替换访问控制列表 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

替换访问控制列表

替换访问控制列表 (ACL) 操作替换在清单中列出的每个对象的 Amazon S3 访问控制列表 (ACL)。使用 ACL,您可以定义谁可以访问某个对象,以及他们可以执行哪些操作。

S3 分批操作支持您定义的自定义 ACL 以及 Amazon S3 随预定义的访问权限集提供的标准 ACL。

如果清单中的对象位于受版本控制的存储桶中,您可将 ACL 应用到每个对象的特定版本。您通过为清单中的每个对象指定版本 ID 来完成此操作。如果您没有包括任何对象的版本 ID,S3 分批操作将 ACL 应用到对象的最新版本。

有关 Amazon S3 中 ACL 的更多信息,请参阅 访问控制列表 (ACL) 概述

S3 阻止公有访问

如果您希望限制对存储桶中所有对象的公有访问,则应使用 Amazon S3 阻止公有访问而不是 S3 分批操作。阻止公有访问可以在各个存储桶或整个账户的范围进行,并且只需一个简单的操作,立即生效。当您的目标是控制某个存储桶或账户中所有对象的公有访问时,这是一个更好的选择。在您需要将自定义 ACL 应用到清单中的每个对象时,请使用 S3 分批操作。有关 S3 阻止公有访问的更多信息,请参阅 阻止对您的 Amazon S3 存储的公有访问

S3 对象所有权

如果清单中的对象位于桶中,而该桶使用桶拥有者强制执行的对象所有权设置,则 Replace access control list (ACL) [替换访问控制列表(ACL)] 操作只能指定向桶拥有者授予完全控制权限的对象 ACL。该操作无法将对象 ACL 权限授予其他 Amazon Web Services 账户 或组。有关更多信息,请参阅为您的存储桶控制对象所有权和禁用 ACL。

限制和局限性

  • 您指定用于运行替换访问控制列表任务的角色必须有权执行基础 Amazon S3 PutObjectAcl 操作。有关所需权限的更多信息,请参阅 Amazon Simple Storage Service API 参考中的 PutObjectAcl

  • S3 分批操作使用 Amazon S3 PutObjectAcl 操作,将指定的 ACL 应用到清单中的每个对象。因此,适用于基础 PutObjectAcl 操作的所有限制也适用于 S3 分批操作 Replace 访问控制列表任务。