本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon S3 API 操作所需的許可
注意
此頁面與一般用途儲存貯體的 Amazon S3 政策動作相關。若要進一步了解目錄儲存貯體的 Amazon S3 政策動作,請參閱目錄儲存貯體的動作。
若要執行 S3 API 操作,您必須具備正確的許可。此頁面會將 S3 API 操作映射到所需的許可。若要授予執行 S3 API 操作的許可,您必須撰寫有效的政策 (例如 S3 儲存貯體政策或 IAM 身分型政策),並在政策的 Action 元素中指定對應的動作。這些動作稱為政策動作。並非每個 S3 API 操作都會由單一許可 (單一政策動作) 表示,許多不同的 API 操作需要一些許可 (一些政策動作)。
當您撰寫政策時,您必須根據對應 Amazon S3 政策動作所需的正確資源類型指定 Resource 元素。此頁面會依資源類型分類 S3 API 操作的許可。如需資源類型的詳細資訊,請參閱服務授權參考中的 Amazon S3 定義的資源類型。如需 Amazon S3 政策中所使用政策動作、資源和條件索引鍵的完整清單,請參閱 服務授權參考中的 Amazon S3 的動作、資源和條件索引鍵。如需 Amazon S3 API 操作的完整清單,請參閱 Amazon Simple Storage Service API 參考中的 Amazon S3 API 動作。
如需如何解決 S3 中 HTTP 403 Forbidden錯誤的詳細資訊,請參閱 對 Amazon S3 中的存取遭拒 (403
Forbidden) 錯誤進行故障診斷。如需與 S3 搭配使用之 IAM 功能的詳細資訊,請參閱 Amazon S3 如何搭配 IAM 運作。如需 S3 安全最佳實務的詳細資訊,請參閱 Amazon S3 的安全最佳實務。
主題
儲存貯體操作和許可
儲存貯體操作是在儲存貯體資源類型上執行的 S3 API 操作。您必須為儲存貯體政策或 IAM 身分型政策中的儲存貯體操作指定 S3 政策動作。
在政策中,Resource元素必須是儲存貯體的 Amazon Resource Name (ARN)。如需 Resource 元素格式和範例政策的詳細資訊,請參閱儲存貯體操作。
注意
若要在存取點政策中授予儲存貯體操作的許可,請注意下列事項:
-
存取點政策中授予的儲存貯體操作許可只有在基礎儲存貯體允許相同的許可時才有效。當您使用存取點時,您必須將存取控制從儲存貯體委派給存取點,或在存取點政策中將相同的許可新增至基礎儲存貯體的政策。
-
在授予儲存貯體操作許可的存取點政策中,
Resource元素必須是accesspointARN。如需Resource元素格式和範例政策的詳細資訊,請參閱一般用途儲存貯體存取點政策中的儲存貯體操作。如需存取點政策的詳細資訊,請參閱設定將存取點用於一般用途儲存貯體的 IAM 政策。 存取點不支援所有儲存貯體操作。如需詳細資訊,請參閱一般用途儲存貯體與 S3 操作相容性的存取點。
以下是儲存貯體操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
建立新的 S3 儲存貯體時需要。 |
|
|
(條件式必要) |
如果您想要在提出 |
|
|
(條件式必要) |
如果您想要在建立儲存貯體時啟用物件鎖定,則為必要項。 |
|
|
(條件式必要) |
如果您想要在建立儲存貯體時指定 S3 物件擁有權,則為必要項。 |
|
(必要) |
在一般用途儲存貯體上建立中繼資料表組態時需要。 若要在中繼資料表組態指定的資料表儲存貯體中建立中繼資料表,您必須具有指定的 如果您也想要整合資料表儲存貯體與 AWS 分析服務,以便查詢中繼資料資料表,則需要額外的許可。如需詳細資訊,請參閱將 Amazon S3 Tables 與 AWS 分析服務整合。 |
|
|
(必要) |
刪除 S3 儲存貯體時需要。 |
|
|
(必要) |
從 S3 儲存貯體中刪除 S3 分析組態時需要。 |
|
|
(必要) |
刪除儲存貯體的跨來源資源共用 (CORS) 組態時需要。 |
|
|
(必要) |
將 S3 儲存貯體的預設加密組態重設為使用 Amazon S3 受管金鑰的伺服器端加密 (SSE-S3) 時需要。 |
|
|
(必要) |
從 S3 儲存貯體中刪除現有的 S3 Intelligent-Tiering 組態時需要。 |
|
|
(必要) |
從 S3 儲存貯體中刪除 S3 庫存清單組態時需要。 |
|
|
(必要) |
刪除 S3 儲存貯體的 S3 生命週期組態時需要。 |
|
|
(必要) |
從一般用途儲存貯體中刪除中繼資料表組態時需要。 |
|
|
(必要) |
從 S3 儲存貯體中刪除 Amazon CloudWatch 請求指標的指標組態時需要。 |
|
|
(必要) |
移除 S3 儲存貯體的物件擁有權設定時需要。移除之後,物件擁有權設定會變成 |
|
|
(必要) |
刪除 S3 儲存貯體的政策時需要。 |
|
|
(必要) |
刪除 S3 儲存貯體的複寫組態時需要。 |
|
|
(必要) |
從 S3 儲存貯體中刪除標籤時需要。 |
|
|
(必要) |
移除 S3 儲存貯體的網站組態時需要。 |
|
|
DeletePublicAccessBlock (儲存貯體層級) |
(必要) |
移除 S3 儲存貯體的封鎖公開存取組態時需要。 |
|
(必要) |
使用 accelerate 子資源傳回儲存貯體的 Amazon S3 Transfer Acceleration 狀態 (即 Enabled 或 Suspended) 時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的存取控制清單 (ACL) 時需要。 |
|
|
(必要) |
從 S3 儲存貯體傳回由分析組態 ID 識別的分析組態時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的跨來源資源共用 (CORS) 組態時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的預設加密組態時需要。 |
|
|
(必要) |
取得 S3 儲存貯體的 S3 Intelligent-Tiering 組態時需要。 |
|
|
(必要) |
從儲存貯體傳回由庫存組態 ID 識別的庫存組態時需要。 |
|
|
(必要) |
傳回儲存貯體的 S3 生命週期組態時需要。 |
|
|
(必要) |
傳回 AWS 區域 S3 儲存貯體所在的 時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的記錄狀態以及使用者檢視和修改該狀態所需的許可時需要。 |
|
|
(必要) |
擷取一般用途儲存貯體的中繼資料表組態時需要。 |
|
|
(必要) |
從儲存貯體取得指標組態 ID 指定的指標組態時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的通知組態時需要。 |
|
|
(必要) |
擷取 S3 儲存貯體的物件擁有權設定時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的政策時需要。 |
|
|
(必要) |
擷取 S3 儲存貯體的政策狀態以指出儲存貯體是否公開時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的複寫組態時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的請求付款組態時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的版本控制狀態時需要。 |
|
|
(必要) |
傳回與 S3 儲存貯體相關聯的標籤組時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的網站組態時需要。 |
|
|
(必要) |
取得 S3 儲存貯體的物件鎖定組態時需要。 |
|
|
GetPublicAccessBlock (儲存貯體層級) |
(必要) |
擷取 S3 儲存貯體的封鎖公開存取組態時需要。 |
|
(必要) |
判斷儲存貯體是否存在以及您是否有許可加以存取時需要。 |
|
|
(必要) |
列出 S3 儲存貯體的分析組態時需要。 |
|
|
(必要) |
列出 S3 儲存貯體的 S3 Intelligent-Tiering 組態時需要。 |
|
|
(必要) |
傳回 S3 儲存貯體的庫存組態清單時需要。 |
|
|
(必要) |
列出 S3 儲存貯體的指標組態時需要。 |
|
|
(必要) |
列出 S3 儲存貯體中的部分或全部物件 (最多 1,000 個) 時需要。 |
|
|
(條件式必要) |
如果您想要顯示物件擁有者資訊,則為必要項。 |
|
|
(必要) |
列出 S3 儲存貯體中的部分或全部物件 (最多 1,000 個) 時需要。 |
|
|
(條件式必要) |
如果您想要顯示物件擁有者資訊,則為必要項。 |
|
|
(必要) |
取得 S3 儲存貯體中所有物件版本的中繼資料時需要。 |
|
|
(必要) |
設定現有儲存貯體的加速組態時需要。 |
|
|
(必要) |
使用存取控制清單 (ACL) 設定現有儲存貯體的許可時需要。 |
|
|
(必要) |
設定 S3 儲存貯體的分析組態時需要。 |
|
|
(必要) |
設定 S3 儲存貯體的跨來源資源共用 (CORS) 組態時需要。 |
|
|
(必要) |
設定 S3 儲存貯體的預設加密時需要。 |
|
|
(必要) |
將 S3 Intelligent-Tiering 組態放入 S3 儲存貯體時需要。 |
|
|
(必要) |
將庫存組態新增至 S3 儲存貯體時需要。 |
|
|
(必要) |
為 S3 儲存貯體建立新的 S3 生命週期組態或取代現有的生命週期組態時需要。 |
|
|
(必要) |
為 S3 儲存貯體設定記錄參數並指定誰可以檢視和修改記錄參數的許可時需要。 |
|
|
(必要) |
為 S3 儲存貯體的 Amazon CloudWatch 請求指標設定或更新其指標組態時需要。 |
|
|
(必要) |
為 S3 儲存貯體啟用指定事件的通知時需要。 |
|
|
(必要) |
建立或修改現有 S3 儲存貯體的物件擁有權設定時需要。 |
|
|
(必要) |
將 S3 儲存貯體政策套用至儲存貯體時需要。 |
|
|
(必要) |
為 S3 儲存貯體建立新的複寫組態或取代現有的複寫組態時需要。 |
|
|
(必要) |
設定儲存貯體的請求付款組態時需要。 |
|
|
(必要) |
將一組標籤新增至 S3 儲存貯體時需要。 |
|
|
(必要) |
設定 S3 儲存貯體的版本控制狀態時需要。 |
|
|
(必要) |
將儲存貯體設定為網站並設定網站的組態時需要。 |
|
|
(必要) |
在 S3 儲存貯體上放置物件鎖定組態時需要。 |
|
|
PutPublicAccessBlock (儲存貯體層級) |
(必要) |
建立或修改特定 S3 儲存貯體的封鎖公開存取組態時需要。 |
物件操作和許可
物件操作是對物件資源類型執行的 S3 API 操作。您必須在資源型政策 (例如儲存貯體政策、存取點政策、多區域存取點政策、VPC 端點政策) 或 IAM 身分型政策中指定物件操作的 S3 政策動作。
在政策中,Resource 元素必須是物件的 ARN。如需 Resource 元素格式和範例政策的詳細資訊,請參閱物件操作。
注意
AWS KMS 政策動作 (
kms:GenerateDataKey和kms:Decrypt) 僅適用於 AWS KMS 資源類型,且必須在 IAM 身分型政策和資源 AWS KMS 型政策 (AWS KMS 金鑰政策) 中指定。您無法在 S3 資源型政策中指定 AWS KMS 政策動作,例如 S3 儲存貯體政策。-
當您使用存取點控制對物件操作的存取時,您可以使用存取點政策。若要在存取點政策中授予物件操作的許可,請注意下列事項:
-
在授予物件操作許可的存取點政策中,
Resource元素必須是透過存取點存取之物件的 ARN。如需Resource元素格式和範例政策的詳細資訊,請參閱存取點政策中的物件操作。 存取點不支援所有物件操作。如需詳細資訊,請參閱一般用途儲存貯體與 S3 操作相容性的存取點。
-
多區域存取點不支援所有物件操作。如需詳細資訊,請參閱多區域存取點與 S3 操作的相容性。
以下是物件操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
中止分段上傳時需要。 |
|
|
(必要) |
完成分段上傳時需要。 |
|
|
(條件式必要) |
如果您想要完成 AWS KMS 客戶受管金鑰加密物件的分段上傳,則為必要項目。 |
|
|
對於來源物件: |
對於來源物件: |
|
|
(必要) |
|
|
|
(條件式必要) |
如果您想要從來源儲存貯體複製 AWS KMS 客戶受管金鑰加密物件,則為必要項目。 |
|
|
對於目的地物件: |
對於目的地物件: |
|
|
(必要) |
將複製的物件放入目的地儲存貯體時需要。 |
|
|
(條件式必要) |
如果您想要在提出 |
|
|
(條件式必要) |
如果您想要在提出 |
|
|
(條件式必要) |
如果您想要使用 AWS KMS 客戶受管金鑰加密複製的物件,並將其放入目的地儲存貯體,則為必要項目。 |
|
|
(條件式必要) |
如果您想要為新物件設定物件鎖定保留組態,則為必要項。 |
|
|
(條件式必要) |
如果您想要在新物件上放置物件鎖定法務保存,則為必要項。 |
|
|
(必要) |
建立分段上傳時需要。 |
|
|
(條件式必要) |
如果您想要為上傳的物件設定物件存取控制清單 (ACL) 許可,則為必要項。 |
|
|
(條件式必要) |
如果您想要將一或多個物件標記新增至上傳的物件,則為必要項。 |
|
|
(條件式必要) |
如果您想要在啟動分段上傳時,使用 AWS KMS 客戶受管金鑰來加密物件,則為必要項目。 |
|
|
(條件式必要) |
如果您想要為上傳的物件設定物件鎖定保留組態,則為必要項。 |
|
|
(條件式必要) |
如果您想要將物件鎖定法務保存套用至上傳的物件,則為必要項。 |
|
|
(必要) |
|
|
|
(條件式必要) |
如果您想要刪除受物件鎖定保留控管模式保護的物件,則為必要項。 |
|
|
(必要) |
|
|
|
(條件式必要) |
如果您想要刪除受物件鎖定保留控管模式保護的物件,則為必要項。 |
|
|
(必要) |
|
|
|
(必要) |
|
|
|
(條件式必要) |
如果您想要取得和解密 AWS KMS 客戶受管金鑰加密物件,則為必要項目。 |
|
|
(條件式必要) |
如果您想要在提出 |
|
|
(條件式必要) |
如果您想要取得物件的目前物件鎖定法務保存狀態,則為必要項。 |
|
|
(條件式必要) |
如果您想要擷取物件的物件鎖定保留設定,則為必要項。 |
|
|
(必要) |
|
|
|
(必要) |
|
|
|
(條件式必要) |
如果您想要擷取 AWS KMS 與客戶受管金鑰加密物件相關的屬性,則為必要項目。 |
|
|
(必要) |
取得物件的目前物件鎖定法務保存狀態時需要。 |
|
|
(必要) |
擷取物件的物件鎖定保留設定時需要。 |
|
|
(必要) |
|
|
|
(必要) |
傳回物件的 torrent 檔案時需要。 |
|
|
(必要) |
從物件擷取中繼資料而不傳回物件本身時需要。 |
|
|
(條件式必要) |
如果您想要取得物件的目前物件鎖定法務保存狀態,則為必要項。 |
|
|
(條件式必要) |
如果您想要擷取物件的物件鎖定保留設定,則為必要項。 |
|
|
(必要) |
列出儲存貯體中正在進行的分段上傳時需要。 |
|
|
(必要) |
列出特定分段上傳已上傳的組件時需要。 |
|
|
(條件式必要) |
如果您想要列出 AWS KMS 客戶受管金鑰加密分段上傳的部分,則為必要。 |
|
|
(必要) |
放置物件時需要。 |
|
|
(條件式必要) |
如果您想要在提出 |
|
|
(條件式必要) |
如果您想要在提出 |
|
|
(條件式必要) |
如果您想要使用 AWS KMS 客戶受管金鑰加密物件,則為必要項目。 |
|
|
(條件式必要) |
如果您想要在物件上設定物件鎖定保留組態,則為必要項。 |
|
|
(條件式必要) |
如果您想要將物件鎖定法務保存組態套用至指定的物件,則為必要項。 |
|
|
(必要) |
|
|
|
(必要) |
將物件鎖定法務保存組態套用至物件時需要。 |
|
|
(必要) |
將物件鎖定保留組態套用至物件時需要。 |
|
|
(條件式必要) |
如果您想要略過物件鎖定保留組態的控管模式,則為必要項。 |
|
|
(必要) |
|
|
|
(必要) |
還原已封存的物件複本時需要。 |
|
|
(必要) |
根據簡單的結構化查詢語言 (SQL) 陳述式篩選 S3 物件的內容時需要。 |
|
|
(條件式必要) |
如果您想要篩選使用 AWS KMS 客戶受管金鑰加密的 S3 物件內容,則為必要。 |
|
|
(必要) |
在分段上傳中上傳組件時需要。 |
|
|
(條件式必要) |
如果您想要放置上傳組件並使用 AWS KMS 客戶受管金鑰進行加密,則為必要項目。 |
|
|
對於來源物件: |
對於來源物件: |
|
|
(必要) |
|
|
|
(條件式必要) |
如果您想要從來源儲存貯體複製 AWS KMS 客戶受管金鑰加密物件,則為必要項目。 |
|
|
對於目的地組件: |
對於目的地組件: |
|
|
(必要) |
將分段上傳組件上傳至目的地儲存貯體時需要。 |
|
|
(條件式必要) |
當您將組件上傳至目的地儲存貯體時,如果您想要使用 AWS KMS 客戶受管金鑰加密組件,則為必要項目。 |
一般用途儲存貯體操作和許可的存取點
存取點操作是在 accesspoint 資源類型上執行的 S3 API 操作。您必須在 IAM 身分型政策中 (而不是在儲存貯體政策或存取點政策中) 指定存取點操作的 S3 政策動作。
在政策中,Resource 元素必須是 accesspoint ARN。如需 Resource 元素格式和範例政策的詳細資訊,請參閱一般用途儲存貯體操作的存取點。
注意
如果您想要使用存取點來控制對儲存貯體或物件操作的存取,請注意下列事項:
-
如需使用存取點控制對儲存貯體操作的存取,請參閱一般用途儲存貯體存取點政策中的儲存貯體操作。
-
如需使用存取點控制物件操作的存取,請參閱存取點政策中的物件操作。
如需如何設定存取點政策的詳細資訊,請參閱設定將存取點用於一般用途儲存貯體的 IAM 政策。
以下是存取點操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
建立與 S3 儲存貯體相關聯的存取點時需要。 |
|
|
(必要) |
刪除存取點時需要。 |
|
|
(必要) |
刪除存取點政策時需要。 |
|
|
(必要) |
擷取存取點政策時需要。 |
|
|
(必要) |
擷取資訊以了解指定的存取點目前是否有允許公開存取的政策時需要。 |
|
|
(必要) |
放置存取點政策時需要。 |
Object Lambda 存取點操作和許可
Object Lambda 存取點操作是在 objectlambdaaccesspoint 資源類型上執行的 S3 API 操作。如需如何為 Object Lambda 存取點操作設定政策的詳細資訊,請參閱設定 Object Lambda 存取點的 IAM 政策。
以下是 Object Lambda 存取點操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
建立 Object Lambda 存取點時需要。 |
|
|
(必要) |
刪除指定的 Object Lambda 存取點時需要。 |
|
|
(必要) |
刪除指定 Object Lambda 存取點上的政策時需要。 |
|
|
(必要) |
擷取 Object Lambda 存取點的組態時需要。 |
|
|
(必要) |
擷取 Object Lambda 存取點的相關資訊時需要。 |
|
|
(必要) |
傳回與指定 Object Lambda 存取點相關聯的存取點政策時需要。 |
|
|
(必要) |
傳回特定 Object Lambda 存取點政策的政策狀態時需要。 |
|
|
(必要) |
設定 Object Lambda 存取點的組態時需要。 |
|
|
(必要) |
將存取政策與指定的 Object Lambda 存取點建立關聯時需要。 |
多區域存取點操作和許可
多區域存取點操作是在 multiregionaccesspoint 資源類型上執行的 S3 API 操作。如需如何為多區域存取點操作設定政策的詳細資訊,請參閱多區域存取點政策範例。
以下是多區域存取點操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
建立多區域存取點並將其與 S3 儲存貯體建立關聯時需要。 |
|
|
(必要) |
刪除多區域存取點時需要。 |
|
|
(必要) |
擷取非同步請求的狀態以管理多區域存取點時需要。 |
|
|
(必要) |
傳回指定多區域存取點的相關組態資訊時需要。 |
|
|
(必要) |
傳回指定多區域存取點的存取控制政策時需要。 |
|
|
(必要) |
傳回特定多區域存取點的政策狀態,以指出指定的多區域存取點是否具有允許公開存取的存取控制政策時需要。 |
|
|
(必要) |
傳回多區域存取點的路由組態時需要。 |
|
|
(必要) |
更新指定多區域存取點的存取控制政策時需要。 |
|
|
(必要) |
提交多區域存取點的更新路由組態時需要。 |
批次作業操作和許可
(批次操作) 作業操作是在 job 資源類型上執行的 S3 API 操作。您必須在 IAM 身分型政策中 (而不是在儲存貯體政策中) 指定作業操作的 S3 政策動作。
在政策中,Resource 元素必須是 job ARN。如需 Resource 元素格式和範例政策的詳細資訊,請參閱批次作業操作。
以下是批次作業操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
移除現有 S3 Batch Operations 作業的標籤時需要。 |
|
|
(必要) |
擷取 Batch Operations 作業的組態參數和狀態時需要。 |
|
|
(必要) |
傳回現有 S3 Batch Operations 作業的標籤組時需要。 |
|
|
(必要) |
在現有的 S3 Batch Operations 作業上放置或取代標籤時需要。 |
|
|
(必要) |
更新現有作業的優先順序時需要。 |
|
|
(必要) |
更新指定作業的狀態時需要。 |
S3 Storage Lens 組態操作和許可
S3 Storage Lens 組態操作是在 storagelensconfiguration 資源類型上執行的 S3 API 操作。如需如何設定 S3 Storage Lens 組態操作的詳細資訊,請參閱設定 Amazon S3 Storage Lens 許可。
以下是 S3 Storage Lens 組態操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
刪除 S3 Storage Lens 組態時需要。 |
|
|
(必要) |
刪除 S3 Storage Lens 組態標籤時需要。 |
|
|
(必要) |
取得 S3 Storage Lens 組態時需要。 |
|
|
(必要) |
取得 S3 Storage Lens 組態的標籤時需要。 |
|
|
(必要) |
在現有的 S3 Storage Lens 組態上放置或取代標籤時需要。 |
S3 Storage Lens 群組操作和許可
S3 Storage Lens 群組操作是在 storagelensgroup 資源類型上執行的 S3 API 操作。如需如何設定 S3 Storage Lens 群組的詳細資訊,請參閱Storage Lens 群組許可。
以下是 S3 Storage Lens 群組操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
刪除現有的 S3 Storage Lens 群組時需要。 |
|
|
(必要) |
擷取 S3 Storage Lens 群組組態詳細資訊時需要。 |
|
|
(必要) |
更新現有的 S3 Storage Lens 群組時需要。 |
|
(必要) |
建立新 Storage Lens 群組時需要。 |
|
(必要) |
建立具有標籤的新 Storage Lens 群組時需要。 |
|
(必要) |
列出您主要區域中的所有 Storage Lens 群組時必填。 |
|
(必要) |
列出新增至 Storage Lens 群組的標籤時需要。 |
|
(必要) |
新增或更新現有 Storage Lens 群組的 Storage Lens 群組標籤時需要。 |
|
(必要) |
從 Storage Lens 群組刪除標籤時需要。 |
S3 Access Grants 執行個體操作和許可
S3 Access Grants 執行個體操作是在accessgrantsinstance資源類型上執行的 S3 API 操作。S3 Access Grants 執行個體是存取授權的邏輯容器。如需使用 S3 Access Grants 執行個體的詳細資訊,請參閱 使用 S3 存取授權執行個體。
以下是 S3 Access Grants 執行個體組態操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
將 AWS IAM Identity Center 執行個體與 S3 Access Grants 執行個體建立關聯時需要,因此可讓您為公司身分目錄中的使用者和群組建立存取授權。您還必須擁有下列許可:
|
|
|
(必要) |
需要建立 S3 Access Grants 執行個體 ( 若要將 AWS IAM Identity Center 執行個體與您的 S3 Access Grants 執行個體建立關聯,您還必須擁有 |
|
|
(必要) |
從您帳戶中 AWS 區域 的 刪除 S3 Access Grants 執行個體 ( |
|
|
(必要) |
刪除 S3 Access Grants 執行個體的資源政策時需要。 |
|
|
(必要) |
取消 AWS IAM Identity Center 執行個體與 S3 Access Grants 執行個體的關聯時需要。您還必須擁有下列許可:
|
|
|
(必要) |
擷取 AWS 區域 您帳戶中 的 S3 Access Grants 執行個體時需要。 |
|
|
(必要) |
擷取包含特定字首的 S3 Access Grants 執行個體時需要。 |
|
|
(必要) |
需要傳回 S3 Access Grants 執行個體的資源政策。 |
|
|
(必要) |
傳回您帳戶中 S3 Access Grants 執行個體的清單時需要。 |
|
|
(必要) |
更新 S3 Access Grants 執行個體的資源政策時需要。 |
S3 Access Grants 位置操作和許可
S3 Access Grants 位置操作是對accessgrantslocation資源類型操作的 S3 API 操作。如需使用 S3 Access Grants 位置的詳細資訊,請參閱 使用 S3 存取授權位置。
以下是 S3 Access Grants 位置組態操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
在 S3 Access Grants 執行個體中註冊位置 (建立
|
|
|
(必要) |
從 S3 Access Grants 執行個體中移除註冊位置時需要。 |
|
|
(必要) |
擷取在 S3 Access Grants 執行個體中註冊的特定位置詳細資訊時需要。 |
|
|
(必要) |
傳回在 S3 Access Grants 執行個體中註冊的位置清單時需要。 |
|
|
(必要) |
更新 S3 Access Grants 執行個體中已註冊位置的 IAM 角色時需要。 |
S3 Access Grants 授予操作和許可
S3 Access Grants 授予操作是在accessgrant資源類型上執行的 S3 API 操作。如需使用 S3 Access Grants 處理個別授權的詳細資訊,請參閱 在 S3 存取授權中使用授權。
以下是 S3 Access Grants 授予組態操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
為 S3 Access Grants 執行個體中的使用者或群組建立個別授權 ( 對於任何目錄身分 — 對於目錄使用者 — |
|
|
(必要) |
從 S3 Access Grants 執行個體中刪除個別存取授權 ( |
|
|
(必要) |
取得 S3 Access Grants 執行個體中個別存取授權的詳細資訊時需要。 |
|
|
(必要) |
傳回 S3 Access Grants 執行個體中個別存取授權的清單時需要。 |
|
|
(必要) |
列出透過 Amazon S3 S3 資料的存取授權時需要。 |
帳戶操作和許可
帳戶操作是在帳戶層級執行的 S3 API 操作。帳戶不是 Amazon S3 定義的資源類型。您必須在 IAM 身分型政策中 (而不是在儲存貯體政策中) 指定帳戶操作的 S3 政策動作。
在政策中,Resource 元素必須是 "*"。如需範例政策的詳細資訊,請參閱帳戶操作。
以下是帳戶操作和必要政策動作的映射。
| API 操作 | 政策動作 | 政策動作的描述 |
|---|---|---|
|
(必要) |
建立新的 S3 Batch Operations 作業時需要。 |
|
|
(必要) |
建立新 S3 Storage Lens 群組並將其與指定的 AWS 帳戶 ID 建立關聯時需要。 |
|
|
(條件式必要) |
如果您想要使用 AWS 資源標籤建立 S3 Storage Lens 群組,則為必要項目。 |
|
|
DeletePublicAccessBlock (帳戶層級) |
(必要) |
從 AWS 帳戶中移除封鎖公開存取組態時需要。 |
|
(必要) |
擷取指定存取點的相關組態資訊時需要。 |
|
|
GetAccessPointPolicy (帳戶層級) |
(必要) |
擷取 AWS 帳戶的封鎖公開存取組態時需要。 |
|
(必要) |
列出 AWS 帳戶擁有的 S3 儲存貯體存取點時需要。 |
|
|
(必要) |
列出 Object Lambda 存取點時需要。 |
|
|
(必要) |
傳回已驗證的請求發送者擁有的所有儲存貯體清單時需要。 |
|
|
(必要) |
列出目前作業和最近結束的作業時需要。 |
|
|
(必要) |
傳回目前與指定 AWS 帳戶相關聯的多區域存取點清單時需要。 |
|
|
(必要) |
取得 的 S3 Storage Lens 組態清單時需要 AWS 帳戶。 |
|
|
(必要) |
列出指定主要 AWS 區域中的所有 S3 Storage Lens 群組時需要。 |
|
|
PutPublicAccessBlock (帳戶層級) |
(必要) |
建立或修改 AWS 帳戶的封鎖公開存取組態時需要。 |
|
(必要) |
放置 S3 Storage Lens 組態時需要。 |
