# S3 表类数据存储服务的安全性 Amazon S3 提供了各种安全功能和工具。以下是 S3 表类数据存储服务支持的这些功能和工具的列表。正确应用这些工具有助于确保资源受到保护,且只有目标用户才能访问这些资源。 **基于身份的策略** [基于身份的策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)附加到 IAM 用户、组或角色。您可以使用基于身份的策略,来向 IAM 身份授予对表存储桶或表的访问权限。默认情况下,用户和角色不拥有创建和修改表和表存储桶的权限。他们也无法通过 S3 控制台、Amazon CLI 或 Amazon S3 REST API 执行任务。您可以在您的账户中创建 IAM 用户、组和角色,并为其附加访问策略。然和,您可以授予对资源的访问权限。要创建和访问表存储桶和表,IAM 管理员必须向 Amazon Identity and Access Management(IAM)角色或用户授予必要的权限。有关更多信息,请参阅 [S3 表类数据存储服务的访问管理](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-tables-setting-up.html)。 **基于资源的策略** [基于资源的策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)附加到某个资源。您可以为表存储桶和表创建基于资源的策略。您可以使用表存储桶策略来控制表存储桶和命名空间级的 API 访问权限。还可以使用表存储桶策略来控制对存储桶中多个表的表级 API 权限。根据策略定义,附加到存储桶的权限可以应用于存储桶中的所有表或特定表。还可以使用表策略来授予对存储桶中各个表的表级 API 访问权限。 当 S3 表类数据存储服务收到执行表存储桶操作或表操作的请求时,它首先验证请求者是否拥有必要的权限。它对所有相关访问策略、用户策略和基于资源的策略(IAM 用户策略、IAM 角色策略、表存储桶策略和表策略)进行评估,以决定是否对该请求进行授权。通过表存储桶策略和表策略,您可以对资源的访问权限进行个性化设置,以确保只有您已批准的身份才能访问您的资源并对其执行操作。有关更多信息,请参阅 [S3 表类数据存储服务的访问管理](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-tables-setting-up.html)。 **S3 表类数据存储服务的 Amazon Organizations 服务控制策略(SCP)。** 可以在服务控制策略(SCP)中使用 Amazon S3 表类数据存储服务来管理组织中用户的权限。与 IAM 和资源策略类似,所有表和存储桶级操作都作为 `s3tables` 命名空间的一部分在策略中引用。有关更多信息,请参阅《Amazon Organizations 用户指南》**中的[服务控制策略(SCP)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)。 **Topics** + [使用加密保护 S3 表数据](s3-tables-encryption.md) + [S3 表类数据存储服务的访问管理](s3-tables-setting-up.md) + [S3 表类数据存储服务的 VPC 连接](s3-tables-VPC.md) + [S3 表类数据存储服务的安全注意事项和限制](s3-tables-restrictions.md)