Acciones, recursos y claves de condición para Amazon S3 - Amazon Simple Storage Service
ActionsTipos de recursoClaves de condición

Acciones, recursos y claves de condición para Amazon S3

Amazon S3 (prefijo de servicio: s3) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas del servicio para su uso en las políticas de permisos de IAM.

nota

Puede usar las acciones que se enumeran a continuación en las políticas de IAM y las políticas de bucket de Amazon S3 para otorgar permisos para operaciones específicas de la API de Amazon S3. La mayoría de las acciones tienen el mismo nombre que las operaciones de API con las que están asociadas. Sin embargo, en algunos casos, los nombres de operación de la API y de las acciones son diferentes. Además, una única acción puede controlar el acceso a más de una operación, y algunas operaciones requieren varias acciones diferentes.

Referencias:

Acciones definidas por Amazon S3

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AbortMultipartUpload Concede permiso para anular una carga multiparte Write

object*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

BypassGovernanceRetention Concede permiso para permitir configurar la retención de objetos en modo de gobierno Permissions management

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-server-side-encryption-customer-algorithm

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

CreateAccessPoint Concede permiso para crear una aplicación nueva Write

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:locationconstraint

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

CreateAccessPointForObjectLambda Otorga permiso para crear un punto de acceso habilitado por el objeto lambda Write

objectlambdaaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

CreateBucket Concede permiso para crear un nuevo bucket Write

bucket*

s3:authType

s3:locationconstraint

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-object-ownership

CreateJob Concede permiso para crear un nuevo trabajo de operaciones por lotes de Amazon S3 Escritura

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:RequestJobOperation

aws:TagKeys

aws:RequestTag/${TagKey}

iam:PassRole

CreateMultiRegionAccessPoint Concede permiso para crear un nuevo punto de acceso de múltiples regiones Escritura

multiregionaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureversion

s3:signatureAge

s3:TlsVersion

DeleteAccessPoint Concede permiso para eliminar el punto de acceso nombrado en el URI Write

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteAccessPointForObjectLambda Concede permiso para eliminar el punto de acceso habilitado por el objeto lambda nombrado en el URI Write

objectlambdaaccesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteAccessPointPolicy Concede permiso para eliminar la política en un punto de acceso especificado Permissions management

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteAccessPointPolicyForObjectLambda Concede permiso para eliminar la política en un punto de acceso específico habilitado por el objeto lambda Permissions management

objectlambdaaccesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteBucket Concede permiso para eliminar el bucket nombrado en el URI Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteBucketPolicy Concede permiso para eliminar la política en un bucket especificado Permissions management

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteBucketWebsite Concede permiso para quitar la configuración del sitio web de un bucket Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteJobTagging Concede permiso para eliminar etiquetas de un trabajo existente de Amazon S3 Batch Operations Etiquetado

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

DeleteMultiRegionAccessPoint Concede permiso para eliminar el punto de acceso de múltiples regiones nombrado en el URI Escritura

multiregionaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureversion

s3:signatureAge

s3:TlsVersion

DeleteObject Concede permiso para quitar la versión nula de un objeto e insertar un marcador de eliminación, que se convierte en la versión actual del objeto Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteObjectTagging Concede permiso para utilizar el subrecurso de etiquetado para quitar todo el conjunto de etiquetas del objeto especificado Etiquetado

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteObjectVersion Concede permiso para quitar una versión específica de un objeto Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

DeleteObjectVersionTagging Concede permiso para quitar todo el conjunto de etiquetas para una versión específica del objeto Etiquetado

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

DeleteStorageLensConfiguration Concede permiso para eliminar una configuración existente de Amazon S3 Storage Lens Write

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteStorageLensConfigurationTagging Concede permiso para eliminar etiquetas de un trabajo existente de Amazon S3 Storage Lens Etiquetado

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DescribeJob Concede permiso para recuperar los parámetros de configuración y el estado de un trabajo de operaciones por lotes Lectura

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DescribeMultiRegionAccessPointOperation Concede permiso para recuperar las configuraciones de un punto de acceso de múltiples regiones Lectura

multiregionaccesspointrequestarn*

s3:authType

s3:ResourceAccount

s3:signatureversion

s3:signatureAge

s3:TlsVersion

GetAccelerateConfiguration Concede permiso para utilizar el subrecurso de aceleración para volver al estado de aceleración de transferencia de un bucket, que puede estar habilitado o suspendido Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPoint Concede permiso para devolver información acerca de la configuración especificada Read

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointConfigurationForObjectLambda Concede permiso para recuperar la configuración del punto de acceso habilitado por el objeto lambda Read

objectlambdaaccesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointForObjectLambda Otorga permiso para crear un punto de acceso habilitado por el objeto lambda Read

objectlambdaaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointPolicy Concede permiso para devolver la política de acceso asociada al punto de acceso especificado Read

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointPolicyForObjectLambda Concede permiso para devolver la política del punto de acceso asociada al punto de acceso específico habilitado por el objeto lambda Read

objectlambdaaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointPolicyStatus Concede permiso para devolver el estado a una política de punto de acceso específica Read

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointPolicyStatusForObjectLambda Concede permiso para devolver el estado de una política para un punto de acceso específico del objeto lambda Read

objectlambdaaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccountPublicAccessBlock Concede permiso para recuperar la configuración de PublicAccessBlock de una Cuenta de AWS Read

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAnalyticsConfiguration Concede permiso para obtener una configuración de análisis de un bucket de Amazon S3, identificado por el ID de configuración de análisis Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketAcl Concede permiso para utilizar el subrecurso ACL para devolver la lista de control de acceso (ACL) de un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketCORS Concede permiso para devolver el conjunto de información de configuración CORS para un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketLocation Concede permiso para devolver la región en la que reside un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketLogging Concede permiso para devolver el estado de registro de un bucket de Amazon S3 y los permisos que tienen los usuarios para ver o modificar ese estado Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketNotification Concede permiso para obtener la configuración de notificaciones de un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketObjectLockConfiguration Concede permiso para obtener la configuración de bloqueo de objetos de un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:signatureversion

GetBucketOwnershipControls Concede permiso para recuperar los controles de propiedad de un bucket Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketPolicy Concede permiso para devolver la política del bucket especificado Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketPolicyStatus Concede permiso para recuperar el estado de la política de un bucket específico de Amazon S3, lo que indica si el bucket es público Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketPublicAccessBlock Concede permiso para recuperar la configuración de PublicAccessBlock para un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketRequestPayment Concede permiso para devolver la configuración de pago de solicitud para un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketTagging Concede permiso para devolver el conjunto de etiquetas asociado a un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketVersioning Concede permiso para devolver el estado de control de versiones de un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketWebsite Concede permiso para devolver la configuración del sitio web para un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetEncryptionConfiguration Concede permiso para devolver la configuración de cifrado predeterminada de un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetIntelligentTieringConfiguration Concede permiso para obtener una configuración de Amazon S3 Intelligent Tiering de un bucket de S3 o enumerarla de forma completa Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetInventoryConfiguration Concede permiso para devolver una configuración de inventario desde un bucket de Amazon S3, identificado por el ID de configuración de inventario Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetJobTagging Concede permiso para devolver el conjunto de etiquetas de un trabajo existente de Amazon S3 Batch Operations Read

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetLifecycleConfiguration Concede permiso para devolver la información de configuración del ciclo de vida establecida en un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetMetricsConfiguration Concede permiso para obtener una configuración de métricas de un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetMultiRegionAccessPoint Concede permiso para devolver información de la configuración sobre el punto de acceso de múltiples regiones especificado Lectura

multiregionaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureversion

s3:signatureAge

s3:TlsVersion

GetMultiRegionAccessPointPolicy Concede permiso para devolver la política de punto de acceso asociada al punto de acceso especificado de múltiples regiones Lectura

multiregionaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureversion

s3:signatureAge

s3:TlsVersion

GetMultiRegionAccessPointPolicyStatus Concede permiso para devolver el estado a una política para una política de punto de acceso específica de múltiples regiones Lectura

multiregionaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureversion

s3:signatureAge

s3:TlsVersion

GetObject Concede permiso para recuperar objetos de Amazon S3 Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectAcl Concede permiso para devolver la lista de control de acceso (ACL) de un objeto Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectAttributes Concede permisos para recuperar atributos relacionados con un objeto específico Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectLegalHold Concede permiso para obtener el estado actual de retención legal de un objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectRetention Concede permiso para recuperar la configuración de retención de un objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectTagging Concede permiso para devolver el conjunto de etiquetas de un objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectTorrent Concede permiso para devolver archivos torrent desde un bucket de Amazon S3 Read

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectVersion Concede permiso para recuperar una versión específica de un objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionAcl Concede permiso para devolver la lista de control de acceso (ACL) de una versión de objeto específica Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionAttributes Concede permiso para recuperar atributos relacionados con una versión específica de un objeto Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionForReplication Concede permiso para replicar objetos no cifrados y objetos cifrados con SSE-S3 o SSE-KMS Read

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectVersionTagging Concede permiso para devolver el conjunto de etiquetas para una versión específica del objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionTorrent Concede permiso para obtener archivos Torrent sobre una versión diferente utilizando el subrecurso versionId Read

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

GetReplicationConfiguration Concede permiso para obtener la información de configuración de replicación establecida en un bucket de Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetStorageLensConfiguration Concede permiso para obtener una configuración de Amazon S3 Storage Lens Read

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetStorageLensConfigurationTagging Concede permiso para obtener el conjunto de etiquetas de una configuración existente de Amazon S3 Storage Lens Read

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetStorageLensDashboard Concede permiso para obtener un panel de Amazon S3 Storage Lens Lectura

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

InitiateReplication Concede permiso para iniciar el proceso de replicación estableciendo el estado de replicación de un objeto como pendiente Escritura

object*

s3:ResourceAccount

ListAccessPoints Concede permiso para enumerar puntos de acceso List

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListAccessPointsForObjectLambda Concede permiso para enumerar los puntos de acceso habilitados por el objeto lambda List

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListAllMyBuckets Concede permiso para enumerar todos los buckets propiedad del remitente autenticado de la solicitud List

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListBucket Concede permiso para enumerar algunos o todos los objetos de un bucket de Amazon S3 (hasta 1000) List

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:delimiter

s3:max-keys

s3:prefix

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListBucketMultipartUploads Concede permiso para publicar cargas multiparte en curso List

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListBucketVersions Concede permiso para enumerar metadatos sobre todas las versiones de objetos en un bucket de Amazon S3 List

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:delimiter

s3:max-keys

s3:prefix

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListJobs Concede permiso para enumerar los trabajos actuales y los trabajos que han finalizado recientemente List

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListMultiRegionAccessPoints Concede permiso para enumerar puntos de acceso de múltiples regiones List

s3:authType

s3:ResourceAccount

s3:signatureversion

s3:signatureAge

s3:TlsVersion

ListMultipartUploadParts Concede permiso para enumerar las piezas que se han cargado para una carga multiparte específica List

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListStorageLensConfigurations Concede permiso para enumerar configuraciones de Amazon S3 Storage Lens List

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ObjectOwnerOverrideToBucketOwner Conceder permiso para cambiar al propietario de la réplica Permissions management

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAccelerateConfiguration Concede permiso para utilizar el subrecurso de aceleración para establecer el estado de aceleración de transferencia de un bucket de S3 existente Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAccessPointConfigurationForObjectLambda Concede permiso para establecer la configuración del punto de acceso habilitado por el objeto lambda Write

objectlambdaaccesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAccessPointPolicy Concede permiso para asociar una política de acceso a un punto de acceso especificado Permissions management

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAccessPointPolicyForObjectLambda Concede permiso para asociar una política de acceso a un punto de acceso específico habilitado por el objeto lambda Permissions management

objectlambdaaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAccessPointPublicAccessBlock Concede permiso para asociar las configuraciones de bloques de acceso público a un punto de acceso especificado, al mismo tiempo que crea un punto de acceso Permissions management
PutAccountPublicAccessBlock Concede permiso para crear o modificar la configuración de PublicAccessBlock de una Cuenta de AWS Permissions management

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAnalyticsConfiguration Concede permiso para establecer una configuración de análisis para el bucket, especificada por el ID de configuración de análisis Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketAcl Establece los permisos en un bucket existente con listas de control de acceso (ACL) Permissions management

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

PutBucketCORS Concede permiso para establecer la configuración CORS para un bucket de Amazon S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketLogging Concede permiso para establecer los parámetros de registro para un bucket de Amazon S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketNotification Concede permiso para recibir notificaciones cuando se producen ciertos eventos en un bucket de Amazon S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketObjectLockConfiguration Concede permiso para colocar la configuración de bloqueo de objetos en un bucket específico Escritura

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:TlsVersion

s3:signatureversion

PutBucketOwnershipControls Concede permiso para agregar, reemplazar o eliminar los controles de propiedad de un bucket Escritura

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketPolicy Concede permiso para agregar o reemplazar una política de bucket Permissions management

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketPublicAccessBlock Concede permiso para crear o modificar la configuración de PublicAccessBlock para un bucket específico de Amazon S3 Permissions management

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketRequestPayment Concede permiso para establecer la configuración de pago de solicitud de un bucket Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketTagging Concede permiso para agregar un conjunto de etiquetas a un bucket existente de Amazon S3 Etiquetado

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketVersioning Concede permiso para establecer el estado de control de versiones de un bucket de Amazon S3 existente Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketWebsite Establece la configuración del sitio web que está especificado en el subrecurso del sitio web. Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutEncryptionConfiguration Concede permiso para establecer la configuración de cifrado para un bucket de Amazon S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutIntelligentTieringConfiguration Concede permiso para crear una nueva configuración de Amazon S3 Intelligent Tiering o actualizar o eliminar una existente Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutInventoryConfiguration Concede permiso para agregar una configuración de inventario al bucket, identificada por el identificador de inventario Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutJobTagging Concede permiso para reemplazar etiquetas en un trabajo existente de Amazon S3 Batch Operations Etiquetado

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

aws:TagKeys

aws:RequestTag/${TagKey}

PutLifecycleConfiguration Concede permiso para crear una nueva configuración de ciclo de vida para el bucket o reemplazar una configuración de ciclo de vida existente Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutMetricsConfiguration Concede permiso para establecer o actualizar una configuración de métricas para las métricas de solicitud de CloudWatch desde un bucket de Amazon S3 Escritura

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutMultiRegionAccessPointPolicy Concede permiso para asociar una política de acceso con un punto de acceso especificado de múltiples regiones Permissions management

multiregionaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureversion

s3:signatureAge

s3:TlsVersion

PutObject Concede permiso para agregar un objeto a un bucket Escritura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-server-side-encryption-customer-algorithm

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

PutObjectAcl Concede permiso para establecer los permisos de la lista de control de acceso (ACL) para los objetos nuevos o que ya existen en un bucket de S3 Permissions management

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectLegalHold Concede permiso para aplicar una configuración de retención legal al objeto especificado Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:object-lock-legal-hold

PutObjectRetention Concede permiso para colocar una configuración de retención de objetos en un objeto Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

PutObjectTagging Concede permiso para establecer el conjunto de etiquetas suministrado en un objeto que ya existe en un bucket Etiquetado

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutObjectVersionAcl Concede permiso para utilizar el subrecurso para establecer los permisos de lista de control de acceso (ACL) para un objeto que ya existe en un bucket Permissions management

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectVersionTagging Concede permiso para establecer el conjunto de etiquetas suministrado para una versión específica de un objeto Etiquetado

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

PutReplicationConfiguration Concede permiso para crear una nueva configuración de replicación o reemplazar una existente Write

bucket*

iam:PassRole

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutStorageLensConfiguration Concede permiso para crear o actualizar una configuración de Amazon S3 Storage Lens Write

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

aws:TagKeys

aws:RequestTag/${TagKey}

PutStorageLensConfigurationTagging Concede permiso para colocar o reemplazar etiquetas en una configuración existente de Amazon S3 Storage Lens Etiquetado

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

aws:TagKeys

aws:RequestTag/${TagKey}

ReplicateDelete Concede permiso para replicar marcadores de eliminación en el bucket de destino Write

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ReplicateObject Concede permiso para replicar objetos y etiquetas de objeto en el bucket de destino Write

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-server-side-encryption-customer-algorithm

ReplicateTags Concede permiso para replicar etiquetas de objeto en el bucket de destino Etiquetado

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

RestoreObject Concede permiso para restaurar una copia archivada de un objeto en Amazon S3 Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

UpdateJobPriority Concede permiso para actualizar la prioridad de un trabajo existente Write

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:ExistingJobPriority

s3:ExistingJobOperation

UpdateJobStatus Concede permiso para actualizar el estado del trabajo especificado Write

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

s3:JobSuspendedCause

Tipos de recurso definidos por Amazon S3

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla.

Tipos de recurso ARN Claves de condición
accesspoint arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
bucket arn:${Partition}:s3:::${BucketName}
object arn:${Partition}:s3:::${BucketName}/${ObjectName}
job arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
storagelensconfiguration arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}

aws:ResourceTag/${TagKey}

objectlambdaaccesspoint arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
multiregionaccesspoint arn:${Partition}:s3::${Account}:accesspoint/${AccessPointAlias}
multiregionaccesspointrequestarn arn:${Partition}:s3:us-west-2:${Account}:async-request/mrap/${Operation}/${Token}

Claves de condición de Amazon S3

Amazon S3 define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política.

A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra el acceso por las etiquetas que se pasan en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra el acceso por las etiquetas asociadas al recurso Cadena
aws:TagKeys Filtra el acceso por las claves de etiquetas que se pasan en la solicitud ArrayOfString
s3:AccessPointNetworkOrigin Filtra el acceso por el origen de la red (Internet o VPC) Cadena
s3:DataAccessPointAccount Filtra el acceso por el ID de cuenta de AWS que posee el punto de acceso Cadena
s3:DataAccessPointArn Filtra el acceso por un punto de acceso Nombre de recurso de Amazon (ARN) Cadena
s3:ExistingJobOperation Filtra el acceso a la actualización de la prioridad de trabajo en función de la operación Cadena
s3:ExistingJobPriority Filtra el acceso a la cancelación de trabajos existentes en función del rango de prioridad Numérico
s3:ExistingObjectTag/<key> Filtra el acceso por clave y valor de etiqueta de objeto existentes Cadena
s3:JobSuspendedCause Filtra el acceso a la cancelación de trabajos suspendidos en función de una causa de suspensión de trabajo específica (por ejemplo, AWAITING_CONFIRMATION [confirmación en espera]) Cadena
s3:RequestJobOperation Filtra el acceso a la creación de trabajos en función de la operación Cadena
s3:RequestJobPriority Filtra el acceso a la creación de nuevos trabajos en función del rango de prioridad Numérico
s3:RequestObjectTag/<key> Filtra el acceso por claves y valores de etiqueta que se agregarán a los objetos Cadena
s3:RequestObjectTagKeys Filtra el acceso por claves de etiqueta que se agregarán a los objetos ArrayOfString
s3:ResourceAccount Filtra el acceso por el ID de la Cuenta de AWS del propietario del recurso Cadena
s3:TlsVersion Filtra el acceso por la versión de TLS utilizada por el cliente Numérico
s3:authType Filtra el acceso por método de autenticación Cadena
s3:delimiter Filtra el acceso por parámetro delimitador Cadena
s3:locationconstraint Filtra el acceso por una región específica Cadena
s3:max-keys Filtra el acceso por el número máximo de claves devueltas en una solicitud ListBucket Numérico
s3:object-lock-legal-hold Filtra el acceso por estado de retención legal del objeto Cadena
s3:object-lock-mode Filtra el acceso por modo de retención de objetos (CONFORMIDAD o GOBIERNO) Cadena
s3:object-lock-remaining-retention-days Filtra el acceso por días de retención de objetos restantes Numérico
s3:object-lock-retain-until-date Filtra el acceso por retención de objetos-hasta la fecha Fecha
s3:prefix Filtra el acceso por prefijo de nombre de clave Cadena
s3:signatureAge Filtra el acceso por la antigüedad en milisegundos de la firma de la solicitud Numérico
s3:signatureversion Filtra el acceso por la versión de AWS Signature utilizada en la solicitud Cadena
s3:versionid Filtra el acceso por una versión de objeto específica. Cadena
s3:x-amz-acl Filtra el acceso por ACL predefinida en el encabezado x-amz-acl de la solicitud Cadena
s3:x-amz-content-sha256 Filtra el acceso en función del contenido sin firmar en el bucket Cadena
s3:x-amz-copy-source Filtra el acceso en función del bucket fuente de copia, el prefijo u objeto en la solicitud de objeto de copia Cadena
s3:x-amz-grant-full-control Filtra el acceso en función de la cabecera x-amz-grant-full-control (control total) Cadena
s3:x-amz-grant-read Filtra el acceso en función de la cabecera x-amz-grant-read (acceso de lectura) Cadena
s3:x-amz-grant-read-acp Filtra el acceso en función de la cabecera x-amz-grant-read-acp (permisos de lectura para la ACL) Cadena
s3:x-amz-grant-write Filtra el acceso en función de la cabecera x-amz-grant-write (acceso de escritura) Cadena
s3:x-amz-grant-write-acp Filtra el acceso en función de la cebecera x-amz-grant-write-acp (permisos de escritura para la ACL) Cadena
s3:x-amz-metadata-directive Filtra el acceso por el comportamiento de metadatos de objeto (COPIAR o REEMPLAZAR) cuando se copian objetos Cadena
s3:x-amz-object-ownership Filtra el acceso por propiedad de objetos. Cadena
s3:x-amz-server-side-encryption Filtra el acceso por cifrado en el lado del servidor Cadena
s3:x-amz-server-side-encryption-aws-kms-key-id Filtra el acceso según la CMK administrada por el cliente de AWS KMS para el cifrado del lado del servidor Cadena
s3:x-amz-server-side-encryption-customer-algorithm Filtra el acceso según el algoritmo especificado por el cliente para el cifrado del lado del servidor Cadena
s3:x-amz-storage-class Filtra el acceso por clase de almacenamiento. Cadena
s3:x-amz-website-redirect-location Filtra el acceso por una ubicación de redirección de sitios web específica para los bucket configurados como sitios web estáticos Cadena