Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 - Amazon Simple Storage Service

Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3

Amazon S3 (Servicepräfix: s3) stellt die folgenden servicespezifischen Ressourcen, Aktionen und Bedingungskontextschlüssel für die Verwendung in IAM-Berechtigungsrichtlinien bereit.

Referenzen:

Anmerkung

Dieser Abschnitt wird zurzeit aktualisiert. Die vollständigen Tabellen finden Sie später in diesem Monat.

Von Amazon S3 definierte Aktionen

Sie können die folgenden Aktionen im Element Action einer IAM-Richtlinienanweisung angeben. Verwenden Sie Richtlinien, um Berechtigungen zum Ausführen einer Operation in AWS zu erteilen. Wenn Sie eine Aktion in einer Richtlinie verwenden, erlauben oder verweigern Sie in der Regel den Zugriff auf die API-Operation oder den CLI-Befehl mit demselben Namen. Dabei kann es mitunter vorkommen, dass eine einzige Aktion den Zugriff auf mehr als eine Operation steuert. Alternativ erfordern einige Operationen mehrere verschiedene Aktionen.

Die Spalte Ressourcentypen gibt an, ob die Aktion Berechtigungen auf Ressourcenebene unterstützt. Wenn es keinen Wert für diese Spalte gibt, müssen Sie alle Ressourcen ("*") im Element Resource Ihrer Richtlinienanweisung angeben. Wenn die Spalte einen Ressourcentyp enthält, können Sie einen ARN dieses Typs in einer Anweisung mit dieser Aktion angeben. Erforderliche Ressourcen sind in der Tabelle mit einem Sternchen (*) gekennzeichnet. Wenn Sie einen Berechtigungs-ARN auf Ressourcenebene in einer Anweisung mit dieser Aktion angeben, muss er von diesem Typ sein. Einige Aktionen unterstützen mehrere Ressourcentypen. Wenn der Ressourcentyp optional ist (nicht als erforderlich angegeben), können Sie sich für einen Typ entscheiden.

Aktionen Beschreibung Zugriffsebene Ressourcentypen (*erforderlich) Bedingungsschlüssel Abhängige Aktionen
AbortMultipartUpload Bricht einen mehrteiligen Upload ab Schreiben

object*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

BypassGovernanceRetention Gewährt die Umgehung der Einstellungen für die Aufbewahrung von Objekten im Governance-Modus Verwaltung von Berechtigungen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

CreateAccessPoint Erstellt einen neuen Zugriffspunkt. Schreiben

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:locationconstraint

s3:signatureage

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

CreateBucket Erstellt einen Bucket Schreiben

bucket*

s3:authtype

s3:locationconstraint

s3:signatureage

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

CreateJob Erstellt einen neuen S3 Stapeloperationen-Auftrag. Schreiben

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:RequestJobOperation

DeleteAccessPoint Löscht den in der URI genannten Zugriffspunkt Schreiben

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

DeleteAccessPointPolicy Löschen der Richtlinie auf einem bestimmten Zugriffspunkt Verwaltung von Berechtigungen

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucket Löscht den in der URI benannten Bucket Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucketPolicy Richtlinie aus dem angegebenen Bucket löschen Verwaltung von Berechtigungen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucketWebsite Löscht die Website-Konfiguration eines Buckets Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

DeleteObject Entfernt die Null-Version (falls vorhanden) eines Objekts und fügt eine Löschmarkierung ein, die zur aktuellen Version des Objekts wird Schreiben

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

DeleteObjectTagging Diese Implementierung der DELETE-Operation verwendet die Subressource "tagging", um den kompletten Tag-Satz aus dem angegebenen Objekt zu entfernen. Markieren

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

DeleteObjectVersion Zum Entfernen einer bestimmte Version eines Objekts müssen Sie der Bucket-Eigentümer sein und die Subressource versionId verwenden. Schreiben

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

DeleteObjectVersionTagging DELETE Object tagging (for a Specific Version of the Object) Markieren

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authtype

s3:signatureage

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

DescribeJob Ruft die Konfigurationsparameter und den Status eines S3 Stapeloperationen-Auftrags ab. Lesen

job*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetAccelerateConfiguration Diese Implementierung der GET-Operation verwendet die accelerate-Subressource, um den "Transfer Acceleration"-Status eines Buckets – "Enabled" oder "Suspended" – zurückzugeben. Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPoint Abrufen der Metadaten des Zugriffspunkts Lesen

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPointPolicy Geben Sie die Richtlinie eines bestimmten Zugriffspunkts zurück. Lesen

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPointPolicyStatus Abrufen des Richtlinienstatus für die Richtlinie eines bestimmten Zugriffspunkts Lesen

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetAccountPublicAccessBlock Ruft die PublicAccessBlock-Konfiguration für ein AWS-Konto ab Lesen

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetAnalyticsConfiguration Diese Implementierung der GET-Operation gibt eine analytics-Konfiguration (identifiziert durch die analytics-Konfigurations-ID) aus dem Bucket zurück. Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketAcl Zugriffskontrollliste (ACL) eines Buckets zurückgeben Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketCORS Gibt den cors-Konfigurationsinformationssatz für den Bucket zurück Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketLocation Gibt die Region eines Buckets zurück Lesen

bucket*

GetBucketLogging Protokollierungsstatus eines Buckets und die Berechtigungen zurückgeben, die Benutzer benötigen, um den Status anzuzeigen und zu ändern Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketNotification Benachrichtigungskonfiguration eines Buckets zurückgeben Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketObjectLockConfiguration GET Objektsperre-Konfiguration für einen bestimmten Bucket Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

GetBucketPolicy Richtlinie aus dem angegebenen Bucket zurückgeben Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketPolicyStatus Ruft den Richtlinienstatus für einen bestimmten S3-Bucket ab, der angibt, ob der Bucket öffentlich ist Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketPublicAccessBlock Ruft die PublicAccessBlock-Konfiguration für einen bestimmten S3-Bucket ab Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketRequestPayment Zahlungsanforderungskonfiguration eines Buckets zurückgeben Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketTagging Den dem Bucket zugeordneten Tag-Satz zurückgeben Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketVersioning Versioning-Status eines Buckets zurückgeben Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetBucketWebsite Gibt die einem Bucket zugeordnete Website-Konfiguration zurück Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetEncryptionConfiguration Gibt die für den Bucket festgelegten Verschlüsselungskonfigurationsinformationen zurück Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetInventoryConfiguration Diese Implementierung der GET-Operation gibt eine Bestandskonfiguration (identifiziert durch die Bestandskonfigurations-ID) aus dem Bucket zurück. Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetLifecycleConfiguration Gibt die für den Bucket festgelegten Lebenszyklus-Konfigurationsinformationen zurück Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetMetricsConfiguration Ruft eine Kennzahlenkonfiguration für die CloudWatch-Anforderungskennzahlen (angegeben durch die Kennzahlenkonfigurations-ID) aus dem Bucket ab. Beachten Sie, dass dies nicht die täglichen Speicherkennzahlen umfasst. Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetObject Ruft Objekte aus Amazon S3 ab. Lesen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetObjectAcl Zugriffskontrollliste (ACL) eines Objekts zurückgeben Lesen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetObjectLegalHold GET Object Legal Hold für ein bestimmtes Objekt Lesen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetObjectRetention GET Object Legal Hold für ein bestimmtes Objekt Lesen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetObjectTagging Diese Implementierung der GET-Operation gibt die Tags zurück, die einem Objekt zugeordnet sind. Sie senden die GET-Anforderung für die dem Objekt zugeordnete Subressource "tagging". Lesen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetObjectTorrent Torrent-Dateien aus einem Bucket zurückgeben Lesen

object*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetObjectVersion Verwenden Sie die Subressource versionId, um eine andere Version zurückzugeben. Lesen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authtype

s3:signatureage

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionAcl Verwenden Sie die Subressource versionId, um die ACL-Informationen zu einer anderen Version zurückzugeben. Lesen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authtype

s3:signatureage

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionForReplication Berechtigung durch S3-Replikation wahrgenommen Lesen

object*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

GetObjectVersionTagging GET Object tagging (for a Specific Version of the Object) Lesen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authtype

s3:signatureage

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionTorrent Verwenden Sie die Subressource versionId, um die Torrent-Dateien zu einer anderen Version zurückzugeben. Lesen

object*

s3:authtype

s3:signatureage

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetReplicationConfiguration Gibt die für den Bucket festgelegten Replikationskonfigurationsinformationen zurück. Lesen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

ListAccessPoints Listet Zugriffspunkte auf. Lesen

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

ListAllMyBuckets Gibt eine Liste aller Buckets zurück, deren Eigentümer der authentifizierte Absender der Anforderung ist Liste

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

ListBucket Gibt einige oder alle (bis zu 1 000) der Objekte in einem Bucket zurück Liste

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:delimiter

s3:max-keys

s3:prefix

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

ListBucketMultipartUploads Listet alle laufenden mehrteiligen Uploads auf. Lesen

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

ListBucketVersions Verwenden Sie die Subressource "versions", um Metadaten zu allen Versionen der Objekte in einem Bucket aufzulisten. Lesen

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:delimiter

s3:max-keys

s3:prefix

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

ListJobs Listet alle aktuellen Aufträge sowie Aufträge auf, die kürzlich beendet wurden Lesen

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

ListMultipartUploadParts Listet die im Rahmen eines bestimmten mehrteiligen Uploads bereits hochgeladenen Teile auf. Lesen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

ObjectOwnerOverrideToBucketOwner Berechtigung durch S3-Replikation wahrgenommen Verwaltung von Berechtigungen

object*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutAccelerateConfiguration Diese Implementierung der PUT-Operation verwendet die Subressource "accelerate", um den "Transfer Acceleration"-Status eines Buckets zurückzugeben. Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutAccessPointPolicy Hinzufügen oder Ersetzen einer Datenrichtlinie auf einem Zugriffspunkt. Verwaltung von Berechtigungen

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutAccountPublicAccessBlock Erstellen oder Ändern der PublicAccessBlock-Konfiguration für ein AWS-Konto Verwaltung von Berechtigungen

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutAnalyticsConfiguration Diese Implementierung der PUT-Operation fügt eine Analysekonfiguration (identifiziert durch die Analyse-Konfigurations-ID) in den Bucket ein. Sie können maximal 1 000 Analysekonfigurationen pro Bucket verwenden. Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutBucketAcl Berechtigungen für einen Bucket mit Zugriffskontrolllisten (Access Control Lists, ACLs) festlegen Verwaltung von Berechtigungen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

PutBucketCORS Legt die CORS-Konfiguration für den Bucket fest Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutBucketLogging Protokollierungsparameter für einen Bucket festlegen Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutBucketNotification Ermöglicht das Empfangen von Benachrichtigungen zu bestimmten Ereignissen im Bucket Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutBucketObjectLockConfiguration PUT Objektsperre-Konfiguration für einen bestimmten Bucket Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

PutBucketPolicy Richtlinie einem Bucket hinzufügen oder in einem Bucket austauschen Verwaltung von Berechtigungen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutBucketPublicAccessBlock Erstellen oder Ändern der PublicAccessBlock-Konfiguration für einen bestimmten S3-Bucket Verwaltung von Berechtigungen

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutBucketRequestPayment Zahlungsanforderungskonfiguration eines Buckets festlegen Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutBucketTagging Einem Bucket einen Satz Tags hinzufügen Markieren

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutBucketVersioning Legt den Versioning-Status eines Buckets fest Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutBucketWebsite Legt die Konfiguration der Website fest, die in der Subressource "website" angegeben ist Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutEncryptionConfiguration Legt die Verschlüsselungskonfiguration für den Bucket fest Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutInventoryConfiguration Diese Implementierung der PUT-Operation fügt eine Bestandskonfiguration (identifiziert durch die Bestands-ID) in den Bucket ein. Sie können maximal 1 000 Bestandskonfigurationen pro Bucket verwenden. Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutLifecycleConfiguration Erstellt eine Lebenszykluskonfiguration für den Bucket oder ersetzt eine vorhandene Lebenszykluskonfiguration Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutMetricsConfiguration Legt eine Kennzahlenkonfiguration für die CloudWatch-Anforderungskennzahlen (angegeben durch die Kennzahlenkonfigurations-ID) im Bucket fest oder aktualisiert sie Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutObject Fügt ein Objekt in einen Bucket ein Schreiben

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

PutObjectAcl Zugriffskontrolllisten (ACL)-Berechtigungen für ein bereits in einem Bucket vorhandenes Objekt festlegen Verwaltung von Berechtigungen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectLegalHold PUT Object Legal Hold für ein bestimmtes Objekt Schreiben

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

s3:object-lock-legal-hold

PutObjectRetention PUT Object Retention für ein bestimmtes Objekt Schreiben

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

PutObjectTagging Diese Implementierung der PUT-Operation verwendet die Subressource "tagging", um einem Objekt einen Satz Tags hinzuzufügen. Markieren

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

PutObjectVersionAcl Die ACL eines Objekts wird auf Ebene der Objektversion festgelegt. Verwaltung von Berechtigungen

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authtype

s3:signatureage

s3:signatureversion

s3:versionid

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectVersionTagging PUT Object tagging (for a Specific Version of the Object) Markieren

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authtype

s3:signatureage

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

PutReplicationConfiguration In einem "versioning"-fähigen Bucket erstellt diese Operation eine Replikationskonfiguration (oder ersetzt eine ggf. vorhandene Konfiguration). Schreiben

bucket*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

ReplicateDelete Berechtigung durch S3-Replikation wahrgenommen Schreiben

object*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

ReplicateObject Berechtigung durch S3-Replikation wahrgenommen Schreiben

object*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

ReplicateTags Berechtigung durch S3-Replikation wahrgenommen Markieren

object*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

RestoreObject Stellt eine temporäre Kopie eines archivierten Objekts wieder her Schreiben

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

UpdateJobPriority Aktualisiert die Priorität eines vorhandenen Auftrags Schreiben

job*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:ExistingJobPriority

s3:ExistingJobOperation

UpdateJobStatus Aktualisiert den Status für den angegebenen Auftrag Schreiben

job*

s3:authtype

s3:signatureage

s3:signatureversion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

s3:JobSuspendedCause

Von Amazon S3 definierte Ressourcentypen

Die folgenden Ressourcentypen werden von diesem Service definiert und können im Element Resource von IAM-Berechtigungsrichtlinienanweisungen verwendet werden. Jede Aktion in der Tabelle "Actions" (Aktionen) identifiziert die Ressourcentypen, die mit der Aktion angegeben werden können. Ein Ressourcentyp kann auch definieren, welche Bedingungsschlüssel Sie in einer Richtlinie einschließen können. Diese Schlüssel werden in der letzten Spalte der Tabelle angezeigt.

Ressourcentypen ARN Bedingungsschlüssel
accesspoint arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
bucket arn:${Partition}:s3:::${BucketName}
object arn:${Partition}:s3:::${BucketName}/${ObjectName}
job arn:${Partition}:s3:${Region}:${Account}:job/${JobId}

Bedingungsschlüssel für Amazon S3

Amazon S3 definiert die folgenden Bedingungsschlüssel, die im Element Condition einer IAM-Richtlinie verwendet werden können. Diese Schlüssel können Sie verwenden, um die Bedingungen zu verfeinern, unter denen die Richtlinienanweisung angewendet wird.

Eine Liste der globalen Bedingungsschlüssel, die für alle Services verfügbar sind, finden Sie unter Verfügbare globale Bedingungsschlüssel in der IAM-Richtlinienreferenz.

Bedingungsschlüssel Beschreibung Typ
s3:AccessPointNetworkOrigin Der Netztyp, aus dem der an der Anforderung beteiligte Zugriffspunkt Datenverkehr empfangen kann Zeichenfolge
s3:DataAccessPointAccount Die AWS Konto-ID des Kontos, das den an der Anforderung beteiligten Zugriffspunkt für Datenoperationen besitzt Zeichenfolge
s3:DataAccessPointArn Der ARN der an der Anforderung beteiligten Zugriffspunkts Zeichenfolge
s3:ExistingJobOperation Filtert den Zugriff auf die Aktualisierung der Aufgabenpriorität nach Operation. Zeichenfolge
s3:ExistingJobPriority Filtert den Zugriff auf das Abbrechen vorhandener Aufgaben nach Prioritätsbereich. Numerischer Wert
s3:ExistingObjectTag/<key> Ermöglicht das Prüfen, ob ein Objekt-Tag den spezifischen Tag-Schlüssel und -Wert enthält Zeichenfolge
s3:JobSuspendedCause Filtert den Zugriff auf das Abbrechen angehaltener Aufgaben nach einem bestimmten Grund für das Anhalten von Aufgaben(z. B. AWAITING_CONFIRMATION). Zeichenfolge
s3:LocationConstraint Ermöglicht das Beschränken des Erstellens von Buckets durch Benutzer auf eine bestimmte Region Zeichenfolge
s3:RequestJobOperation Filtert den Zugriff auf die Aktualisierung der Aufgabenpriorität nach Operation. Zeichenfolge
s3:RequestJobPriority Filtert den Zugriff auf das Erstellen neuer Aufgaben nach Prioritätsbereich. Numerischer Wert
s3:RequestObjectTag/<key> Schränkt die Tag-Schlüssel und -Werte ein, die Sie für Objekte zulassen möchten. Zeichenfolge
s3:RequestObjectTagKeys Schränkt die Tag-Schlüssel ein, die Sie für Objekte zulassen möchten. Zeichenfolge
s3:VersionId Ermöglicht das Beschränken der Berechtigung für die Aktion s3:PutObjectVersionTagging auf eine bestimmte Objektversion. Zeichenfolge
s3:authtype Schränkt eingehende Anforderungen auf eine bestimmte Authentifizierungsmethode ein. Zeichenfolge
s3:delimiter Ermöglicht das Festlegen der Anforderung, dass der Benutzer den Trennzeichenparameter in der "GET Bucket Object versions"-Anforderung angeben muss. Zeichenfolge
s3:locationconstraint Ermöglicht das Beschränken des Benutzers auf das Erstellen eines Buckets in nur einer bestimmten Region Zeichenfolge
s3:max-keys Ermöglicht das Beschränken der Anzahl der von Amazon S3 zurückgegebenen Schlüssel in Antworten auf ListBucket-Anforderungen, indem der Benutzer gezwungen wird, den Parameter max-keys anzugeben. Numerischer Wert
s3:object-lock-legal-hold Aktiviert die Erzwingung der gesetzlichen Sperrfrist des angegebenen Objekts Zeichenfolge
s3:object-lock-mode Aktiviert die Erzwingung des Aufbewahrungsmodus des angegebenen Objekts Zeichenfolge
s3:object-lock-remaining-retention-days Aktiviert die Erzwingung eines Objekts relativ zu den verbleibenden Aufbewahrungstagen Zeichenfolge
s3:object-lock-retain-until-date Aktiviert die Erzwingung einer bestimmten Aufbewahrungsfrist Zeichenfolge
s3:prefix Ermöglicht das Beschränken der Antwort auf die API-Funktion ListBucket auf Schlüsselnamen mit einem bestimmten Präfix Zeichenfolge
s3:signatureage Gibt die Länge der Zeit in Millisekunden an, die eine Signatur in einer authentifizierten Anforderung gültig ist. Numerischer Wert
s3:signatureversion Gibt die Version von AWS Signature an, die für authentifizierte Anforderungen unterstützt wird. Zeichenfolge
s3:versionid Filtert den Zugriff nach einer bestimmten Objektversion. Zeichenfolge
s3:x-amz-acl Ermöglicht das Voraussetzen bestimmter Zugriffsberechtigungen, wenn ein Objekt hochgeladen wird Zeichenfolge
s3:x-amz-content-sha256 Lässt für Ihren Bucket keine nicht signierten Inhalte zu. Zeichenfolge
s3:x-amz-copy-source Ermöglicht das Beschränken der Kopierquelle auf einen bestimmten Bucket, einen bestimmten Ordner im Bucket oder ein bestimmtes Objekt in einem Bucket Zeichenfolge
s3:x-amz-grant-full-control Erfordert den Header „x-amz-grant-full-control“ (vollständige Kontrolle) in einer Anforderung. Zeichenfolge
s3:x-amz-grant-read Erfordert den Header „x-amz-grant-read“ (Lesezugriff) in einer Anforderung. Zeichenfolge
s3:x-amz-grant-read-acp Erfordert den Header „x-amz-grant-read-acp“ (Leseberechtigungen für die ACL) in einer Anforderung. Zeichenfolge
s3:x-amz-grant-write Erfordert den Header „x-amz-grant-write“ (Schreibzugriff) in einer Anforderung. Zeichenfolge
s3:x-amz-grant-write-acp Erfordert den Header „x-amz-grant-write-acp“ (Schreibberechtigungen für die ACL) in einer Anforderung. Zeichenfolge
s3:x-amz-metadata-directive Ermöglicht das Erzwingen bestimmter Verhaltensweisen (KOPIEREN vs. ERSETZEN), wenn Objekte hochgeladen werden Zeichenfolge
s3:x-amz-server-side-encryption Ermöglicht es, vom Benutzer das Angeben dieses Headers zu fordern, um sicherzustellen, dass vom Benutzer hochgeladene Objekte beim Speichern verschlüsselt werden Zeichenfolge
s3:x-amz-server-side-encryption-aws-kms-key-id Erfordert einen bestimmten AWS KMS-kundenverwalteten CMK für serverseitige Verschlüsselung. Zeichenfolge
s3:x-amz-storage-class Filtert den Zugriff nach Speicherklasse. Zeichenfolge
s3:x-amz-website-redirect-location Filtert den Zugriff nach einem bestimmten Website-Umleitungsort. Zeichenfolge