# 在 S3 访问权限管控中处理授权 S3 访问权限管控实例中的单个访问权限*管控* 可让特定身份 [Amazon Identity and Access Management(IAM)主体或公司目录中的用户或组] 在 S3 访问权限管控实例中注册的位置内获得访问权限。位置将存储桶或前缀映射到 IAM 角色。S3 访问权限管控代入此 IAM 角色,来向被授权者提供临时凭证。 在 S3 访问权限管控实例中[注册至少一个位置](https://docs.amazonaws.cn/AmazonS3/latest/userguide/access-grants-location.html)后,可以创建访问权限管控。 被授权者可以是 IAM 用户或角色,也可以是目录用户或组。目录用户是[与 S3 访问权限管控实例关联](https://docs.amazonaws.cn/AmazonS3/latest/userguide/access-grants-instance-idc.html)的公司目录或外部身份源中的用户。有关更多信息,请参阅 [S3 Access Grants 和公司目录身份](access-grants-directory-ids.md)。要从 IAM Identity Center 为特定目录用户或组创建授权,请在 IAM Identity Center 中找到 IAM Identity Center 用来标识该用户的 GUID,例如 `a1b2c3d4-5678-90ab-cdef-EXAMPLE11111`。有关如何使用 IAM Identity Center 来查看用户信息的更多信息,请参阅《Amazon IAM Identity Center 用户指南》**中的 [View user and group assignments](https://docs.amazonaws.cn/singlesignon/latest/userguide/get-started-view-assignments.html)。 您可以授予对存储桶、前缀或对象的访问权限。Amazon S3 中的前缀是用于整理存储桶中对象的对象密钥名称开头的字符串。这可以是任何支持的字符串,例如,存储桶中以 `engineering/` 前缀开头的对象键名称。 **Topics** + [创建授权](access-grants-grant-create.md) + [查看授权](access-grants-grant-view.md) + [删除授权](access-grants-grant-delete.md)