S3 表类数据存储服务的基于 IAM 身份的策略 - Amazon Simple Storage Service
示例 1:支持创建和使用表存储桶的访问权限示例 2:支持在表存储桶中创建和使用表的访问权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

S3 表类数据存储服务的基于 IAM 身份的策略

默认情况下,用户和角色不拥有创建或修改表和表存储桶的权限。他们也无法通过 s3 控制台、Amazon Command Line Interface(Amazon CLI)或 Amazon S3 REST API 执行任务。要创建和访问表存储桶和表,Amazon Identity and Access Management(IAM)管理员必须向 IAM 角色或用户授予必要的权限。要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅 IAM 用户指南中的 创建 IAM 策略

以下主题包括基于 IAM 身份的策略示例。要使用以下示例策略,请将用户输入占位符 替换为您自己的信息。

示例 1:支持创建和使用表存储桶的访问权限

.

{
    "Version": "2012-10-17",
    "Statement": [{
        "Sid": "AllowBucketActions",
        "Effect": "Allow",
        "Action": [
            "s3tables:CreateTableBucket",
            "s3tables:PutTableBucketPolicy",
            "s3tables:GetTableBucketPolicy",
            "s3tables:ListTableBuckets",
            "s3tables:GetTableBucket"
        ],

        "Resource": "arn:aws:s3tables:region:account_id:bucket/*"
    }]
}

示例 2:支持在表存储桶中创建和使用表的访问权限

{
     "Version": "2012-10-17",
     "Statement": [ 
         {
             "Sid": "AllowBucketActions",
             "Effect": "Allow",
             "Action": [
                 "s3tables:CreateTable",
                 "s3tables:PutTableData",
                 "s3tables:GetTableData",
                 "s3tables:GetTableMetadataLocation",
                 "s3tables:UpdateTableMetadataLocation",
                 "s3tables:GetNamespace",
                 "s3tables:CreateNamespace"
             ],

             "Resource": [
               "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket",
               "arn:aws:s3tables:region:account_id:bucket/amzn-s3-demo-bucket/table/*"
            ]
         }
     ]
 }