Claves de condición, recursos y acciones de Amazon S3 - AWS Identity and Access Management

Claves de condición, recursos y acciones de Amazon S3

Amazon S3 (prefijo de servicio: s3) proporciona las siguientes claves de contexto de condición, acciones y recursos específicos del servicio para su uso en las políticas de permisos de IAM.

Referencias:

Acciones definidas por Amazon S3

Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. Sin embargo, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.

La columna Tipos de recurso indica si la acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") en el elemento Resource de la instrucción de la política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Los recursos necesarios se indican en la tabla con un asterisco (*). Si especifica un ARN de permiso de nivel de recursos en una instrucción mediante esta acción, debe ser de este tipo. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno pero no el otro.

Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.

Actions Descripción Nivel de acceso Tipos de recursos (*necesarios) Claves de condición Acciones dependientes
AbortMultipartUpload Otorga permiso para cancelar una carga multiparte Escritura

object*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

BypassGovernanceRetention Otorga permiso para permitir configurar la retención de objetos en modo de gobierno Administración de permisos

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

CreateAccessPoint Concede permiso para crear una aplicación nueva. Escritura

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:locationconstraint

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

CreateBucket Otorga permiso para crear un nuevo bucket Escritura

bucket*

s3:authType

s3:locationconstraint

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

CreateJob Otorga permiso para crear un nuevo trabajo de operaciones por lotes de Amazon S3 Escritura

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:RequestJobOperation

aws:TagKeys

aws:RequestTag/${TagKey}

DeleteAccessPoint Otorga permiso para eliminar el punto de acceso nombrado en el URI Escritura

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteAccessPointPolicy Otorga permiso para eliminar la política en un punto de acceso especificado Administración de permisos

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucket Otorga permiso para eliminar el bucket nombrado en el URI Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucketPolicy Otorga permiso para eliminar la política en un bucket especificado Administración de permisos

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucketWebsite Otorga permiso para quitar la configuración del sitio web de un bucket Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteJobTagging Otorga permiso para eliminar etiquetas de un trabajo existente de Amazon S3 Batch Operations Etiquetado

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

DeleteObject Otorga permiso para quitar la versión nula de un objeto e insertar un marcador de eliminación, que se convierte en la versión actual del objeto Escritura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteObjectTagging Otorga permiso para utilizar el subrecurso de etiquetado para quitar todo el conjunto de etiquetas del objeto especificado Etiquetado

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteObjectVersion Otorga permiso para quitar una versión específica de un objeto Escritura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

DeleteObjectVersionTagging Otorga permiso para quitar todo el conjunto de etiquetas para una versión específica del objeto Etiquetado

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

DescribeJob Otorga permiso para recuperar los parámetros de configuración y el estado de un trabajo de operaciones por lotes. Lectura

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccelerateConfiguration Otorga permiso para utilizar el subrecurso de aceleración para volver al estado de aceleración de transferencia de un bucket, que puede estar habilitado o suspendido. Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPoint Concede permiso para devolver información acerca de la configuración especificada. Lectura

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPointPolicy Otorga permiso para devolver la política de acceso asociada al punto de acceso especificado Lectura

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPointPolicyStatus Otorga permiso para devolver el estado a una política de punto de acceso específica Lectura

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccountPublicAccessBlock Recupera la configuración PublicAccessBlock de una cuenta de AWS. Lectura

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAnalyticsConfiguration Otorga permiso para obtener una configuración de análisis de un bucket de Amazon S3, identificado por el ID de configuración de análisis Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketAcl Otorga permiso para utilizar el subrecurso ACL para devolver la lista de control de acceso (ACL) de un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketCORS Otorga permiso para devolver el conjunto de información de configuración CORS para un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketLocation Otorga permiso para devolver la región en la que reside un bucket de Amazon S3 Lectura

bucket*

GetBucketLogging Otorga permiso para devolver el estado de registro de un bucket de Amazon S3 y los permisos que tienen los usuarios para ver o modificar ese estado Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketNotification Otorga permiso para obtener la configuración de notificaciones de un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketObjectLockConfiguration Otorga permiso para obtener la configuración de bloqueo de objetos de un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

GetBucketPolicy Otorga permiso para devolver la política del bucket especificado Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketPolicyStatus Otorga permiso para recuperar el estado de la política de un bucket específico de Amazon S3, lo que indica si el depósito es público Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketPublicAccessBlock Otorga permiso para recuperar la configuración de PublicAccessBlock para un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketRequestPayment Otorga permiso para devolver la configuración de pago de solicitud para un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketTagging Otorga permiso para devolver el conjunto de etiquetas asociado a un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketVersioning Otorga permiso para devolver el estado de control de versiones de un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketWebsite Otorga permiso para devolver la configuración del sitio web para un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetEncryptionConfiguration Otorga permiso para devolver la configuración de cifrado predeterminada de un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetInventoryConfiguration Otorga permiso para devolver una configuración de inventario desde un bucket de Amazon S3, identificado por el ID de configuración de inventario Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetJobTagging Otorga permiso para devolver el conjunto de etiquetas de un trabajo existente de Amazon S3 Batch Operations Lectura

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetLifecycleConfiguration Otorga permiso para devolver la información de configuración del ciclo de vida establecida en un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetMetricsConfiguration Otorga permiso para obtener una configuración de métricas de un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObject Otorga permiso para recuperar objetos de Amazon S3 Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectAcl Otorga permiso para devolver la lista de control de acceso (ACL) de un objeto Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectLegalHold Otorga permiso para obtener el estado actual de retención legal de un objeto Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectRetention Otorga permiso para recuperar la configuración de retención de un objeto Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectTagging Otorga permiso para devolver el conjunto de etiquetas de un objeto Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectTorrent Otorga permiso para devolver archivos torrent desde un bucket de Amazon S3 Lectura

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectVersion Otorga permiso para recuperar una versión específica de un objeto Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionAcl Otorga permiso para devolver la lista de control de acceso (ACL) de una versión de objeto específica Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionForReplication Otorga permiso para replicar objetos no cifrados y objetos cifrados con SSE-S3 o SSE-KMS Lectura

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectVersionTagging Otorga permiso para devolver el conjunto de etiquetas para una versión específica del objeto Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionTorrent Otorga permiso para obtener archivos Torrent sobre una versión diferente utilizando el subrecurso versionId Lectura

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetReplicationConfiguration Otorga permiso para obtener la información de configuración de replicación establecida en un bucket de Amazon S3 Lectura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListAccessPoints Otorga permiso para enumerar puntos de acceso Lectura

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListAllMyBuckets Otorga permiso para enumerar todos los buckets propiedad del remitente autenticado de la solicitud List

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListBucket Otorga permiso para enumerar algunos o todos los objetos de un bucket de Amazon S3 (hasta 1000) List

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:delimiter

s3:max-keys

s3:prefix

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListBucketMultipartUploads Otorga permiso para publicar cargas multiparte en curso Lectura

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListBucketVersions Otorga permiso para enumerar metadatos sobre todas las versiones de objetos en un bucket de Amazon S3 Lectura

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:delimiter

s3:max-keys

s3:prefix

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListJobs Otorga permiso para enumerar los trabajos actuales y los trabajos que han finalizado recientemente Lectura

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListMultipartUploadParts Otorga permiso para enumerar las piezas que se han cargado para una carga multiparte específica Lectura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ObjectOwnerOverrideToBucketOwner Conceder permiso para cambiar al propietario de la réplica Administración de permisos

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAccelerateConfiguration Otorga permiso para utilizar el subrecurso de aceleración para establecer el estado de aceleración de transferencia de un bucket S3 existente Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAccessPointPolicy Otorga permiso para asociar una política de acceso a un punto de acceso especificado Administración de permisos

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAccountPublicAccessBlock Crea o modifica la configuración PublicAccessBlock en una cuenta de AWS. Administración de permisos

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAnalyticsConfiguration Otorga permiso para establecer una configuración de análisis para el bucket , especificada por el ID de configuración de análisis Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketAcl Establece los permisos en un bucket existente con listas de control de acceso (ACL) Administración de permisos

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

PutBucketCORS Otorga permiso para establecer la configuración CORS para un bucket de Amazon S3 Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketLogging Otorga permiso para establecer los parámetros de registro para un bucket de Amazon S3 Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketNotification Otorga permiso para recibir notificaciones cuando se producen ciertos eventos en un bucket de Amazon S3 Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketObjectLockConfiguration Otorga permiso para colocar la configuración de bloqueo de objetos en un bucket específico Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

PutBucketPolicy Otorga permiso para agregar o reemplazar una política de bucket Administración de permisos

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketPublicAccessBlock Otorga permiso para crear o modificar la configuración de PublicAccessBlock para un bucket específico de Amazon S3 Administración de permisos

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketRequestPayment Otorga permiso para establecer la configuración de pago de solicitud de un bucket Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketTagging Otorga permiso para agregar un conjunto de etiquetas a un bucket existente de Amazon S3 Etiquetado

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketVersioning Otorga permiso para establecer el estado de control de versiones de un bucket de Amazon S3 existente Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketWebsite Establece la configuración del sitio web que está especificado en el subrecurso del sitio web. Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutEncryptionConfiguration Otorga permiso para establecer la configuración de cifrado para un bucket de Amazon S3 Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutInventoryConfiguration Otorga permiso para agregar una configuración de inventario al bucket , identificada por el identificador de inventario Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutJobTagging Otorga permiso para reemplazar etiquetas en un trabajo existente de Amazon S3 Batch Operations Etiquetado

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

aws:TagKeys

aws:RequestTag/${TagKey}

PutLifecycleConfiguration Otorga permiso para crear una nueva configuración de ciclo de vida para el bucket o reemplazar una configuración de ciclo de vida existente Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutMetricsConfiguration Otorga permiso para establecer o actualizar una configuración de métricas para las métricas de solicitud de CloudWatch desde un bucket de Amazon S3 Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutObject Otorga permiso para agregar un objeto a un bucket Escritura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

PutObjectAcl Establece los permisos de la lista de control de acceso (ACL) para un objeto que ya existe en un bucket. Administración de permisos

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectLegalHold Otorga permiso para aplicar una configuración de retención legal al objeto especificado Escritura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:object-lock-legal-hold

PutObjectRetention Otorga permiso para colocar una configuración de retención de objetos en un objeto Escritura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

PutObjectTagging Otorga permiso para establecer el conjunto de etiquetas suministrado en un objeto que ya existe en un bucket Etiquetado

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutObjectVersionAcl Otorga permiso para utilizar el subrecurso para establecer los permisos de lista de control de acceso (ACL) para un objeto que ya existe en un bucket. Administración de permisos

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectVersionTagging Otorga permiso para establecer el conjunto de etiquetas suministrado para una versión específica de un objeto Etiquetado

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

PutReplicationConfiguration Otorga permiso para crear una nueva configuración de replicación o reemplazar una existente Escritura

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ReplicateDelete Otorga permiso para replicar marcadores de eliminación en el bucket de destino Escritura

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ReplicateObject Otorga permiso para replicar objetos y etiquetas de objeto en el bucket de destino Escritura

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

ReplicateTags Otorga permiso para replicar etiquetas de objeto en el bucket de destino Etiquetado

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

RestoreObject Otorga permiso para restaurar una copia archivada de un objeto en Amazon S3 Escritura

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

UpdateJobPriority Otorga permiso para actualizar la prioridad de un trabajo existente Escritura

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:ExistingJobPriority

s3:ExistingJobOperation

UpdateJobStatus Concede permiso para actualizar el estado del bot especificado. Escritura

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

s3:JobSuspendedCause

Tipos de recurso definidos por Amazon S3

Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recurso que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recursos.

Tipos de recurso ARN Claves de condición
accesspoint arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
bucket arn:${Partition}:s3:::${BucketName}
object arn:${Partition}:s3:::${BucketName}/${ObjectName}
job arn:${Partition}:s3:${Region}:${Account}:job/${JobId}

Claves de condición de Amazon S3

Amazon S3 define las siguientes claves de condición que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Claves de condición.

Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles en la Referencia de políticas de IAM.

Claves de condición Descripción Tipo
aws:RequestTag/${TagKey} Filtra acciones basadas en las etiquetas que se pasan en la solicitud Cadena
aws:ResourceTag/${TagKey} Filtra acciones en función de la etiqueta asociada con el recurso. Cadena
aws:TagKeys Filtra acciones basadas en las claves de etiqueta que se pasan en la solicitud Cadena
s3:AccessPointNetworkOrigin Filtra el acceso por el origen de la red (Internet o VPC) Cadena
s3:DataAccessPointAccount Filtra el acceso por el ID de cuenta de AWS que posee el punto de acceso Cadena
s3:DataAccessPointArn Filtra el acceso por un punto de acceso Nombre de recurso de Amazon (ARN) Cadena
s3:ExistingJobOperation Filtra el acceso a la actualización de la prioridad de trabajo por operación. Cadena
s3:ExistingJobPriority Filtra el acceso a la cancelación de trabajos existentes por rango de prioridad. Numérico
s3:ExistingObjectTag/<key> Requiere que una etiqueta de objeto existente tenga una clave y un valor de etiqueta específicos. Cadena
s3:JobSuspendedCause Filtra el acceso a la cancelación de trabajos suspendidos por una causa de suspensión de trabajo específica (por ejemplo, AWAITING_CONFIRMATION). Cadena
s3:LocationConstraint Filtra el acceso por una región específica Cadena
s3:RequestJobOperation Filtra el acceso a la creación de trabajos por operación Cadena
s3:RequestJobPriority Filtra el acceso a la creación de nuevos trabajos por rango de prioridad. Numérico
s3:RequestObjectTag/<key> Restringe las claves de etiqueta y los valores permitidos en los objetos Cadena
s3:RequestObjectTagKeys Restringe las claves de etiqueta permitidas en los objetos Cadena
s3:VersionId Filtra el acceso por una versión de objeto específica. Cadena
s3:authType Restringe las solicitudes entrantes a un método de autenticación específico. Cadena
s3:delimiter Requiere el parámetro delimitador Cadena
s3:locationconstraint Filtra el acceso por una región específica Cadena
s3:max-keys Limita el número máximo de claves devueltas en una solicitud ListBucket Numérico
s3:object-lock-legal-hold Permite aplicar el estado de retención legal del objeto especificado. Cadena
s3:object-lock-mode Permite la aplicación del modo de retención de objetos especificado (CUMPLIMIENTO O GOBIERNO) Cadena
s3:object-lock-remaining-retention-days Permite aplicar el cumplimiento de un objeto en relación al resto de días de retención. Cadena
s3:object-lock-retain-until-date Permite aplicar una fecha de finalización de la retención específica. Cadena
s3:prefix Filtra el acceso por prefijo de nombre de clave Cadena
s3:signatureAge Identifica el periodo, en milisegundos, que una firma es válida en una solicitud autenticada. Numérico
s3:signatureversion Identifica la versión de AWS Signature compatible con las solicitudes autenticadas. Cadena
s3:versionid Filtra el acceso por una versión de objeto específica. Cadena
s3:x-amz-acl Requiere el encabezado x-amz-acl con una ACL enlatada específica en una solicitud Cadena
s3:x-amz-content-sha256 No permite el contenido sin firmar en el bucket . Cadena
s3:x-amz-copy-source Restringe el origen de copia a un bucket, prefijo u objeto específicos Cadena
s3:x-amz-grant-full-control Requiere el encabezado x-amz-grant-full-control (control total) en una solicitud. Cadena
s3:x-amz-grant-read Requiere el encabezado x-amz-grant-read (acceso de lectura) en una solicitud. Cadena
s3:x-amz-grant-read-acp Requiere el encabezado x-amz-grant-read-acp (permisos de lectura para la ACL) en una solicitud. Cadena
s3:x-amz-grant-write Requiere el encabezado x-amz-grant-write (acceso de escritura) en una solicitud. Cadena
s3:x-amz-grant-write-acp Requiere el encabezado x-amz-grant-write-acp (permisos de escritura para la ACL) en una solicitud Cadena
s3:x-amz-metadata-directive Habilita la aplicación del comportamiento de metadatos de objeto (COPIAR o REMPLAZAR) cuando se copian objetos Cadena
s3:x-amz-server-side-encryption Requiere cifrado en el lado del servidor Cadena
s3:x-amz-server-side-encryption-aws-kms-key-id Requiere una CMK administrada por el cliente de AWS KMS específico para el cifrado del lado del servidor Cadena
s3:x-amz-storage-class Filtra el acceso por clase de almacenamiento. Cadena
s3:x-amz-website-redirect-location Filtra el acceso por una ubicación de redirección de sitios web específica para los bucket configurados como sitios web estáticos Cadena