Amazon S3 的操作、资源和条件键
Amazon S3(服务前缀:s3)提供以下服务特定的资源、操作和条件上下文键以在 IAM 权限策略中使用。
参考:
Amazon S3 定义的操作
您可以在 IAM policy 语句的 Action 元素中指定以下操作。可以使用策略授予在 Amazon 中执行操作的权限。您在策略中使用一项操作时,通常使用相同的名称允许或拒绝对 API 操作或 CLI 命令的访问。但在某些情况下,单一动作可控制对多项操作的访问。还有某些操作需要多种不同的动作。
操作表的资源类型列指示每项操作是否支持资源级权限。如果该列没有任何值,您必须在策略语句的 Resource 元素中指定策略应用的所有资源(“*”)。通过在 IAM policy 中使用条件来筛选访问权限,以控制是否可以在资源或请求中使用特定标签键。如果操作具有一个或多个必需资源,则调用方必须具有使用这些资源来使用该操作的权限。必需资源在表中以星号 (*) 表示。如果您在 IAM policy 中使用 Resource 元素限制资源访问权限,则必须为每种必需的资源类型添加 ARN 或模式。某些操作支持多种资源类型。如果资源类型是可选的(未指示为必需),则可以选择使用一种可选资源类型。
操作表的条件键列包括可以在策略语句的 Condition 元素中指定的键。有关与服务资源关联的条件键的更多信息,请参阅资源类型表的条件键列。
有关下表中各列的详细信息,请参阅操作表。
| 操作 | 描述 | 访问级别 | 资源类型(* 为必需) | 条件键 | 相关操作 |
|---|---|---|---|---|---|
| AbortMultipartUpload | 授予权限以中止分段上传 | Write | |||
| BypassGovernanceRetention | 授予权限以允许绕过监管模式对象保留设置 | Permissions management | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| CreateAccessPoint | 授予权限以创建新的接入点 | Write | |||
| CreateAccessPointForObjectLambda | 授予权限以创建对象 lambda 接入点 | Write | |||
| CreateBucket | 授予权限以创建新的桶 | Write | |||
| CreateJob | 授予权限以创建新的 Amazon S3 分批操作作业 | Write |
iam:PassRole |
||
| CreateMultiRegionAccessPoint | 授予权限以创建新的多区域访问点 | Write | |||
| DeleteAccessPoint | 授予权限以删除在 URI 中指定的接入点 | Write | |||
| DeleteAccessPointForObjectLambda | 授予权限以删除在 URI 中指定的对象 lambda 接入点 | Write | |||
| DeleteAccessPointPolicy | 授予权限以删除指定接入点上的策略 | Permissions management | |||
| DeleteAccessPointPolicyForObjectLambda | 授予权限以删除指定对象 lambda 接入点上的策略 | Permissions management | |||
| DeleteBucket | 授予权限以删除在 URI 中指定的桶 | Write | |||
| DeleteBucketPolicy | 授予权限以删除指定桶上的策略 | Permissions management | |||
| DeleteBucketWebsite | 授予权限以删除桶的网站配置 | Write | |||
| DeleteJobTagging | 授予权限以从现有 Amazon S3 分批操作作业中删除标签 | Tagging | |||
| DeleteMultiRegionAccessPoint | 授予权限以删除在 URI 中指定的多区域访问点 | Write | |||
| DeleteObject | 授予权限以删除对象的空版本并插入删除标记,此版本成为对象的当前版本 | Write | |||
| DeleteObjectTagging | 授予权限以使用标记子资源从指定的对象中删除整个标记集 | Tagging | |||
| DeleteObjectVersion | 授予权限以删除特定版本的对象 | Write | |||
| DeleteObjectVersionTagging | 授予权限以删除特定版本对象的整个标记集 | Tagging | |||
| DeleteStorageLensConfiguration | 授予删除现有 Amazon S3 Storage Lens 存储统计管理工具配置的权限 | Write | |||
| DeleteStorageLensConfigurationTagging | 授予从现有 Amazon S3 Storage Lens 存储统计管理工具配置中删除标签的权限 | Tagging | |||
| DescribeJob | 授予权限以检索分批操作作业的配置参数和状态 | Read | |||
| DescribeMultiRegionAccessPointOperation | 授予权限以检索多区域接入点的配置 | Read | |||
| GetAccelerateConfiguration | 授予权限以使用加速子资源返回桶的 Transfer Acceleration(传输加速)状态(已启用或已暂停) | Read | |||
| GetAccessPoint | 授予权限以返回有关指定接入点的配置信息 | Read | |||
| GetAccessPointConfigurationForObjectLambda | 授予权限以检索对象 lambda 接入点的配置 | Read | |||
| GetAccessPointForObjectLambda | 授予权限以创建对象 lambda 接入点 | Read | |||
| GetAccessPointPolicy | 授予权限以返回与指定接入点关联的接入点策略 | Read | |||
| GetAccessPointPolicyForObjectLambda | 授予权限以返回与指定对象 lambda 接入点关联的接入点策略 | Read | |||
| GetAccessPointPolicyStatus | 授予权限以返回特定接入点策略的策略状态 | Read | |||
| GetAccessPointPolicyStatusForObjectLambda | 授予权限以返回对象 lambda 接入点策略的策略状态 | Read | |||
| GetAccountPublicAccessBlock | 授予权限以检索 Amazon Web Services 账户 的 PublicAccessBlock 配置 | Read | |||
| GetAnalyticsConfiguration | 授予权限以从 Amazon S3 桶获取分析配置,该桶由分析配置 ID 标识 | Read | |||
| GetBucketAcl | 授予权限以使用 acl 子资源返回 Amazon S3 桶的访问控制列表(ACL) | Read | |||
| GetBucketCORS | 授予权限以返回 Amazon S3 桶的 CORS 配置信息集 | Read | |||
| GetBucketLocation | 授予权限以返回 Amazon S3 桶所在的区域 | Read | |||
| GetBucketLogging | 授予权限以返回 Amazon S3 桶的日志记录状态以及用户拥有的查看或修改该状态的权限 | Read | |||
| GetBucketNotification | 授予权限以获取 Amazon S3 桶的通知配置 | Read | |||
| GetBucketObjectLockConfiguration | 授予权限以获取 Amazon S3 桶的对象锁定配置 | Read | |||
| GetBucketOwnershipControls | 授予权限以检索桶上的所有权控制 | Read | |||
| GetBucketPolicy | 授予权限以返回指定桶的策略 | Read | |||
| GetBucketPolicyStatus | 授予权限以检索特定 Amazon S3 桶的策略状态,该状态指示桶是否为公有的 | Read | |||
| GetBucketPublicAccessBlock | 授予权限以检索 Amazon S3 桶的 PublicAccessBlock 配置 | Read | |||
| GetBucketRequestPayment | 授予权限以返回 Amazon S3 桶的请求付款配置 | Read | |||
| GetBucketTagging | 授予权限以返回与 Amazon S3 桶关联的标签集 | Read | |||
| GetBucketVersioning | 授予权限以返回 Amazon S3 桶的版本控制状态 | Read | |||
| GetBucketWebsite | 授予权限以返回 Amazon S3 桶的网站配置 | Read | |||
| GetEncryptionConfiguration | 授予权限以返回 Amazon S3 桶的默认加密配置 | Read | |||
| GetIntelligentTieringConfiguration | 授予获取或列出 S3 桶中所有 Amazon S3 Intelligent Tiering 配置的权限 | Read | |||
| GetInventoryConfiguration | 授予权限以从 Amazon S3 桶返回清单配置(由清单配置 ID 标识) | Read | |||
| GetJobTagging | 授予权限以返回现有 Amazon S3 分批操作作业的标签集 | Read | |||
| GetLifecycleConfiguration | 授予权限以返回 Amazon S3 桶上的生命周期配置信息集 | Read | |||
| GetMetricsConfiguration | 授予权限以从 Amazon S3 桶获取指标配置 | Read | |||
| GetMultiRegionAccessPoint | 授予权限以返回有关指定多区域访问点的配置信息 | Read | |||
| GetMultiRegionAccessPointPolicy | 授予权限以返回与指定多区域访问点关联的访问点策略 | Read | |||
| GetMultiRegionAccessPointPolicyStatus | 授予权限以返回特定多区域访问点策略的策略状态 | Read | |||
| GetMultiRegionAccessPointRoutes | 授予权限以返回多区域访问点的路由配置 | Read | |||
| GetObject | 授予权限以从 Amazon S3 检索对象 | Read | |||
| GetObjectAcl | 授予权限以返回对象的访问控制列表 (ACL) | Read | |||
| GetObjectAttributes | 授予权限以检索与特定对象相关的属性 | Read | |||
| GetObjectLegalHold | 授予权限以获取对象的当前依法保留状态 | Read | |||
| GetObjectRetention | 授予权限以检索对象的保留设置 | Read | |||
| GetObjectTagging | 授予权限以返回对象的标签集 | Read | |||
| GetObjectTorrent | 授予权限以从 Amazon S3 桶返回 Torrent 文件 | Read | |||
| GetObjectVersion | 授予权限以检索对象的特定版本 | Read | |||
| GetObjectVersionAcl | 授予权限以返回特定对象版本的访问控制列表 (ACL) | Read | |||
| GetObjectVersionAttributes | 授予权限以检索与对象特定版本相关的属性 | Read | |||
| GetObjectVersionForReplication | 授予权限以复制未加密的对象以及使用 SSE-S3 或 SSE-KMS 加密的对象 | Read | |||
| GetObjectVersionTagging | 授予权限以返回特定版本对象的标签集 | Read | |||
| GetObjectVersionTorrent | 授予权限以使用 versionId 子资源获取有关不同版本的 Torrent 文件 | Read | |||
| GetReplicationConfiguration | 授予权限以获取 Amazon S3 桶上的复制配置信息集 | Read | |||
| GetStorageLensConfiguration | 授予获取 Amazon S3 Storage Lens 存储统计管理工具配置的权限 | Read | |||
| GetStorageLensConfigurationTagging | 授予获取现有 Amazon S3 Storage Lens 存储统计管理工具配置的标签集的权限 | Read | |||
| GetStorageLensDashboard | 授予获取 Amazon S3 Storage Lens 存储统计管理工具控制面板的权限 | Read | |||
| InitiateReplication | 授予通过将对象的复制状态设置为待处理来启动复制进程的权限 | Write | |||
| ListAccessPoints | 授予权限以列出接入点 | List | |||
| ListAccessPointsForObjectLambda | 授予权限以列出对象 lambda 接入点 | List | |||
| ListAllMyBuckets | 授予权限以列出该请求的经身份验证的发件人拥有的所有桶 | List | |||
| ListBucket | 授予权限以列出 Amazon S3 桶中的部分或全部对象(最多 1000 个) | List | |||
| ListBucketMultipartUploads | 授予权限以列出正在进行的分段上传 | List | |||
| ListBucketVersions | 授予权限以列出有关 Amazon S3 桶中所有对象版本的元数据 | List | |||
| ListJobs | 授予权限以列出当前作业和最近结束的作业 | List | |||
| ListMultiRegionAccessPoints | 授予权限以列出多区域访问点 | List | |||
| ListMultipartUploadParts | 授予权限以列出为特定分段上传而上传的部分 | List | |||
| ListStorageLensConfigurations | 授予列出 Amazon S3 Storage Lens 存储统计管理工具配置的权限 | List | |||
| ObjectOwnerOverrideToBucketOwner | 授予权限以更改副本所有权 | Permissions management | |||
| PutAccelerateConfiguration | 授予权限以使用加速子资源设置现有 S3 桶的 Transfer Acceleration(传输加速)状态 | Write | |||
| PutAccessPointConfigurationForObjectLambda | 授予权限以配置对象 lambda 接入点 | Write | |||
| PutAccessPointPolicy | 授予权限以将访问策略与指定接入点关联 | Permissions management | |||
| PutAccessPointPolicyForObjectLambda | 授予权限以将访问策略与指定对象 lambda 接入点关联 | 权限管理 | |||
| PutAccessPointPublicAccessBlock | 授予权限以在创建接入点时将公有访问块配置与指定接入点关联 | 权限管理 | |||
| PutAccountPublicAccessBlock | 授予权限以便为 Amazon Web Services 账户 创建或修改 PublicAccessBlock 配置 | Permissions management | |||
| PutAnalyticsConfiguration | 授予权限以便为桶设置分析配置(由分析配置 ID 指定) | Write | |||
| PutBucketAcl | 授予权限以使用访问控制列表(ACL)设置对现有桶的权限 | Permissions management | |||
| PutBucketCORS | 授予权限以便为 Amazon S3 桶设置 CORS 配置 | Write | |||
| PutBucketLogging | 授予权限以设置 Amazon S3 桶的日志记录参数 | Write | |||
| PutBucketNotification | 授予权限以在 Amazon S3 桶中发生某些事件时接收通知 | Write | |||
| PutBucketObjectLockConfiguration | 授予权限以在特定桶上放置对象锁定配置 | Write | |||
| PutBucketOwnershipControls | 授予权限以添加、替换或删除桶上的所有权控制 | Write | |||
| PutBucketPolicy | 授予权限以在桶上添加或替换桶策略 | Permissions management | |||
| PutBucketPublicAccessBlock | 授予权限以创建或修改特定 Amazon S3 桶的 PublicAccessBlock 配置 | Permissions management | |||
| PutBucketRequestPayment | 授予权限以设置桶的请求付款配置 | Write | |||
| PutBucketTagging | 授予权限以向现有 Amazon S3 桶添加一组标签 | Tagging | |||
| PutBucketVersioning | 授予权限以设置现有 Amazon S3 桶的版本控制状态 | Write | |||
| PutBucketWebsite | 授予权限以设置在网站子资源中指定的网站的配置 | Write | |||
| PutEncryptionConfiguration | 授予权限以设置 Amazon S3 桶的加密配置 | Write | |||
| PutIntelligentTieringConfiguration | 授予创建新的 Amazon S3 Intelligent Tiering 配置、更新或删除现有 Amazon S3 Intelligent Tiering 配置的权限 | Write | |||
| PutInventoryConfiguration | 授予权限以向桶添加清单配置(由清单 ID 标识) | Write | |||
| PutJobTagging | 授予权限以替换现有 Amazon S3 分批操作作业上的标签 | Tagging | |||
| PutLifecycleConfiguration | 授予权限以便为桶创建新的生命周期配置或替换现有生命周期配置 | Write | |||
| PutMetricsConfiguration | 授予权限以从 Amazon S3 桶设置或更新 CloudWatch 请求指标的指标配置 | Write | |||
| PutMultiRegionAccessPointPolicy | 授予权限以将访问策略与指定多区域访问点关联 | 权限管理 | |||
| PutObject | 授予权限以将对象添加到桶 | Write | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| PutObjectAcl | 授予权限以便为 S3 桶中的新对象或现有对象设置访问控制列表(ACL)权限 | 权限管理 | |||
| PutObjectLegalHold | 授予权限以将依法保留配置应用于指定的对象 | Write | |||
| PutObjectRetention | 授予权限以在对象上放置对象保留配置 | Write | |||
| PutObjectTagging | 授予权限以将提供的标签集设置为桶中已存在的对象 | Tagging | |||
| PutObjectVersionAcl | 授予权限以使用 acl 子资源为桶中已存在的对象设置访问控制列表(ACL)权限 | Permissions management | |||
| PutObjectVersionTagging | 授予权限以便为对象的特定版本设置提供的标签集 | Tagging | |||
| PutReplicationConfiguration | 授予权限以创建新的复制配置或替换现有复制配置 | Write |
iam:PassRole |
||
| PutStorageLensConfiguration | 授予创建或更新 Amazon S3 Storage Lens 存储统计管理工具配置的权限 | Write | |||
| PutStorageLensConfigurationTagging | 授予在现有 Amazon S3 Storage Lens 存储统计管理工具配置上放置或替换标签的权限 | Tagging | |||
| ReplicateDelete | 授予权限以将删除标记复制到目标桶 | Write | |||
| ReplicateObject | 授予权限以将对象和对象标签复制到目标桶 | Write | |||
|
s3:x-amz-server-side-encryption |
|||||
| ReplicateTags | 授予权限以将对象标签复制到目标桶 | Tagging | |||
| RestoreObject | 授予权限以将对象的归档副本恢复到 Amazon S3 | Write | |||
| SubmitMultiRegionAccessPointRoutes | 授予权限以提交多区域访问点的路由配置更新 | Write | |||
| UpdateJobPriority | 授予权限以更新现有作业的优先级 | Write | |||
| UpdateJobStatus | 授予权限以更新指定作业的状态 | Write | |||
Amazon S3 定义的资源类型
以下资源类型是由该服务定义的,可以在 IAM 权限策略语句的 Resource 元素中使用这些资源类型。操作表中的每个操作指定了可以使用该操作指定的资源类型。您也可以在策略中包含条件键,从而定义资源类型。这些键显示在表的最后一列。有关下表中各列的详细信息,请参阅资源类型表。
| 资源类型 | ARN | 条件键 |
|---|---|---|
| accesspoint |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| object |
arn:${Partition}:s3:::${BucketName}/${ObjectName}
|
|
| job |
arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
|
|
| storagelensconfiguration |
arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}
|
|
| objectlambdaaccesspoint |
arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| multiregionaccesspoint |
arn:${Partition}:s3::${Account}:accesspoint/${AccessPointAlias}
|
|
| multiregionaccesspointrequestarn |
arn:${Partition}:s3:us-west-2:${Account}:async-request/mrap/${Operation}/${Token}
|
Amazon S3 的条件键
Amazon S3 定义以下可以在 IAM policy 的 Condition 元素中使用的条件键。您可以使用这些键进一步细化应用策略语句的条件。有关下表中各列的详细信息,请参阅条件键表。
要查看适用于所有服务的全局条件键,请参阅可用的全局条件键。
| 条件键 | 描述 | 类型 |
|---|---|---|
| aws:RequestTag/${TagKey} | 按请求中传递的标签筛选访问权限 | 字符串 |
| aws:ResourceTag/${TagKey} | 按与资源关联的标签筛选访问权限 | 字符串 |
| aws:TagKeys | 按请求中传递的标签键筛选访问权限 | 字符串数组 |
| s3:AccessPointNetworkOrigin | 按网络源(Internet 或 VPC)筛选访问 | 字符串 |
| s3:DataAccessPointAccount | 按拥有接入点的Amazon账户 ID 筛选访问 | 字符串 |
| s3:DataAccessPointArn | 按接入点 Amazon Resource Name(ARN)筛选访问 | ARN |
| s3:ExistingJobOperation | 按操作筛选访问权限以更新任务优先级 | 字符串 |
| s3:ExistingJobPriority | 按优先级范围筛选访问权限以取消现有任务 | 数值 |
| s3:ExistingObjectTag/<key> | 按现有对象标签键和值筛选访问 | 字符串 |
| s3:JobSuspendedCause | 按特定的任务暂停原因(例如,AWAITING_CONFIRMATION)筛选取消暂停的任务的访问权限 | 字符串 |
| s3:RequestJobOperation | 按操作筛选访问权限以创建任务 | 字符串 |
| s3:RequestJobPriority | 按优先级范围筛选访问权限以创建新任务 | 数值 |
| s3:RequestObjectTag/<key> | 按要添加到对象的标签键和值筛选访问 | 字符串 |
| s3:RequestObjectTagKeys | 按要添加到对象的标签键筛选访问 | 字符串数组 |
| s3:ResourceAccount | 按资源拥有者的 Amazon Web Services 账户 ID 筛选访问 | 字符串 |
| s3:TlsVersion | 按客户端使用的 TLS 版本筛选访问 | 数值 |
| s3:authType | 按身份验证方法筛选访问 | 字符串 |
| s3:delimiter | 按分隔符参数筛选访问 | 字符串 |
| s3:locationconstraint | 按特定区域筛选访问 | 字符串 |
| s3:max-keys | 通过限制 ListBucket 请求中返回的最大键数来筛选访问 | 数值 |
| s3:object-lock-legal-hold | 按对象合法保留状态筛选访问 | 字符串 |
| s3:object-lock-mode | 按对象保留模式(COMPLIANCE 或 GOVERNANCE)筛选访问 | 字符串 |
| s3:object-lock-remaining-retention-days | 按剩余对象保留天数筛选访问 | 数值 |
| s3:object-lock-retain-until-date | 按对象保留截止日期筛选访问 | 日期 |
| s3:prefix | 按键名称前缀筛选访问 | 字符串 |
| s3:signatureAge | 按请求签名的时间筛选访问(以毫秒为单位) | 数值 |
| s3:signatureversion | 按请求中使用的 Amazon 签名版本筛选访问 | 字符串 |
| s3:versionid | 按特定对象版本筛选访问权限 | 字符串 |
| s3:x-amz-acl | 按请求的 x-amz-acl 标头中的标准 ACL 筛选访问 | 字符串 |
| s3:x-amz-content-sha256 | 按桶中未签名内容筛选访问权限 | 字符串 |
| s3:x-amz-copy-source | 按复制对象请求中的复制源桶、前缀或对象筛选访问权限 | 字符串 |
| s3:x-amz-grant-full-control | 按 x-amz-grant-full-control(完全控制)标头筛选访问权限 | 字符串 |
| s3:x-amz-grant-read | 按 x-amz-grant-read(读取访问权限)标头筛选访问权限 | 字符串 |
| s3:x-amz-grant-read-acp | 按 x-amz-grant-read-acp(对于 ACL 的读取权限)标头筛选访问权限 | 字符串 |
| s3:x-amz-grant-write | 按 x-amz-grant-write(写入访问权限)标头筛选访问权限 | 字符串 |
| s3:x-amz-grant-write-acp | 按 x-amz-grant-write-acp(对于 ACL 的写入权限)标头筛选访问权限 | 字符串 |
| s3:x-amz-metadata-directive | 按复制对象时的对象元数据行为(COPY 或 REPLACE)来筛选访问 | 字符串 |
| s3:x-amz-object-ownership | 按对象所有权筛选访问权限 | 字符串 |
| s3:x-amz-server-side-encryption | 通过服务器端加密来筛选访问 | 字符串 |
| s3:x-amz-server-side-encryption-aws-kms-key-id | 通过将 Amazon KMS 客户托管 CMK 用于服务器端加密来筛选访问 | 字符串 |
| s3:x-amz-server-side-encryption-customer-algorithm | 按客户指定的服务器端加密算法筛选访问权限 | 字符串 |
| s3:x-amz-storage-class | 按存储类别筛选访问权限 | 字符串 |
| s3:x-amz-website-redirect-location | 针对配置为静态网站的桶,按特定网站重定向位置筛选访问 | 字符串 |