Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

S3 表类数据存储服务的安全性

Amazon S3 提供了各种安全功能和工具。以下是 S3 表类数据存储服务支持的这些功能和工具的列表。正确应用这些工具有助于确保资源受到保护，且只有目标用户才能访问这些资源。

基于身份的策略

基于身份的策略附加到 IAM 用户、组或角色。您可以使用基于身份的策略，来向 IAM 身份授予对表存储桶或表的访问权限。默认情况下，用户和角色不拥有创建和修改表和表存储桶的权限。他们也无法通过 S3 控制台、Amazon CLI 或 Amazon S3 REST API 执行任务。您可以在您的账户中创建 IAM 用户、组和角色，并为其附加访问策略。然和，您可以授予对资源的访问权限。要创建和访问表存储桶和表，IAM 管理员必须向 Amazon Identity and Access Management（IAM）角色或用户授予必要的权限。有关更多信息，请参阅 S3 表类数据存储服务的访问管理。

基于资源的策略

基于资源的策略附加到某个资源。您可以为表存储桶和表创建基于资源的策略。您可以使用表存储桶策略来控制表存储桶和命名空间级的 API 访问权限。还可以使用表存储桶策略来控制对存储桶中多个表的表级 API 权限。根据策略定义，附加到存储桶的权限可以应用于存储桶中的所有表或特定表。还可以使用表策略来授予对存储桶中各个表的表级 API 访问权限。

当 S3 表类数据存储服务收到执行表存储桶操作或表操作的请求时，它首先验证请求者是否拥有必要的权限。它对所有相关访问策略、用户策略和基于资源的策略（IAM 用户策略、IAM 角色策略、表存储桶策略和表策略）进行评估，以决定是否对该请求进行授权。通过表存储桶策略和表策略，您可以对资源的访问权限进行个性化设置，以确保只有您已批准的身份才能访问您的资源并对其执行操作。有关更多信息，请参阅 S3 表类数据存储服务的访问管理。

S3 表类数据存储服务的 Amazon Organizations 服务控制策略（SCP）。

可以在服务控制策略（SCP）中使用 Amazon S3 表类数据存储服务来管理组织中用户的权限。与 IAM 和资源策略类似，所有表和存储桶级操作都作为 s3tables 命名空间的一部分在策略中引用。有关更多信息，请参阅《Amazon Organizations 用户指南》中的服务控制策略（SCP）。