Acciones, recursos y claves de condición de Amazon S3
Amazon S3 (prefijo de servicio: s3) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas del servicio para su uso en las políticas de permisos de IAM.
Puede usar las acciones que se enumeran a continuación en las políticas de IAM y las políticas de bucket de Amazon S3 para otorgar permisos para operaciones específicas de la API de Amazon S3. La mayoría de las acciones tienen el mismo nombre que las operaciones de API con las que están asociadas. Sin embargo, en algunos casos, los nombres de operación de la API y de las acciones son diferentes. Además, una única acción puede controlar el acceso a más de una operación, y algunas operaciones requieren varias acciones diferentes.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos deIAM.
Temas
Acciones definidas por Amazon S3
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Resource types (Tipos de recurso) indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de recursos en una instrucción mediante esta acción, deberá ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.
| Actions | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AbortMultipartUpload | Concede permiso para anular una carga multiparte | Write | |||
| BypassGovernanceRetention | Concede permiso para permitir configurar la retención de objetos en modo de gobierno | Permissions management | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| CreateAccessPoint | Concede permiso para crear una aplicación nueva | Write | |||
| CreateAccessPointForObjectLambda | Otorga permiso para crear un punto de acceso habilitado por el objeto lambda | Write | |||
| CreateBucket | Concede permiso para crear un nuevo bucket | Write | |||
| CreateJob | Concede permiso para crear un nuevo trabajo de operaciones por lotes de Amazon S3 | Write |
iam:PassRole |
||
| DeleteAccessPoint | Concede permiso para eliminar el punto de acceso nombrado en el URI | Write | |||
| DeleteAccessPointForObjectLambda | Concede permiso para eliminar el punto de acceso habilitado por el objeto lambda nombrado en el URI | Write | |||
| DeleteAccessPointPolicy | Concede permiso para eliminar la política en un punto de acceso especificado | Permissions management | |||
| DeleteAccessPointPolicyForObjectLambda | Concede permiso para eliminar la política en un punto de acceso específico habilitado por el objeto lambda | Permissions management | |||
| DeleteBucket | Concede permiso para eliminar el bucket nombrado en el URI | Write | |||
| DeleteBucketOwnershipControls | Otorga permiso para eliminar los controles de propiedad de un bucket | Write | |||
| DeleteBucketPolicy | Concede permiso para eliminar la política en un bucket especificado | Permissions management | |||
| DeleteBucketWebsite | Concede permiso para quitar la configuración del sitio web de un bucket | Write | |||
| DeleteJobTagging | Concede permiso para eliminar etiquetas de un trabajo existente de Amazon S3 Batch Operations | Etiquetado | |||
| DeleteObject | Otorga permiso para quitar la versión nula de un objeto e insertar un marcador de eliminación, que se convierte en la versión actual del objeto | Write | |||
| DeleteObjectTagging | Concede permiso para utilizar el subrecurso de etiquetado para quitar todo el conjunto de etiquetas del objeto especificado | Etiquetado | |||
| DeleteObjectVersion | Concede permiso para quitar una versión específica de un objeto | Write | |||
| DeleteObjectVersionTagging | Concede permiso para quitar todo el conjunto de etiquetas para una versión específica del objeto | Etiquetado | |||
| DeleteStorageLensConfiguration | Concede permiso para eliminar una configuración existente de Amazon S3 Storage Lens | Write | |||
| DeleteStorageLensConfigurationTagging | Concede permiso para eliminar etiquetas de un trabajo existente de Amazon S3 Storage Lens | Etiquetado | |||
| DescribeJob | Concede permiso para recuperar los parámetros de configuración y el estado de un trabajo de operaciones por lotes | Read | |||
| GetAccelerateConfiguration | Concede permiso para utilizar el subrecurso de aceleración para volver al estado de aceleración de transferencia de un bucket, que puede estar habilitado o suspendido | Read | |||
| GetAccessPoint | Concede permiso para devolver información acerca de la configuración especificada | Read | |||
| GetAccessPointConfigurationForObjectLambda | Concede permiso para recuperar la configuración del punto de acceso habilitado por el objeto lambda | Read | |||
| GetAccessPointForObjectLambda | Otorga permiso para crear un punto de acceso habilitado por el objeto lambda | Read | |||
| GetAccessPointPolicy | Concede permiso para devolver la política de acceso asociada al punto de acceso especificado | Read | |||
| GetAccessPointPolicyForObjectLambda | Concede permiso para devolver la política del punto de acceso asociada al punto de acceso específico habilitado por el objeto lambda | Read | |||
| GetAccessPointPolicyStatus | Concede permiso para devolver el estado a una política de punto de acceso específica | Read | |||
| GetAccessPointPolicyStatusForObjectLambda | Concede permiso para devolver el estado de una política para un punto de acceso específico del objeto lambda | Read | |||
| GetAccountPublicAccessBlock | Concede permiso para recuperar la configuración de PublicAccessBlock de una Cuenta de AWS | Read | |||
| GetAnalyticsConfiguration | Concede permiso para obtener una configuración de análisis de un bucket de Amazon S3, identificado por el ID de configuración de análisis | Read | |||
| GetBucketAcl | Concede permiso para utilizar el subrecurso ACL para devolver la lista de control de acceso (ACL) de un bucket de Amazon S3 | Read | |||
| GetBucketCORS | Concede permiso para devolver el conjunto de información de configuración CORS para un bucket de Amazon S3 | Read | |||
| GetBucketLocation | Concede permiso para devolver la región en la que reside un bucket de Amazon S3 | Read | |||
| GetBucketLogging | Concede permiso para devolver el estado de registro de un bucket de Amazon S3 y los permisos que tienen los usuarios para ver o modificar ese estado | Read | |||
| GetBucketNotification | Concede permiso para obtener la configuración de notificaciones de un bucket de Amazon S3 | Read | |||
| GetBucketObjectLockConfiguration | Concede permiso para obtener la configuración de bloqueo de objetos de un bucket de Amazon S3 | Read | |||
| GetBucketOwnershipControls | Concede permiso para recuperar los controles de propiedad de un bucket | Read | |||
| GetBucketPolicy | Concede permiso para devolver la política del bucket especificado | Read | |||
| GetBucketPolicyStatus | Concede permiso para recuperar el estado de la política de un bucket específico de Amazon S3, lo que indica si el bucket es público | Read | |||
| GetBucketPublicAccessBlock | Concede permiso para recuperar la configuración de PublicAccessBlock para un bucket de Amazon S3 | Read | |||
| GetBucketRequestPayment | Concede permiso para devolver la configuración de pago de solicitud para un bucket de Amazon S3 | Read | |||
| GetBucketTagging | Concede permiso para devolver el conjunto de etiquetas asociado a un bucket de Amazon S3 | Read | |||
| GetBucketVersioning | Concede permiso para devolver el estado de control de versiones de un bucket de Amazon S3 | Read | |||
| GetBucketWebsite | Concede permiso para devolver la configuración del sitio web para un bucket de Amazon S3 | Read | |||
| GetEncryptionConfiguration | Concede permiso para devolver la configuración de cifrado predeterminada de un bucket de Amazon S3 | Read | |||
| GetIntelligentTieringConfiguration | Concede permiso para obtener una configuración de Amazon S3 Intelligent Tiering de un bucket de S3 o enumerarla de forma completa | Read | |||
| GetInventoryConfiguration | Concede permiso para devolver una configuración de inventario desde un bucket de Amazon S3, identificado por el ID de configuración de inventario | Read | |||
| GetJobTagging | Concede permiso para devolver el conjunto de etiquetas de un trabajo existente de Amazon S3 Batch Operations | Read | |||
| GetLifecycleConfiguration | Concede permiso para devolver la información de configuración del ciclo de vida establecida en un bucket de Amazon S3 | Read | |||
| GetMetricsConfiguration | Concede permiso para obtener una configuración de métricas de un bucket de Amazon S3 | Read | |||
| GetObject | Concede permiso para recuperar objetos de Amazon S3 | Read | |||
| GetObjectAcl | Concede permiso para devolver la lista de control de acceso (ACL) de un objeto | Read | |||
| GetObjectLegalHold | Concede permiso para obtener el estado actual de retención legal de un objeto | Read | |||
| GetObjectRetention | Concede permiso para recuperar la configuración de retención de un objeto | Read | |||
| GetObjectTagging | Concede permiso para devolver el conjunto de etiquetas de un objeto | Read | |||
| GetObjectVersion | Concede permiso para recuperar una versión específica de un objeto | Read | |||
| GetObjectVersionAcl | Concede permiso para devolver la lista de control de acceso (ACL) de una versión de objeto específica | Read | |||
| GetObjectVersionForReplication | Concede permiso para replicar objetos no cifrados y objetos cifrados con SSE-S3 o SSE-KMS | Read | |||
| GetObjectVersionTagging | Concede permiso para devolver el conjunto de etiquetas para una versión específica del objeto | Read | |||
| GetReplicationConfiguration | Concede permiso para obtener la información de configuración de replicación establecida en un bucket de Amazon S3 | Read | |||
| GetStorageLensConfiguration | Concede permiso para obtener una configuración de Amazon S3 Storage Lens | Read | |||
| GetStorageLensConfigurationTagging | Concede permiso para obtener el conjunto de etiquetas de una configuración existente de Amazon S3 Storage Lens | Read | |||
| GetStorageLensDashboard | Concede permiso para obtener un panel de Amazon S3 Storage Lens | Read | |||
| ListAccessPoints | Otorga permiso para enumerar puntos de acceso | Read | |||
| ListAccessPointsForObjectLambda | Otorga permiso para enumerar los puntos de acceso habilitados por el objeto lambda | Read | |||
| ListAllMyBuckets | Otorga permiso para enumerar todos los buckets propiedad del remitente autenticado de la solicitud | List | |||
| ListBucket | Concede permiso para enumerar algunos o todos los objetos de un bucket de Amazon S3 (hasta 1000) | List | |||
| ListBucketMultipartUploads | Concede permiso para publicar cargas multiparte en curso | List | |||
| ListBucketVersions | Concede permiso para enumerar metadatos sobre todas las versiones de objetos en un bucket de Amazon S3 | List | |||
| ListJobs | Concede permiso para enumerar los trabajos actuales y los trabajos que han finalizado recientemente | List | |||
| ListMultipartUploadParts | Concede permiso para enumerar las piezas que se han cargado para una carga multiparte específica | List | |||
| ListStorageLensConfigurations | Concede permiso para enumerar configuraciones de Amazon S3 Storage Lens | List | |||
| ObjectOwnerOverrideToBucketOwner | Conceder permiso para cambiar al propietario de la réplica | Permissions management | |||
| PutAccelerateConfiguration | Concede permiso para utilizar el subrecurso de aceleración para establecer el estado de aceleración de transferencia de un bucket de S3 existente | Write | |||
| PutAccessPointConfigurationForObjectLambda | Concede permiso para establecer la configuración del punto de acceso habilitado por el objeto lambda | Write | |||
| PutAccessPointPolicy | Concede permiso para asociar una política de acceso a un punto de acceso especificado | Permissions management | |||
| PutAccessPointPolicyForObjectLambda | Concede permiso para asociar una política de acceso a un punto de acceso específico habilitado por el objeto lambda | Permissions management | |||
| PutAccountPublicAccessBlock | Concede permiso para crear o modificar la configuración de PublicAccessBlock de una Cuenta de AWS | Permissions management | |||
| PutAnalyticsConfiguration | Concede permiso para establecer una configuración de análisis para el bucket, especificada por el ID de configuración de análisis | Write | |||
| PutBucketAcl | Establece los permisos en un bucket existente con listas de control de acceso (ACL) | Permissions management | |||
| PutBucketCORS | Concede permiso para establecer la configuración CORS para un bucket de Amazon S3 | Write | |||
| PutBucketLogging | Concede permiso para establecer los parámetros de registro para un bucket de Amazon S3 | Write | |||
| PutBucketNotification | Concede permiso para recibir notificaciones cuando se producen ciertos eventos en un bucket de Amazon S3 | Write | |||
| PutBucketObjectLockConfiguration | Concede permiso para colocar la configuración de bloqueo de objetos en un bucket específico | Write | |||
| PutBucketOwnershipControls | Otorga permiso para añadir o reemplazar los controles de propiedad de un bucket | Write | |||
| PutBucketPolicy | Concede permiso para agregar o reemplazar una política de bucket | Permissions management | |||
| PutBucketPublicAccessBlock | Concede permiso para crear o modificar la configuración de PublicAccessBlock para un bucket específico de Amazon S3 | Permissions management | |||
| PutBucketRequestPayment | Concede permiso para establecer la configuración de pago de solicitud de un bucket | Write | |||
| PutBucketTagging | Concede permiso para agregar un conjunto de etiquetas a un bucket existente de Amazon S3 | Etiquetado | |||
| PutBucketVersioning | Concede permiso para establecer el estado de control de versiones de un bucket de Amazon S3 existente | Write | |||
| PutBucketWebsite | Establece la configuración del sitio web que está especificado en el subrecurso del sitio web. | Write | |||
| PutEncryptionConfiguration | Concede permiso para establecer la configuración de cifrado para un bucket de Amazon S3 | Write | |||
| PutIntelligentTieringConfiguration | Concede permiso para crear una nueva configuración de Amazon S3 Intelligent Tiering o actualizar o eliminar una existente | Write | |||
| PutInventoryConfiguration | Concede permiso para agregar una configuración de inventario al bucket, identificada por el identificador de inventario | Write | |||
| PutJobTagging | Concede permiso para reemplazar etiquetas en un trabajo existente de Amazon S3 Batch Operations | Etiquetado | |||
| PutLifecycleConfiguration | Concede permiso para crear una nueva configuración de ciclo de vida para el bucket o reemplazar una configuración de ciclo de vida existente | Write | |||
| PutMetricsConfiguration | Concede permiso para establecer o actualizar una configuración de métricas para las métricas de solicitud de CloudWatch desde un bucket de Amazon S3 | Write | |||
| PutObject | Otorga permiso para agregar un objeto a un bucket | Write | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| PutObjectAcl | Otorga permiso para establecer los permisos de la lista de control de acceso (ACL) para los objetos nuevos o que ya existen en un bucket de S3. | Permissions management | |||
| PutObjectLegalHold | Concede permiso para aplicar una configuración de retención legal al objeto especificado | Write | |||
| PutObjectRetention | Concede permiso para colocar una configuración de retención de objetos en un objeto | Escritura | |||
| PutObjectTagging | Concede permiso para establecer el conjunto de etiquetas suministrado en un objeto que ya existe en un bucket o al cargar primero el objeto | Etiquetado | |||
| PutObjectVersionAcl | Concede permiso para utilizar el subrecurso para establecer los permisos de lista de control de acceso (ACL) para un objeto que ya existe en un bucket | Permissions management | |||
| PutObjectVersionTagging | Concede permiso para establecer el conjunto de etiquetas suministrado para una versión específica de un objeto | Etiquetado | |||
| PutReplicationConfiguration | Concede permiso para crear una nueva configuración de replicación o reemplazar una existente | Write |
iam:PassRole |
||
| PutStorageLensConfiguration | Concede permiso para crear o actualizar una configuración de Amazon S3 Storage Lens | Write | |||
| PutStorageLensConfigurationTagging | Concede permiso para colocar o reemplazar etiquetas en una configuración existente de Amazon S3 Storage Lens | Etiquetado | |||
| ReplicateDelete | Concede permiso para replicar marcadores de eliminación en el bucket de destino | Write | |||
| ReplicateObject | Concede permiso para replicar objetos y etiquetas de objeto en el bucket de destino | Write | |||
| ReplicateTags | Concede permiso para replicar etiquetas de objeto en el bucket de destino | Etiquetado | |||
| RestoreObject | Concede permiso para restaurar una copia archivada de un objeto en Amazon S3 | Write | |||
| UpdateJobPriority | Concede permiso para actualizar la prioridad de un trabajo existente | Write | |||
| UpdateJobStatus | Concede permiso para actualizar el estado del trabajo especificado | Write | |||
Tipos de recurso definidos por Amazon S3
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| accesspoint |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| object |
arn:${Partition}:s3:::${BucketName}/${ObjectName}
|
|
| job |
arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
|
|
| storagelensconfiguration |
arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}
|
|
| objectlambdaaccesspoint |
arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
|
Claves de condición de Amazon S3
Amazon S3 define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política.
A fin de ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra acciones basadas en las etiquetas que se pasan en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra acciones en función de la etiqueta asociada con el recurso. | Cadena |
| aws:TagKeys | Filtra acciones basadas en las claves de etiqueta que se pasan en la solicitud | Cadena |
| s3:AccessPointNetworkOrigin | Filtra el acceso por el origen de la red (Internet o VPC) | Cadena |
| s3:DataAccessPointAccount | Filtra el acceso por el ID de la Cuenta de AWS que posee el punto de acceso | Cadena |
| s3:DataAccessPointArn | Filtra el acceso por un punto de acceso Nombre de recurso de Amazon (ARN) | Cadena |
| s3:ExistingJobOperation | Filtra el acceso a la actualización de la prioridad de trabajo por operación. | Cadena |
| s3:ExistingJobPriority | Filtra el acceso a la cancelación de trabajos existentes por rango de prioridad. | Numérico |
| s3:ExistingObjectTag/<key> | Filtra el acceso por clave y valor de etiqueta de objeto existentes | Cadena |
| s3:JobSuspendedCause | Filtra el acceso a la cancelación de trabajos suspendidos por una causa de suspensión de trabajo específica (por ejemplo: AWAITING_CONFIRMATION). | Cadena |
| s3:LocationConstraint | Filtra el acceso por una región específica | Cadena |
| s3:RequestJobOperation | Filtra el acceso a la creación de trabajos por operación | Cadena |
| s3:RequestJobPriority | Filtra el acceso a la creación de nuevos trabajos por rango de prioridad. | Numérico |
| s3:RequestObjectTag/<key> | Filtra el acceso por claves y valores de etiqueta que se agregarán a los objetos | Cadena |
| s3:RequestObjectTagKeys | Filtra el acceso por claves de etiqueta que se agregarán a los objetos | Cadena |
| s3:ResourceAccount | Filtra el acceso por el ID de la Cuenta de AWS del propietario del recurso | Cadena |
| s3:TlsVersion | Filtra el acceso por la versión de TLS utilizada por el cliente | Numérico |
| s3:VersionId | Filtra el acceso por una versión de objeto específica. | Cadena |
| s3:authType | Filtra el acceso por método de autenticación | Cadena |
| s3:delimiter | Filtra el acceso por parámetro delimitador | Cadena |
| s3:locationconstraint | Filtra el acceso por una región específica | Cadena |
| s3:max-keys | Filtra el acceso por el número máximo de claves devueltas en una solicitud ListBucket | Numérico |
| s3:object-lock-legal-hold | Filtra el acceso por estado de retención legal del objeto | Cadena |
| s3:object-lock-mode | Filtra el acceso por modo de retención de objetos (CONFORMIDAD o GOBIERNO) | Cadena |
| s3:object-lock-remaining-retention-days | Filtra el acceso por días de retención de objetos restantes | Cadena |
| s3:object-lock-retain-until-date | Filtra el acceso por retención de objetos-hasta la fecha | Cadena |
| s3:prefix | Filtra el acceso por prefijo de nombre de clave | Cadena |
| s3:signatureAge | Filtra el acceso por la antigüedad en milisegundos de la firma de la solicitud | Numérico |
| s3:signatureversion | Filtra el acceso por la versión de AWS Signature utilizada en la solicitud | Cadena |
| s3:versionid | Filtra el acceso por una versión de objeto específica. | Cadena |
| s3:x-amz-acl | Filtra el acceso por ACL predefinida en el encabezado x-amz-acl de la solicitud | Cadena |
| s3:x-amz-content-sha256 | Filtra el acceso al contenido sin firmar en su bucket | Cadena |
| s3:x-amz-copy-source | Filtra el acceso a las solicitudes con un bucket, prefijo u objeto específicos como origen de copia | Cadena |
| s3:x-amz-grant-full-control | Filtra el acceso a las solicitudes con el encabezado x-amz-grant-full-control (control total) | Cadena |
| s3:x-amz-grant-read | Filtra el acceso a las solicitudes con el encabezado x-amz-grant-read (acceso de lectura) | Cadena |
| s3:x-amz-grant-read-acp | Filtra el acceso a las solicitudes con el encabezado x-amz-grant-read-acp (permisos de lectura para la ACL) | Cadena |
| s3:x-amz-grant-write | Filtra el acceso a las solicitudes con el encabezado x-amz-grant-write (acceso de escritura) | Cadena |
| s3:x-amz-grant-write-acp | Filtra el acceso a las solicitudes con el encabezado x-amz-grant-write-acp (permisos de escritura para la ACL) | Cadena |
| s3:x-amz-metadata-directive | Filtra el acceso por el comportamiento de metadatos de objeto (COPIAR o REEMPLAZAR) cuando se copian objetos | Cadena |
| s3:x-amz-server-side-encryption | Filtra el acceso por cifrado en el lado del servidor | Cadena |
| s3:x-amz-server-side-encryption-aws-kms-key-id | Filtra el acceso por AWS KMS key para el cifrado en el lado del servidor | Cadena |
| s3:x-amz-storage-class | Filtra el acceso por clase de almacenamiento. | Cadena |
| s3:x-amz-website-redirect-location | Filtra el acceso por una ubicación de redirección de sitios web específica para los bucket configurados como sitios web estáticos | Cadena |
