# Amazon S3 API 操作所需的权限
<a name="using-with-s3-policy-actions"></a>

**注意**  
本页面介绍面向通用存储桶的 Amazon S3 策略操作。要了解有关面向目录存储桶的 Amazon S3 策略操作的更多信息，请参阅[目录存储桶的操作](s3-express-security-iam.md#s3-express-security-iam-actions)。

要执行 S3 API 操作，必须拥有正确的权限。此页面将 S3 API 操作映射到所需的权限。要授予执行 S3 API 操作的权限，您必须撰写有效的策略（例如 S3 存储桶策略或基于 IAM 身份的策略），并在策略的 `Action` 元素中指定相应的操作。这些操作称为策略操作。并非每个 S3 API 操作都由单个权限（单个策略操作）表示，许多不同的 API 操作需要某些权限（某些策略操作）。

在撰写策略时，必须根据相应的 Amazon S3 策略操作所需的正确资源类型来指定 `Resource` 元素。此页面按资源类型对 S3 API 操作权限进行了分类。有关资源类型的更多信息，请参阅《Service Authorization Reference》**中 [Resource types defined by Amazon S3](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies)。有关策略中使用的 Amazon S3 策略操作、资源和条件键的完整列表，请参阅《Service Authorization Reference》**中的 [Actions, resources, and condition keys for Amazon S3](https://docs.amazonaws.cn/service-authorization/latest/reference/list_amazons3.html)。有关 Amazon S3 API 操作的完整列表，请参阅《Amazon Simple Storage Service API Reference》**中的 [Amazon S3 API Actions](https://docs.amazonaws.cn//AmazonS3/latest/API/API_Operations.html)。

有关如何解决 S3 中的 HTTP `403 Forbidden` 错误的更多信息，请参阅[排查 Amazon S3 中的拒绝访问（403 Forbidden）错误](troubleshoot-403-errors.md)。有关与 S3 结合使用的 IAM 功能的更多信息，请参阅 [Amazon S3 如何与 IAM 配合使用](security_iam_service-with-iam.md)。有关 S3 安全性最佳实践的更多信息，请参阅 [Amazon S3 的安全最佳实践](security-best-practices.md)。

**Topics**
+ [存储桶操作和权限](#using-with-s3-policy-actions-related-to-buckets)
+ [对象操作和权限](#using-with-s3-policy-actions-related-to-objects)
+ [通用存储桶的接入点操作和权限](#using-with-s3-policy-actions-related-to-accesspoint)
+ [对象 Lambda 接入点操作和权限](#using-with-s3-policy-actions-related-to-olap)
+ [多区域接入点操作和权限](#using-with-s3-policy-actions-related-to-mrap)
+ [批量任务操作和权限](#using-with-s3-policy-actions-related-to-batchops)
+ [S3 Storage Lens 存储分析功能配置操作和权限](#using-with-s3-policy-actions-related-to-lens)
+ [S3 Storage Lens 组操作和权限](#using-with-s3-policy-actions-related-to-lens-groups)
+ [S3 访问权限管控实例操作和权限](#using-with-s3-policy-actions-related-to-s3ag-instances)
+ [S3 访问权限管控位置操作和权限](#using-with-s3-policy-actions-related-to-s3ag-locations)
+ [S3 访问权限管控授权操作和权限](#using-with-s3-policy-actions-related-to-s3ag-grants)
+ [账户操作和权限](#using-with-s3-policy-actions-related-to-accounts)

## 存储桶操作和权限
<a name="using-with-s3-policy-actions-related-to-buckets"></a>

存储桶操作是在存储桶资源类型上执行的 S3 API 操作。您必须在存储桶策略或基于 IAM 身份的策略中为存储桶操作指定 S3 策略操作。

在策略中，`Resource` 元素必须为存储桶 Amazon 资源名称（ARN）。有关 `Resource` 元素格式和示例策略的更多信息，请参阅[存储桶操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-buckets)。

**注意**  
要在接入点策略中授予对存储桶操作的权限，请注意以下几点：  
在接入点策略中对于存储桶操作授予的权限，仅在底层存储桶支持相同的权限时才有效。使用接入点时，必须将访问控制权从存储桶委托给接入点，或者将接入点策略中的相同权限添加到底层存储桶的策略中。
在授予对存储桶操作的权限的接入点策略中，`Resource` 元素必须是 `accesspoint` ARN。有关 `Resource` 元素格式和示例策略的更多信息，请参阅[通用存储桶的接入点策略中的存储桶操作](security_iam_service-with-iam.md#bucket-operations-ap)。有关接入点策略的更多信息，请参阅[配置使用接入点的 IAM 策略](access-points-policies.md)。
并非所有存储桶操作都受接入点支持。有关更多信息，请参阅 [接入点与 S3 操作的兼容性](access-points-service-api-support.md#access-points-operations-support)。

以下是存储桶操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_CreateBucket.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_CreateBucket.html) | （必需）`s3:CreateBucket` | 创建新的 s3 存储桶所必需。 | 
|  | （有条件需要）`s3:PutBucketAcl` | 如果要在发出 `CreateBucket` 请求时使用访问控制列表（ACL）来指定对存储桶的权限，则必需。 | 
|  | （有条件需要）`s3:PutBucketObjectLockConfiguration`、`s3:PutBucketVersioning` | 如果要在创建存储桶时启用对象锁定，则必需。 | 
|  | （有条件需要）`s3:PutBucketOwnershipControls` | 如果要在创建存储桶时指定 S3 对象所有权，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html)（V2 API 操作。对于 V1 和 V2 API 操作，IAM 策略操作名称是相同的。） | （必需）`s3:CreateBucketMetadataTableConfiguration`、`s3tables:CreateTableBucket`、`s3tables:CreateNamespace`、`s3tables:CreateTable`、`s3tables:GetTable`、`s3tables:PutTablePolicy`、`s3tables:PutTableEncryption`、`kms:DescribeKey` | 在通用存储桶上创建元数据表配置所必需。<br />要创建 Amazon 托管式表存储桶和在元数据表配置中指定的元数据表，您必须具有指定的 `s3tables` 权限。<br />如果要使用具有 Amazon Key Management Service（Amazon KMS）密钥的服务器端加密（SSE-KMS）来加密元数据表，则需要在 KMS 密钥策略中包括其它权限。有关更多信息，请参阅 [为配置元数据表设置权限](metadata-tables-permissions.md)。<br />如果还想将 Amazon 托管式表存储桶与 Amazon 分析服务集成，以便能够查询元数据表，则需要额外的权限。有关更多信息，请参阅[集成 Amazon S3 表类数据存储服务与 Amazon 分析服务](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-tables-integrating-aws.html)。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html)（V1 API 操作） | （必需）`s3:CreateBucketMetadataTableConfiguration`、`s3tables:CreateNamespace`、`s3tables:CreateTable`、`s3tables:GetTable`、`s3tables:PutTablePolicy` | 在通用存储桶上创建元数据表配置所必需。<br />要在元数据表配置中指定的表存储桶中创建元数据表，您必须具有指定的 `s3tables` 权限。<br />如果要使用具有 Amazon Key Management Service（Amazon KMS）密钥的服务器端加密（SSE-KMS）来加密元数据表，则需要其它权限。有关更多信息，请参阅 [为配置元数据表设置权限](metadata-tables-permissions.md)。<br />如果您还想将表存储桶与 Amazon 分析服务集成，以便您能够查询元数据表，则需要额外的权限。有关更多信息，请参阅[集成 Amazon S3 表类数据存储服务与 Amazon 分析服务](https://docs.amazonaws.cn/AmazonS3/latest/userguide/s3-tables-integrating-aws.html)。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucket.html) | （必需）`s3:DeleteBucket` | 删除 S3 存储桶所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html) | （必需）`s3:PutAnalyticsConfiguration` | 从 S3 存储桶中删除 S3 分析配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketCors.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketCors.html) | （必需）`s3:PutBucketCORS` | 删除存储桶的跨源资源共享（CORS）配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketEncryption.html) | （必需）`s3:PutEncryptionConfiguration` | 将 S3 存储桶的默认加密配置重置为具有 Amazon S3 托管式密钥的服务器端加密（SSE-S3）所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html) | （必需）`s3:PutIntelligentTieringConfiguration` | 从 S3 存储桶中删除现有 S3 Intelligent-Tiering 配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html) | （必需）`s3:PutInventoryConfiguration` | 从 S3 存储桶中删除 S3 清单配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketLifecycle.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketLifecycle.html) | （必需）`s3:PutLifecycleConfiguration` | 删除 S3 存储桶的 S3 生命周期配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html)（V2 API 操作。对于 V1 和 V2 API 操作，IAM 策略操作名称是相同的。） | （必需）`s3:DeleteBucketMetadataTableConfiguration` | 从通用存储桶中删除元数据表配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html)（V1 API 操作） | （必需）`s3:DeleteBucketMetadataTableConfiguration` | 从通用存储桶中删除元数据表配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html) | （必需）`s3:PutMetricsConfiguration` | 从 S3 存储桶中删除 Amazon CloudWatch 请求指标的指标配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html)  | （必需）`s3:PutBucketOwnershipControls` | 移除 S3 存储桶的“对象所有权”设置所必需。移除后，“对象所有权”设置变为 `Object writer`。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketPolicy.html) | （必需）`s3:DeleteBucketPolicy` | 删除 S3 存储桶的策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketReplication.html) | （必需）`s3:PutReplicationConfiguration` | 删除 S3 存储桶的复制配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketTagging.html) | （必需）`s3:PutBucketTagging` | 从 S3 存储桶中删除标签所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketWebsite.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteBucketWebsite.html) | （必需）`s3:DeleteBucketWebsite` | 移除 S3 存储桶的网站配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeletePublicAccessBlock.html)（存储桶级） | （必需）`s3:PutBucketPublicAccessBlock` | 移除 S3 存储桶的屏蔽公共访问权限配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html) | （必需）`s3:GetAccelerateConfiguration` | 使用加速子资源返回存储桶的 Amazon S3 Transfer Acceleration 状态（已启用或已暂停）所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketAcl.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketAcl.html) | （必需）`s3:GetBucketAcl` | 返回 S3 存储桶的访问控制列表（ACL）所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html) | （必需）`s3:GetAnalyticsConfiguration` | 返回 S3 存储桶中由分析配置 ID 标识的分析配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketCors.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketCors.html) | （必需）`s3:GetBucketCORS` | 返回 S3 存储桶的跨源资源共享（CORS）配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketEncryption.html) | （必需）`s3:GetEncryptionConfiguration` | 返回 S3 存储桶的默认加密配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html) | （必需）`s3:GetIntelligentTieringConfiguration` | 获取 S3 存储桶的 S3 Intelligent-Tiering 配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html) | （必需）`s3:GetInventoryConfiguration` | 返回存储桶中由清单配置 ID 标识的清单配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketLifecycle.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketLifecycle.html) | （必需）`s3:GetLifecycleConfiguration` | 返回存储桶的 S3 生命周期配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketLocation.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketLocation.html) | （必需）`s3:GetBucketLocation` | 返回 S3 存储桶所在的 Amazon Web Services 区域所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketLogging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketLogging.html) | （必需）`s3:GetBucketLogging` | 返回 S3 存储桶的日志记录状态和用户具有的查看和修改该状态的权限所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html)（V2 API 操作。对于 V1 和 V2 API 操作，IAM 策略操作名称是相同的。） | （必需）`s3:GetBucketMetadataTableConfiguration` | 检索通用存储桶的元数据表配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html)（V1 API 操作） | （必需）`s3:GetBucketMetadataTableConfiguration` | 检索通用存储桶的元数据表配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html) | （必需）`s3:GetMetricsConfiguration` | 从存储桶中获取由指标配置 ID 指定的指标配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html) | （必需）`s3:GetBucketNotification` | 返回 S3 存储桶的通知配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketOwnershipControls.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketOwnershipControls.html) | （必需）`s3:GetBucketOwnershipControls` | 检索 S3 存储桶的“对象所有权”设置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketPolicy.html) | （必需）`s3:GetBucketPolicy` | 返回 S3 存储桶的策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketPolicyStatus.html) | （必需）`s3:GetBucketPolicyStatus` | 检索 S3 存储桶的策略状态（指示存储桶是否为公有）所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketReplication.html) | （必需）`s3:GetReplicationConfiguration` | 返回 S3 存储桶的复制配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketRequestPayment.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketRequestPayment.html) | （必需）`s3:GetBucketRequestPayment` | 返回 S3 存储桶的请求付款配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketVersioning.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketVersioning.html) | （必需）`s3:GetBucketVersioning` | 返回 S3 存储桶的版本控制状态所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketTagging.html) | （必需）`s3:GetBucketTagging` | 返回与 S3 存储桶关联的标签集所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketWebsite.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetBucketWebsite.html) | （必需）`s3:GetBucketWebsite` | 返回 S3 存储桶的网站配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectLockConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectLockConfiguration.html) | （必需）`s3:GetBucketObjectLockConfiguration` | 获取 S3 存储桶的对象锁定配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetPublicAccessBlock.html)（存储桶级） | （必需）`s3:GetBucketPublicAccessBlock` | 检索 S3 存储桶的屏蔽公共访问权限配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_HeadBucket.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_HeadBucket.html) | （必需）`s3:ListBucket` | 确定存储桶是否存在以及您是否有权访问该存储桶所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListBucketAnalyticsConfigurations.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListBucketAnalyticsConfigurations.html) | （必需）`s3:GetAnalyticsConfiguration` | 列出 S3 存储桶的分析配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListBucketIntelligentTieringConfigurations.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListBucketIntelligentTieringConfigurations.html) | （必需）`s3:GetIntelligentTieringConfiguration` | 列出 S3 存储桶的 S3 Intelligent-Tiering 配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListBucketInventoryConfigurations.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListBucketInventoryConfigurations.html) | （必需）`s3:GetInventoryConfiguration` | 返回 S3 存储桶的清单配置列表所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListBucketMetricsConfigurations.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListBucketMetricsConfigurations.html) | （必需）`s3:GetMetricsConfiguration` | 列出 S3 存储桶的指标配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListObjects.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListObjects.html) | （必需）`s3:ListBucket` | 列出 S3 存储桶中的部分或全部（最多 1000 个）对象所必需。 | 
|  | （有条件需要）`s3:GetObjectAcl` | 如果您要显示对象所有者信息，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListObjectsV2.html) | （必需）`s3:ListBucket` | 列出 S3 存储桶中的部分或全部（最多 1000 个）对象所必需。 | 
|  | （有条件需要）`s3:GetObjectAcl` | 如果您要显示对象所有者信息，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListObjectVersions.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListObjectVersions.html) | （必需）`s3:ListBucketVersions` | 获取有关 S3 存储桶中所有对象版本的元数据所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html) | （必需）`s3:PutAccelerateConfiguration` | 设置现有存储桶的加速配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketAcl.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketAcl.html) | （必需）`s3:PutBucketAcl` | 使用访问控制列表（ACL）设置对现有存储桶的权限所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html) | （必需）`s3:PutAnalyticsConfiguration` | 设置 S3 存储桶的分析配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketCors.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketCors.html) | （必需）`s3:PutBucketCORS` | 设置 S3 存储桶的跨源资源共享（CORS）配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketEncryption.html) | （必需）`s3:PutEncryptionConfiguration` | 配置 S3 存储桶的默认加密所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html) | （必需）`s3:PutIntelligentTieringConfiguration` | 将 S3 Intelligent-Tiering 配置放置到 S3 存储桶所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html) | （必需）`s3:PutInventoryConfiguration` | 将清单配置添加到 S3 存储桶所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketLifecycle.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketLifecycle.html) | （必需）`s3:PutLifecycleConfiguration` | 为 S3 存储桶创建新的 S3 生命周期配置或替换现有生命周期配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketLogging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketLogging.html) | （必需）`s3:PutBucketLogging` | 为 S3 存储桶设置日志记录参数并指定谁可以查看和修改日志记录参数的权限所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html) | （必需）`s3:PutMetricsConfiguration` | 设置或更新 S3 存储桶的 Amazon CloudWatch 请求指标的指标配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketNotificationConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketNotificationConfiguration.html) | （必需）`s3:PutBucketNotification` | 为 S3 存储桶启用指定事件的通知所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketOwnershipControls.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketOwnershipControls.html) | （必需）`s3:PutBucketOwnershipControls` | 创建或修改 S3 存储桶的“对象所有权”设置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketPolicy.html) | （必需）`s3:PutBucketPolicy` | 将 S3 存储桶策略应用于存储桶所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketReplication.html) | （必需）`s3:PutReplicationConfiguration` | 为 S3 存储桶创建新的复制配置或替换现有的复制配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketRequestPayment.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketRequestPayment.html) | （必需）`s3:PutBucketRequestPayment` | 设置存储桶的请求付款配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketTagging.html) | （必需）`s3:PutBucketTagging` | 将一组标签添加到 S3 存储桶所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketVersioning.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketVersioning.html) | （必需）`s3:PutBucketVersioning` | 设置 S3 存储桶的版本控制状态所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketWebsite.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutBucketWebsite.html) | （必需）`s3:PutBucketWebsite` | 将存储桶配置为网站并设置网站的配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObjectLockConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObjectLockConfiguration.html) | （必需）`s3:PutBucketObjectLockConfiguration` | 在 S3 存储桶上放置对象锁定配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutPublicAccessBlock.html)（存储桶级） | （必需）`s3:PutBucketPublicAccessBlock` | 创建或修改 S3 存储桶的屏蔽公共访问权限配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html) | （必需）`s3:UpdateBucketMetadataInventoryTableConfiguration`、`s3tables:CreateTableBucket`、`s3tables:CreateNamespace`、`s3tables:CreateTable`、`s3tables:GetTable`、`s3tables:PutTablePolicy`、`s3tables:PutTableEncryption`、`kms:DescribeKey` | 在通用存储桶上为元数据表配置启用或禁用清单表所必需。<br />如果要使用具有 Amazon Key Management Service（Amazon KMS）密钥的服务器端加密（SSE-KMS）来加密清单表，则需要在 KMS 密钥策略中包括其它权限。有关更多信息，请参阅 [为配置元数据表设置权限](metadata-tables-permissions.md)。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguration.html) | （必需）`s3:UpdateBucketMetadataJournalTableConfiguration` | 在通用存储桶上为元数据表配置启用或禁用日记表记录过期所必需。 | 

## 对象操作和权限
<a name="using-with-s3-policy-actions-related-to-objects"></a>

对象操作是对于对象资源类型运行的 S3 API 操作。您必须在基于资源的策略（例如存储桶策略、接入点策略、多区域接入点策略、VPC 端点策略）或基于 IAM 身份的策略中为对象操作指定 S3 策略操作。

在策略中，`Resource` 元素必须是对象 ARN。有关 `Resource` 元素格式和示例策略的更多信息，请参阅[对象操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-objects)。

**注意**  
Amazon KMS 策略操作（`kms:GenerateDataKey` 和 `kms:Decrypt`）仅适用于 Amazon KMS 资源类型，并且必须在基于 IAM 身份的策略和基于 Amazon KMS 资源的策略（Amazon KMS 密钥策略）中指定。您无法在基于 S3 资源的策略（例如 S3 存储桶策略）中指定 Amazon KMS 策略操作。
使用接入点控制对于对象操作的访问权限时，可以使用接入点策略。要在接入点策略中授予对于对象操作的权限，请注意以下几点：  
在授予对于对象操作的权限的接入点策略中，`Resource` 元素必须是通过接入点访问的对象的 ARN。有关 `Resource` 元素格式和示例策略的更多信息，请参阅[接入点策略中的对象操作](security_iam_service-with-iam.md#object-operations-ap)。
并非所有对象操作都受接入点支持。有关更多信息，请参阅 [接入点与 S3 操作的兼容性](access-points-service-api-support.md#access-points-operations-support)。
并非所有对象操作都受多区域接入点支持。有关更多信息，请参阅 [多区域接入点与 S3 操作的兼容性](MrapOperations.md#mrap-operations-support)。

以下是对象操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_AbortMultipartUpload.html) | （必需）`s3:AbortMultipartUpload` | 中止分段上传所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_CompleteMultipartUpload.html) | （必需）`s3:PutObject` | 完成分段上传所必需。 | 
|  | （有条件需要）`kms:Decrypt` | 如果要为 Amazon KMS 客户自主管理型密钥加密的对象完成分段上传，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_CopyObject.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_CopyObject.html) | 对于源对象： | 对于源对象： | 
|  | （必需）`s3:GetObject` 或 `s3:GetObjectVersion` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | （有条件需要）`kms:Decrypt` | 如果要从源存储桶复制 Amazon KMS 客户自主管理型密钥加密的对象，则必需。 | 
|  | 对于目标对象： | 对于目标对象： | 
|  | （必需）`s3:PutObject` | 将复制的对象放置到目标存储桶中所必需。 | 
|  | （有条件需要）`s3:PutObjectAcl` | 如果要在发出 `CopyObject` 请求时将带有对象访问控制列表（ACL）的已复制对象放置到目标存储桶，则必需。 | 
|  | （有条件需要）`s3:PutObjectTagging` | 如果要在发出 `CopyObject` 请求时将带有对象标记的已复制对象放置到目标存储桶，则必需。 | 
|  | （有条件需要）`kms:GenerateDataKey` | 如果要使用 Amazon KMS 客户自主管理型密钥来加密复制的对象并将其放置到目标存储桶，则必需。 | 
|  | （有条件需要）`s3:PutObjectRetention` | 如果要为新对象设置对象锁定保留配置，则必需。 | 
|  | （有条件需要）`s3:PutObjectLegalHold` | 如果要对新对象实施对象锁定法定保留，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_CreateMultipartUpload.html) | （必需）`s3:PutObject` | 创建分段上传所必需。 | 
|  | （有条件需要）`s3:PutObjectAcl` | 如果要为上传的对象设置对象访问控制列表（ACL）权限，则必需。 | 
|  | （有条件需要）`s3:PutObjectTagging` | 如果要向上传的对象添加对象标记，则必需。 | 
|  | （有条件需要）`kms:GenerateDataKey` | 如果要在启动分段上传时使用 Amazon KMS 客户自主管理型密钥来加密对象，则必需。 | 
|  | （有条件需要）`s3:PutObjectRetention` | 如果要为上传的对象设置对象锁定保留配置，则必需。 | 
|  | （有条件需要）`s3:PutObjectLegalHold` | 如果要对上传的对象应用对象锁定法定保留，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteObject.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteObject.html) | （必需）`s3:DeleteObject` 或 `s3:DeleteObjectVersion` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | （有条件需要）`s3:BypassGovernanceRetention` | 如果要删除受监管模式保护来进行对象锁定保留的对象，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteObjects.html) | （必需）`s3:DeleteObject` 或 `s3:DeleteObjectVersion` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | （有条件需要）`s3:BypassGovernanceRetention` | 如果要删除受监管模式保护来进行对象锁定保留的对象，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteObjectTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_DeleteObjectTagging.html) | （必需）`s3:DeleteObjectTagging` 或 `s3:DeleteObjectVersionTagging` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObject.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObject.html) | （必需）`s3:GetObject` 或 `s3:GetObjectVersion` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | （有条件需要）`kms:Decrypt` | 如果要获取和解密 Amazon KMS 客户自主管理型密钥加密的对象，则必需。 | 
|  | （有条件需要）`s3:GetObjectTagging` | 如果要在发出 `GetObject` 请求时获取对象的标签集，则必需。 | 
|  | （有条件需要）`s3:GetObjectLegalHold` | 如果要获取对象的当前对象锁定法定保留状态，则必需。 | 
|  | （有条件需要）`s3:GetObjectRetention` | 如果要检索对象的对象锁定保留设置，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectAcl.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectAcl.html) | （必需）`s3:GetObjectAcl` 或 `s3:GetObjectVersionAcl` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectAttributes.html) | （必需）`s3:GetObject` 或 `s3:GetObjectVersion` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | （有条件需要）`kms:Decrypt` | 如果要检索与 Amazon KMS 客户自主管理型密钥加密的对象相关的属性，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectLegalHold.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectLegalHold.html) | （必需）`s3:GetObjectLegalHold` | 获取对象的当前对象锁定法定保留状态所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectRetention.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectRetention.html) | （必需）`s3:GetObjectRetention` | 检索对象的对象锁定保留设置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectTagging.html) | （必需）`s3:GetObjectTagging` 或 `s3:GetObjectVersionTagging` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectTorrent.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetObjectTorrent.html) | （必需）`s3:GetObject` | 返回对象的 torrent 文件所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_HeadObject.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_HeadObject.html) | （必需）`s3:GetObject` | 从对象检索元数据而不返回对象本身所必需。 | 
|  | （有条件需要）`s3:GetObjectLegalHold` | 如果要获取对象的当前对象锁定法定保留状态，则必需。 | 
|  | （有条件需要）`s3:GetObjectRetention` | 如果要检索对象的对象锁定保留设置，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListMultipartUploads.html) | （必需）`s3:ListBucketMultipartUploads` | 列出存储桶中正在进行的分段上传所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListParts.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListParts.html) | （必需）`s3:ListMultipartUploadParts` | 列出为特定分段上传已上传的分段所必需。 | 
|  | （有条件需要）`kms:Decrypt` | 如果要列出 Amazon KMS 客户自主管理型密钥加密的分段上传的各个分段，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObject.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObject.html) | （必需）`s3:PutObject` | 放置对象所必需。 | 
|  | （有条件需要）`s3:PutObjectAcl` | 如果要在发出 `PutObject` 请求时放置对象访问控制列表（ACL），则必需。 | 
|  | （有条件需要）`s3:PutObjectTagging` | 如果要在发出 `PutObject` 请求时放置对象标记，则必需。 | 
|  | （有条件需要）`kms:GenerateDataKey` | 如果要使用 Amazon KMS 客户自主管理型密钥来加密对象，则必需。 | 
|  | （有条件需要）`s3:PutObjectRetention` | 如果要在对象上设置对象锁定保留配置，则必需。 | 
|  | （有条件需要）`s3:PutObjectLegalHold` | 如果要将对象锁定法定保留配置应用于指定的对象，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObjectAcl.html) | （必需）`s3:PutObjectAcl` 或 `s3:PutObjectVersionAcl` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObjectLegalHold.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObjectLegalHold.html) | （必需）`s3:PutObjectLegalHold` | 将对象锁定法定保留配置应用于对象所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObjectRetention.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObjectRetention.html) | （必需）`s3:PutObjectRetention` | 将对象锁定保留配置应用于对象所必需。 | 
|  | （有条件需要）`s3:BypassGovernanceRetention` | 如果要绕过对象锁定保留配置的监管模式，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutObjectTagging.html) | （必需）`s3:PutObjectTagging` 或 `s3:PutObjectVersionTagging` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_RestoreObject.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_RestoreObject.html) | （必需）`s3:RestoreObject` | 还原归档对象的副本所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_SelectObjectContent.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_SelectObjectContent.html) | （必需）`s3:GetObject` | 基于简单结构化查询语言（SQL）语句筛选 S3 对象的内容所必需。 | 
|  | （有条件需要）`kms:Decrypt` | 如果要筛选使用 Amazon KMS 客户自主管理型密钥加密的 S3 对象的内容，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_UpdateObjectEncryption.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_UpdateObjectEncryption.html) | （必需）`s3:UpdateObjectEncryption`、`s3:PutObject`、`kms:Encrypt`、`kms:Decrypt`、`kms:GenerateDataKey`、`kms:ReEncrypt*` | 如果要在具有 Amazon S3 托管式加密的服务器端加密（SSE-S3）和具有 Amazon Key Management Service（Amazon KMS）加密密钥的服务器端加密（SSE-KMS）之间更改加密的对象，则为必需的。还可以使用 `UpdateObjectEncryption` 操作来应用 S3 存储桶密钥以降低 Amazon KMS 请求成本，或者更改用于加密数据的客户自主管理型 KMS 密钥，这样您就可以遵守自定义密钥轮换标准。 | 
|  | （有条件需要）`organizations:DescribeAccount` | 如果您正在使用 Amazon Organizations，则要将 `UpdateObjectEncryption` 操作与组织内其它 Amazon Web Services 账户提供的客户管理型 KMS 密钥结合使用，您必须具有 `organizations:DescribeAccount` 权限。 还可以通过联系 Amazon Web Services 支持 来请求使用组织内其它成员账户拥有的 Amazon KMS keys的能力。  | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_UploadPart.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_UploadPart.html) | （必需）`s3:PutObject` | 在分段上传中上传某个分段所必需。 | 
|  | （有条件需要）`kms:GenerateDataKey` | 如果要放置某个上传分段并使用 Amazon KMS 客户自主管理型密钥对其进行加密，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_UploadPartCopy.html) | 对于源对象： | 对于源对象： | 
|  | （必需）`s3:GetObject` 或 `s3:GetObjectVersion` |  [See the AWS documentation website for more details](http://docs.amazonaws.cn/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | （有条件需要）`kms:Decrypt` | 如果要从源存储桶复制 Amazon KMS 客户自主管理型密钥加密的对象，则必需。 | 
|  | 对于目标分段： | 对于目标分段： | 
|  | （必需）`s3:PutObject` | 将分段上传的某个分段上传到目标存储桶所必需。 | 
|  | （有条件需要）`kms:GenerateDataKey` | 如果要在将某个分段上传到目标存储桶时使用 Amazon KMS 客户自主管理型密钥加密该分段，则必需。 | 

## 通用存储桶的接入点操作和权限
<a name="using-with-s3-policy-actions-related-to-accesspoint"></a>

接入点操作是在 `accesspoint` 资源类型上执行的 S3 API 操作。必须在基于 IAM 身份的策略中为接入点操作指定 S3 策略操作，而不是在存储桶策略或接入点策略中指定它们。

在策略中，`Resource` 元素必须是 `accesspoint` ARN。有关 `Resource` 元素格式和示例策略的更多信息，请参阅[通用存储桶的接入点操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-accesspoint)。

**注意**  
如果要使用接入点来控制对存储桶或对象操作的访问权限，请注意以下几点：  
有关使用接入点控制对存储桶操作的访问权限的信息，请参阅[通用存储桶的接入点策略中的存储桶操作](security_iam_service-with-iam.md#bucket-operations-ap)。
有关使用接入点控制对于对象操作的访问权限的信息，请参阅[接入点策略中的对象操作](security_iam_service-with-iam.md#object-operations-ap)。
有关如何配置接入点策略的更多信息，请参阅[配置使用接入点的 IAM 策略](access-points-policies.md)。

以下是接入点操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateAccessPoint.html) | （必需）`s3:CreateAccessPoint` | 创建与 S3 存储桶关联的接入点所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessPoint.html) | （必需）`s3:DeleteAccessPoint` | 删除接入点所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html) | （必需）`s3:DeleteAccessPointPolicy` | 删除接入点策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) | （必需）`s3:GetAccessPointPolicy` | 检索接入点策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessPointPolicyStatus.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessPointPolicyStatus.html) | （必需）`s3:GetAccessPointPolicyStatus` | 检索有关指定的接入点当前是否具有相关策略（即支持公共访问权限）的信息所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html) | （必需）`s3:PutAccessPointPolicy` | 放置接入点策略所必需。 | 

## 对象 Lambda 接入点操作和权限
<a name="using-with-s3-policy-actions-related-to-olap"></a>

对象 Lambda 接入点操作是在 `objectlambdaaccesspoint` 资源类型上运行的 S3 API 操作。有关如何为对象 Lambda 接入点操作配置策略的更多信息，请参阅[为对象 Lambda 接入点配置 IAM 策略](olap-policies.md)。

以下是对象 Lambda 接入点操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateAccessPointForObjectLambda.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateAccessPointForObjectLambda.html) | （必需）`s3:CreateAccessPointForObjectLambda` | 创建对象 Lambda 接入点所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessPointForObjectLambda.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessPointForObjectLambda.html) | （必需）`s3:DeleteAccessPointForObjectLambda` | 删除指定的对象 Lambda 接入点所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessPointPolicyForObjectLambda.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessPointPolicyForObjectLambda.html) | （必需）`s3:DeleteAccessPointPolicyForObjectLambda` | 删除指定的对象 Lambda 接入点上的策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessPointConfigurationForObjectLambda.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessPointConfigurationForObjectLambda.html) | （必需）`s3:GetAccessPointConfigurationForObjectLambda` | 检索对象 Lambda 接入点的配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetAccessPointForObjectLambda.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetAccessPointForObjectLambda.html) | （必需）`s3:GetAccessPointForObjectLambda` | 检索有关对象 Lambda 接入点的信息所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetAccessPointPolicyForObjectLambda.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetAccessPointPolicyForObjectLambda.html) | （必需）`s3:GetAccessPointPolicyForObjectLambda` | 返回与指定对象 Lambda 接入点关联的接入点策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetAccessPointPolicyStatusForObjectLambda.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_GetAccessPointPolicyStatusForObjectLambda.html) | （必需）`s3:GetAccessPointPolicyStatusForObjectLambda` | 返回特定对象 Lambda 接入点策略的策略状态所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutAccessPointConfigurationForObjectLambda.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutAccessPointConfigurationForObjectLambda.html) | （必需）`s3:PutAccessPointConfigurationForObjectLambda` | 设置对象 Lambda 接入点的配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutAccessPointPolicyForObjectLambda.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutAccessPointPolicyForObjectLambda.html) | （必需）`s3:PutAccessPointPolicyForObjectLambda` | 将访问策略与指定的对象 Lambda 接入点相关联所必需。 | 

## 多区域接入点操作和权限
<a name="using-with-s3-policy-actions-related-to-mrap"></a>

多区域接入点操作是在 `multiregionaccesspoint` 资源类型上运行的 S3 API 操作。有关如何为多区域接入点操作配置策略的更多信息，请参阅[多区域接入点策略示例](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples)。

以下是多区域接入点操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html) | （必需）`s3:CreateMultiRegionAccessPoint` | 创建多区域接入点并将其与 S3 存储桶关联所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteMultiRegionAccessPoint.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteMultiRegionAccessPoint.html) | （必需）`s3:DeleteMultiRegionAccessPoint` | 删除多区域接入点所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html) | （必需）`s3:DescribeMultiRegionAccessPointOperation` | 检索管理多区域接入点的异步请求的状态所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html) | （必需）`s3:GetMultiRegionAccessPoint` | 返回有关指定多区域接入点的配置信息所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html) | （必需）`s3:GetMultiRegionAccessPointPolicy` | 返回指定多区域接入点的访问控制策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html) | （必需）`s3:GetMultiRegionAccessPointPolicyStatus` | 返回特定多区域接入点的策略状态，以了解指定的多区域接入点是否具有支持公共访问权限的访问控制策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html) | （必需）`s3:GetMultiRegionAccessPointRoutes` | 返回多区域接入点的路由配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html) | （必需）`s3:PutMultiRegionAccessPointPolicy` | 更新指定多区域接入点的访问控制策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html) | （必需）`s3:SubmitMultiRegionAccessPointRoutes` | 提交多区域接入点的已更新路由配置所必需。 | 

## 批量任务操作和权限
<a name="using-with-s3-policy-actions-related-to-batchops"></a>

（批量操作）任务操作是在 `job` 资源类型上运行的 S3 API 操作。必须在基于 IAM 身份的策略中为任务操作指定 S3 策略操作，而不是在存储桶策略中指定它们。

在策略中，`Resource` 元素必须是 `job` ARN。有关 `Resource` 元素格式和示例策略的更多信息，请参阅[批处理作业操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-batchops)。

以下是批量任务操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteJobTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteJobTagging.html) | （必需）`s3:DeleteJobTagging` | 从现有 S3 批量操作任务中移除标签所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DescribeJob.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DescribeJob.html) | （必需）`s3:DescribeJob` | 检索批量操作任务的配置参数和状态所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetJobTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetJobTagging.html) | （必需）`s3:GetJobTagging` | 返回现有 S3 批量操作任务的标签集所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutJobTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutJobTagging.html) | （必需）`s3:PutJobTagging` | 在现有 S3 批量操作任务上放置或替换标签所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_UpdateJobPriority.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_UpdateJobPriority.html) | （必需）`s3:UpdateJobPriority` | 更新现有任务的优先级所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_UpdateJobStatus.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_UpdateJobStatus.html) | （必需）`s3:UpdateJobStatus` | 更新指定任务的状态所必需。 | 

## S3 Storage Lens 存储分析功能配置操作和权限
<a name="using-with-s3-policy-actions-related-to-lens"></a>

S3 Storage Lens 存储分析功能配置操作是在 `storagelensconfiguration` 资源类型上运行的 S3 API 操作。有关如何配置 S3 Storage Lens 存储分析功能配置操作的更多信息，请参阅[设置 Amazon S3 Storage Lens 存储统计管理工具权限](storage_lens_iam_permissions.md)。

以下是 S3 Storage Lens 存储分析功能配置操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteStorageLensConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteStorageLensConfiguration.html) | （必需）`s3:DeleteStorageLensConfiguration` | 删除 S3 Storage Lens 存储分析功能配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteStorageLensConfigurationTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteStorageLensConfigurationTagging.html) | （必需）`s3:DeleteStorageLensConfigurationTagging` | 删除 S3 Storage Lens 存储分析功能配置标签所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetStorageLensConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetStorageLensConfiguration.html) | （必需）`s3:GetStorageLensConfiguration` | 获取 S3 Storage Lens 存储分析功能配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetStorageLensConfigurationTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetStorageLensConfigurationTagging.html) | （必需）`s3:GetStorageLensConfigurationTagging` | 获取 S3 Storage Lens 存储分析功能配置的标签所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutStorageLensConfigurationTagging.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutStorageLensConfigurationTagging.html) | （必需）`s3:PutStorageLensConfigurationTagging` | 在现有 S3 Storage Lens 存储分析功能配置上放置或替换标签所必需。 | 

## S3 Storage Lens 组操作和权限
<a name="using-with-s3-policy-actions-related-to-lens-groups"></a>

S3 Storage Lens 组操作是在 `storagelensgroup` 资源类型上运行的 S3 API 操作。有关如何配置 S3 Storage Lens 组权限的更多信息，请参阅 [Storage Lens 组权限](storage-lens-groups.md#storage-lens-group-permissions)。

以下是 S3 Storage Lens 组操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteStorageLensGroup.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteStorageLensGroup.html) | （必需）`s3:DeleteStorageLensGroup` | 删除现有 S3 Storage Lens 组所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetStorageLensGroup.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetStorageLensGroup.html) | （必需）`s3:GetStorageLensGroup` | 检索 S3 Storage Lens 组配置详细信息所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_UpdateStorageLensGroup.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_UpdateStorageLensGroup.html) | （必需）`s3:UpdateStorageLensGroup` | 更新现有 S3 Storage Lens 组所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html) | （必需）`s3:CreateStorageLensGroup` | 创建 Storage Lens 组所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html), [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_TagResource.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_TagResource.html) | （必需）`s3:CreateStorageLensGroup`、`s3:TagResource` | 使用标签新建 Storage Lens 组所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListStorageLensGroups.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListStorageLensGroups.html) | （必需）`s3:ListStorageLensGroups` | 列出主区域中的所有 Storage Lens 组所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListTagsForResource.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListTagsForResource.html) | （必需）`s3:ListTagsForResource` | 列出已添加到 Storage Lens 组的标签所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_TagResource.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_TagResource.html) | （必需）`s3:TagResource` | 为现有 Storage Lens 组添加或更新 Storage Lens 组标签所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_UntagResource.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_UntagResource.html) | （必需）`s3:UntagResource` | 从 Storage Lens 组删除标签所必需。 | 

## S3 访问权限管控实例操作和权限
<a name="using-with-s3-policy-actions-related-to-s3ag-instances"></a>

S3 访问权限管控实例操作是在 `accessgrantsinstance` 资源类型上运行的 S3 API 操作。S3 访问权限管控实例是访问权限管控的逻辑容器。有关使用 S3 访问权限管控实例的更多信息，请参阅[使用 S3 访问权限管控实例](access-grants-instance.md)。

以下是 S3 访问权限管控实例配置操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_AssociateAccessGrantsIdentityCenter.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_AssociateAccessGrantsIdentityCenter.html) | （必需）`s3:AssociateAccessGrantsIdentityCenter` | 将 Amazon IAM Identity Center 实例与 S3 访问权限管控实例关联，从而使您能够为公司身份目录中的用户和组创建访问权限管控所必需。您还必须拥有以下权限：<br />`sso:CreateApplication`、`sso:PutApplicationGrant` 和 `sso:PutApplicationAuthenticationMethod`。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateAccessGrantsInstance.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateAccessGrantsInstance.html) | （必需）`s3:CreateAccessGrantsInstance` | 创建 S3 访问权限管控实例（`accessgrantsinstance` 资源）所必需，该实例是各个访问权限管控的容器。<br />要将 Amazon IAM Identity Center 实例与 S3 访问权限管控实例关联，您还必须拥有 `sso:DescribeInstance`、`sso:CreateApplication`、`sso:PutApplicationGrant` 和 `sso:PutApplicationAuthenticationMethod` 权限。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstance.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstance.html) | （必需）`s3:DeleteAccessGrantsInstance` | 从您账户的 Amazon Web Services 区域中删除 S3 访问权限管控实例（`accessgrantsinstance` 资源）所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstanceResourcePolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstanceResourcePolicy.html) | （必需）`s3:DeleteAccessGrantsInstanceResourcePolicy` | 删除 S3 访问权限管控实例的资源策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DissociateAccessGrantsIdentityCenter.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DissociateAccessGrantsIdentityCenter.html) | （必需）`s3:DissociateAccessGrantsIdentityCenter` | 取消 Amazon IAM Identity Center 实例与 S3 访问权限管控实例的关联所必需。您还必须拥有以下权限：<br />`sso:DeleteApplication` | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessGrantsInstance.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessGrantsInstance.html) | （必需）`s3:GetAccessGrantsInstance` | 检索您的账户中 Amazon Web Services 区域的 S3 访问权限管控实例所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceForPrefix.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceForPrefix.html) | （必需）`s3:GetAccessGrantsInstanceForPrefix` | 检索包含特定前缀的 S3 访问权限管控实例所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceResourcePolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceResourcePolicy.html) | （必需）`s3:GetAccessGrantsInstanceResourcePolicy` | 返回 S3 访问权限管控实例的资源策略所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListAccessGrantsInstances.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListAccessGrantsInstances.html) | （必需）`s3:ListAccessGrantsInstances` | 返回您账户中 S3 访问权限管控实例的列表所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutAccessGrantsInstanceResourcePolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutAccessGrantsInstanceResourcePolicy.html) | （必需）`s3:PutAccessGrantsInstanceResourcePolicy` | 更新 S3 访问权限管控实例的资源策略所必需。 | 

## S3 访问权限管控位置操作和权限
<a name="using-with-s3-policy-actions-related-to-s3ag-locations"></a>

S3 访问权限管控位置操作是在 `accessgrantslocation` 资源类型上运行的 S3 API 操作。有关使用 S3 访问权限管控位置的更多信息，请参阅[使用 S3 访问权限管控位置](access-grants-location.md)。

以下是 S3 访问权限管控位置配置操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateAccessGrantsLocation.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateAccessGrantsLocation.html) | （必需）`s3:CreateAccessGrantsLocation` | 在 S3 访问权限管控实例中注册位置（创建 `accessgrantslocation` 资源）所必需。您还必须具有指定 IAM 角色的以下权限：<br />`iam:PassRole` | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessGrantsLocation.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessGrantsLocation.html) | （必需）`s3:DeleteAccessGrantsLocation` | 从 S3 访问权限管控实例中移除已注册的位置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessGrantsLocation.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessGrantsLocation.html) | （必需）`s3:GetAccessGrantsLocation` | 检索在 S3 访问权限管控实例中注册的特定位置的详细信息所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListAccessGrantsLocations.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListAccessGrantsLocations.html) | （必需）`s3:ListAccessGrantsLocations` | 返回在 S3 访问权限管控实例中注册的位置的列表所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_UpdateAccessGrantsLocation.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_UpdateAccessGrantsLocation.html) | （必需）`s3:UpdateAccessGrantsLocation` | 更新 S3 访问权限管控实例中的注册位置的 IAM 角色所必需。 | 

## S3 访问权限管控授权操作和权限
<a name="using-with-s3-policy-actions-related-to-s3ag-grants"></a>

S3 访问权限管控授权操作是在 `accessgrant` 资源类型上运行的 S3 API 操作。有关使用 S3 访问权限管控处理单独授权的更多信息，请参阅[在 S3 访问权限管控中处理授权](access-grants-grant.md)。

以下是 S3 访问权限管控授权配置操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateAccessGrant.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateAccessGrant.html) | （必需）`s3:CreateAccessGrant` | 在 S3 访问权限管控实例中为用户或组创建单独授权（`accessgrant` 资源）所必需。您还必须拥有以下权限：<br />对于任何目录身份：`sso:DescribeInstance` 和 `sso:DescribeApplication`<br />对于目录用户：`identitystore:DescribeUser` | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessGrant.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeleteAccessGrant.html) | （必需）`s3:DeleteAccessGrant` | 从 S3 访问权限管控实例中删除单独访问权限管控（`accessgrant` 资源）所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessGrant.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessGrant.html) | （必需）`s3:GetAccessGrant` | 获取有关 S3 访问权限管控实例中的单独访问权限管控的详细信息所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListAccessGrants.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListAccessGrants.html) | （必需）`s3:ListAccessGrants` | 返回 S3 访问权限管控实例中单独访问权限管控的列表所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html) | （必需）`s3:ListCallerAccessGrants` | 列出通过 S3 访问权限管控授权调用方访问 Amazon S3 数据的访问权限管控所必需。 | 

## 账户操作和权限
<a name="using-with-s3-policy-actions-related-to-accounts"></a>

账户操作是在账户级别执行的 S3 API 操作。账户不是 Amazon S3 定义的资源类型。必须在基于 IAM 身份的策略中为账户操作指定 S3 策略操作，而不是在存储桶策略中指定它们。

在策略中，`Resource` 元素必须是 `"*"`。有关示例策略的更多信息，请参阅[账户操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-accounts)。

以下是账户操作和所需策略操作的映射。


| API 操作 | 策略操作 | 策略操作的描述 | 
| --- | --- | --- | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateJob.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateJob.html) | （必需）`s3:CreateJob` | 创建新的 S3 批量操作任务所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html) | （必需）`s3:CreateStorageLensGroup` | 创建新的 S3 Storage Lens 组并将其与指定的 Amazon Web Services 账户 ID 关联所必需。 | 
|  | （有条件需要）`s3:TagResource` | 如果要创建带有 Amazon 资源标签的 S3 Storage Lens 组，则必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html)（账户级） | （必需）`s3:PutAccountPublicAccessBlock` | 从 Amazon Web Services 账户中移除屏蔽公共访问权限配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessPoint.html) | （必需）`s3:GetAccessPoint` | 检索有关指定接入点的配置信息所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html)（账户级） | （必需）`s3:GetAccountPublicAccessBlock` | 检索 Amazon Web Services 账户的屏蔽公共访问权限配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListAccessPoints.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListAccessPoints.html) | （必需）`s3:ListAccessPoints` | 列出 S3 存储桶的由 Amazon Web Services 账户拥有的接入点所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListAccessPointsForObjectLambda.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListAccessPointsForObjectLambda.html) | （必需）`s3:ListAccessPointsForObjectLambda` | 列出对象 Lambda 接入点所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListBuckets.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_ListBuckets.html) | （必需）`s3:ListAllMyBuckets` | 返回经过身份验证的请求发送人所拥有的所有存储桶的列表所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListJobs.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListJobs.html) | （必需）`s3:ListJobs` | 列出当前任务和最近结束的任务所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html) | （必需）`s3:ListMultiRegionAccessPoints` | 返回当前与指定 Amazon Web Services 账户关联的多区域接入点的列表所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListStorageLensConfigurations.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListStorageLensConfigurations.html) | （必需）`s3:ListStorageLensConfigurations` | 获取 Amazon Web Services 账户的 S3 Storage Lens 存储分析功能配置列表所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListStorageLensGroups.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_ListStorageLensGroups.html) | （必需）`s3:ListStorageLensGroups` | 列出指定主 Amazon Web Services 区域中的所有 S3 Storage Lens 组所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_PutPublicAccessBlock.html)（账户级） | （必需）`s3:PutAccountPublicAccessBlock` | 创建或修改 Amazon Web Services 账户的屏蔽公共访问权限配置所必需。 | 
| [https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutStorageLensConfiguration.html](https://docs.amazonaws.cn/AmazonS3/latest/API/API_control_PutStorageLensConfiguration.html) | （必需）`s3:PutStorageLensConfiguration` | 放置 S3 Storage Lens 存储分析功能配置所必需。 |