授予对存储桶及其中对象的访问权限。启用强制存储桶拥有者设置后,设置访问控制列表(ACL)或更新 ACL 的请求将失败并返回 AccessControlListNotSupported 错误代码。仍然支持读取 ACL 的请求。

有关 ACL 的更多信息,请参阅以下主题: