使用存储桶策略 - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用存储桶策略

存储桶策略是基于资源的策略,您可以使用该策略向 Amazon S3 存储桶及其中的对象授予访问权限。只有存储桶拥有者才能将策略与存储桶关联。附加到存储桶的权限适用于存储桶拥有者拥有的存储桶中所有对象。这些权限不适用于其他 Amazon Web Services 账户所拥有的对象。

S3 对象所有权是 Amazon S3 存储桶级别的设置,您可以使用该设置来控制上传到存储桶的对象的所有权和禁用或启用 ACL。默认情况下,对象所有权设为强制存储桶拥有者设置,并且所有 ACL 均处于禁用状态。存储桶拥有者拥有存储桶中的所有对象,并使用策略专门管理对数据的访问权限。

存储桶策略使用基于 JSON 的 IAM 策略语言。您可以使用存储桶策略添加或拒绝存储桶中对象的权限。存储桶策略可以基于策略中的元素允许或拒绝请求。这些元素包括请求者、S3 操作、资源以及请求的特征或条件(例如,用于发出请求的 IP 地址)。

例如,您可以创建执行以下操作的存储桶策略:

  • 授予其他账户将对象上载到您的 S3 存储桶的跨账户权限

  • 确保您(存储桶拥有者)对于上载的对象具有完全控制权限

有关更多信息,请参阅 存储桶策略示例

在本节中,我们通过主题提供了示例,并向您展示了如何在 S3 控制台中添加存储桶策略。有关 IAM 用户策略的信息,请参阅 使用 IAM 用户和角色策略。有关存储桶策略语言的信息,请参阅Amazon S3 中的策略和权限