Actions, ressources et clés de condition pour Amazon S3 - Amazon Simple Storage Service

Ce guide ne fait plus l'objet de mises à jour. Pour obtenir des informations et des instructions actuelles, reportez-vous au nouveau Guide de l'utilisateur Amazon S3.

Actions, ressources et clés de condition pour Amazon S3

Amazon S3 (préfixe de service : s3) fournit les ressources, les actions et les clés de contexte de condition spécifiques au service suivantes en vue de leur utilisation dans les stratégies d'autorisation IAM.

Références :

Actions définies par Amazon S3

Vous pouvez spécifier les actions suivantes dans l'élément Action d'une déclaration de stratégie IAM. Utilisez des stratégies pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une stratégie, vous autorisez ou refusez généralement l'accès à l'opération d'API ou à la commande de l'interface de ligne de commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.

La colonne Resource Types (Types de ressources) indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez spécifier toutes les ressources (« * ») dans l'élément Resource de votre déclaration de stratégie. Si la colonne inclut un type de ressource, vous pouvez spécifier un ARN de ce type dans une déclaration avec cette action. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous spécifiez un ARN d'autorisation au niveau des ressources dans une déclaration à l'aide de cette action, il doit être de ce type. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.

Actions Description Niveau d'accès Types de ressource (*obligatoire) Clés de condition Actions dépendantes
AbortMultipartUpload Octroie l'autorisation d'abandonner un téléchargement en plusieurs parties Écrire

object*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

BypassGovernanceRetention Octroie l'autorisation de contourner des paramètres de rétention d'objets en mode gouvernance Gestion des autorisations

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

CreateAccessPoint Octroie l'autorisation de créer un nouveau point d'accès Écrire

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:locationconstraint

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

CreateBucket Octroie l'autorisation de créer un nouveau compartiment Écrire

bucket*

s3:authType

s3:locationconstraint

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

CreateJob Octroie l'autorisation de créer une tâche d'opérations par lots Amazon S3 Écrire

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:RequestJobOperation

aws:TagKeys

aws:RequestTag/${TagKey}

iam:PassRole

DeleteAccessPoint Octroie l'autorisation de supprimer le point d'accès nommé dans l'URI Écrire

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteAccessPointPolicy Octroie l'autorisation de supprimer la stratégie sur un point d'accès spécifié Gestion des autorisations

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucket Octroie l'autorisation de supprimer le compartiment nommé dans l'URI Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucketOwnershipControls Octroie l'autorisation de supprimer les contrôles de propriété sur un compartiment Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucketPolicy Octroie l'autorisation de supprimer la stratégie sur un compartiment spécifié Gestion des autorisations

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucketWebsite Octroie l'autorisation de supprimer la configuration du site web pour un compartiment Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteJobTagging Octroie l'autorisation de supprimer des balises d'une tâche d'opérations par lots Amazon S3 existante Ajout de balises

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

DeleteObject Octroie l'autorisation de supprimer la version nulle d'un objet et d'insérer un marqueur de suppression, qui devient la version actuelle de l'objet Écrire

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteObjectTagging Octroie l'autorisation d'utiliser la sous-ressource de balisage pour supprimer l'ensemble de balises de l'objet spécifié Ajout de balises

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteObjectVersion Octroie l'autorisation de supprimer une version spécifique d'un objet Écrire

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

DeleteObjectVersionTagging Octroie l'autorisation de supprimer l'ensemble de balises pour une version spécifique de l'objet Ajout de balises

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

DescribeJob Octroie l'autorisation de récupérer les paramètres de configuration et l'état d'une tâche d'opérations par lots Lisez

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccelerateConfiguration Octroie l'autorisation d'utiliser la sous-ressource d'accélération pour renvoyer l'état Transfer Acceleration d'un compartiment, qui est Activé ou Suspendu Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPoint Octroie l'autorisation de renvoyer des informations sur la configuration spécifiée. Lisez

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPointPolicy Octroie l'autorisation de renvoyer la stratégie de point d'accès associée au point d'accès spécifié Lisez

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPointPolicyStatus Octroie l'autorisation de renvoyer l'état de la stratégie pour une stratégie de point d'accès spécifique Lisez

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccountPublicAccessBlock Octroie l'autorisation de récupérer la configuration PublicAccessBlock pour un compte AWS Lisez

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAnalyticsConfiguration Octroie l'autorisation d'obtenir une configuration analytique à partir d'un compartiment Amazon S3, identifié par l'ID de configuration analytique Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketAcl Octroie l'autorisation d'utiliser la sous-ressource acl pour renvoyer la liste de contrôle d'accès (ACL) d'un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketCORS Octroie l'autorisation de renvoyer le jeu d'informations de configuration CORS pour un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketLocation Octroie l'autorisation de renvoyer la région dans laquelle réside un compartiment Amazon S3 Lisez

bucket*

GetBucketLogging Octroie l'autorisation de renvoyer l'état de journalisation d'un compartiment Amazon S3 et les autorisations dont disposent les utilisateurs pour afficher ou modifier cet état Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketNotification Octroie l'autorisation d'obtenir la configuration de notification d'un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketObjectLockConfiguration Octroie l'autorisation d'obtenir la configuration de verrouillage d'objet d'un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

GetBucketOwnershipControls Octroie l'autorisation de récupérer les contrôles de propriété sur un compartiment Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketPolicy Octroie l'autorisation de renvoyer la stratégie du compartiment spécifié Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketPolicyStatus Octroie l'autorisation de récupérer l'état de la stratégie pour un compartiment Amazon S3 spécifique, ce qui indique si le compartiment est public Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketPublicAccessBlock Octroie l'autorisation de récupérer la configuration PublicAccessBlock pour un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketRequestPayment Octroie l'autorisation de renvoyer la configuration de la demande de paiement pour un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketTagging Octroie l'autorisation de renvoyer le jeu de balises associé à un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketVersioning Octroie l'autorisation de renvoyer l'état de gestion des versions d'un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketWebsite Octroie l'autorisation de renvoyer la configuration du site web pour un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetEncryptionConfiguration Octroie l'autorisation de renvoyer la configuration de chiffrement par défaut pour un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetInventoryConfiguration Octroie l'autorisation de renvoyer une configuration de stock à partir d'un compartiment Amazon S3, identifié par l'ID de configuration de stock Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetJobTagging Octroie l'autorisation de renvoyer le jeu de balises d'une tâche d'opérations par lots Amazon S3 existante Lisez

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetLifecycleConfiguration Octroie l'autorisation de renvoyer les informations de configuration du cycle de vie définies sur un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetMetricsConfiguration Octroie l'autorisation d'obtenir une configuration de métriques à partir d'un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObject Octroie l'autorisation de récupérer des objets à partir d'Amazon S3 Lisez

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectAcl Octroie l'autorisation de renvoyer la liste de contrôle d'accès (ACL) d'un objet Lisez

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectLegalHold Octroie l'autorisation d'obtenir le statut de blocage légal actuel d'un objet Lisez

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectRetention Octroie l'autorisation de récupérer les paramètres de rétention d'un objet Lisez

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectTagging Octroie l'autorisation de renvoyer le jeu de balises d'un objet Lisez

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectTorrent Octroie l'autorisation de renvoyer des fichiers torrent à partir d'un compartiment Amazon S3 Lisez

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectVersion Octroie l'autorisation de récupérer une version spécifique d'un objet Lisez

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionAcl Octroie l'autorisation de renvoyer la liste de contrôle d'accès (ACL) d'une version d'objet spécifique Lisez

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionForReplication Octroie l'autorisation de répliquer à la fois des objets non chiffrés et des objets chiffrés avec SSE-S3 ou SSE-KMS Lisez

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectVersionTagging Octroie l'autorisation de renvoyer le jeu de balises pour une version spécifique de l'objet Lisez

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionTorrent Octroie l'autorisation d'obtenir des fichiers Torrent sur une version différente à l'aide de la sous-ressource VersionID Lisez

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetReplicationConfiguration Octroie l'autorisation d'obtenir les informations de configuration de réplication définies sur un compartiment Amazon S3 Lisez

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListAccessPoints Octroie l'autorisation de répertorier les points d'accès Lisez

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListAllMyBuckets Octroie l'autorisation de répertorier tous les compartiments appartenant à l'expéditeur authentifié de la demande Liste

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListBucket Octroie l'autorisation de répertorier tout ou partie des objets d'un compartiment Amazon S3 (jusqu'à 1 000) Liste

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:delimiter

s3:max-keys

s3:prefix

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListBucketMultipartUploads Octroie l'autorisation de répertorier les téléchargements en plusieurs parties en cours Liste

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListBucketVersions Octroie l'autorisation de répertorier les métadonnées sur toutes les versions d'objets d'un compartiment Amazon S3 Liste

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:delimiter

s3:max-keys

s3:prefix

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListJobs Octroie l'autorisation de répertorier les tâches en cours et les tâches terminées récemment Liste

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListMultipartUploadParts Octroie l'autorisation de répertorier les articles qui ont été téléchargés pour un chargement en plusieurs parties spécifique Liste

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ObjectOwnerOverrideToBucketOwner Octroie des autorisations pour modifier la propriété de réplica Gestion des autorisations

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAccelerateConfiguration Octroie l'autorisation d'utiliser la sous-ressource d'accélération pour définir l'état Transfer Acceleration d'un compartiment S3 existant Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAccessPointPolicy Octroie l'autorisation d'associer une stratégie d'accès à un point d'accès spécifié Gestion des autorisations

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAccountPublicAccessBlock Octroie l'autorisation de créer ou de modifier la configuration PublicAccessBlock pour un compte AWS. Gestion des autorisations

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAnalyticsConfiguration Octroie l'autorisation de définir une configuration d'analyse pour le compartiment, spécifiée par l'ID de configuration d'analyse Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketAcl Octroie l'autorisation de définir les autorisations sur un compartiment existant à l'aide de listes de contrôle d'accès (ACL) Gestion des autorisations

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

PutBucketCORS Octroie l'autorisation de définir la configuration CORS pour un compartiment Amazon S3 Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketLogging Octroie l'autorisation de définir les paramètres de journalisation pour un compartiment Amazon S3 Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketNotification Octroie l'autorisation de recevoir des notifications lorsque certains événements se produisent dans un compartiment Amazon S3 Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketObjectLockConfiguration Octroie l'autorisation de placer la configuration de verrouillage d'objet sur un compartiment spécifique Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

PutBucketOwnershipControls Octroie l'autorisation d'ajouter ou de remplacer des contrôles de propriété sur un compartiment Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketPolicy Octroie l'autorisation d'ajouter ou de remplacer une stratégie de compartiment sur un compartiment Gestion des autorisations

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketPublicAccessBlock Octroie l'autorisation de créer ou de modifier la configuration de PublicAccessBlock pour un compartiment Amazon S3 spécifique Gestion des autorisations

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketRequestPayment Octroie l'autorisation de définir la configuration de demande de paiement d'un compartiment Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketTagging Octroie l'autorisation d'ajouter un ensemble de balises à un compartiment Amazon S3 existant Ajout de balises

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketVersioning Octroie l'autorisation de définir l'état de gestion des versions d'un compartiment Amazon S3 existant Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketWebsite Octroie l'autorisation de définir la configuration du site web qui est spécifié dans la sous-ressource website. Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutEncryptionConfiguration Octroie l'autorisation de définir la configuration de chiffrement pour un compartiment Amazon S3 Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutInventoryConfiguration Octroie l'autorisation d'ajouter une configuration de stock au compartiment, identifiée par l'ID de stock Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutJobTagging Octroie l'autorisation de remplacer des balises sur une tâche d'opérations par lots Amazon S3 existante Ajout de balises

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

aws:TagKeys

aws:RequestTag/${TagKey}

PutLifecycleConfiguration Octroie l'autorisation de créer une nouvelle configuration de cycle de vie pour le compartiment ou de remplacer une configuration de cycle de vie existante Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutMetricsConfiguration Octroie l'autorisation de définir ou de mettre à jour une configuration de métriques pour les métriques de demande CloudWatch à partir d'un compartiment Amazon S3 Écrire

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutObject Octroie l'autorisation d'ajouter un objet à un compartiment Écrire

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

PutObjectAcl Octroie l'autorisation de définir les autorisations de liste de contrôle d'accès (ACL) pour des objets nouveaux ou existants dans un compartiment S3. Gestion des autorisations

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectLegalHold Octroie l'autorisation d'appliquer une configuration de blocage légal à l'objet spécifié Écrire

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:object-lock-legal-hold

PutObjectRetention Octroie l'autorisation de placer une configuration de rétention d'objet sur un objet Écrire

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

PutObjectTagging Octroie l'autorisation de définir le jeu de balises fourni sur un objet qui existe déjà dans un compartiment Ajout de balises

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutObjectVersionAcl Octroie l'autorisation d'utiliser la sous-ressource acl pour définir les autorisations de liste de contrôle d'accès (ACL) pour un objet qui existe déjà dans un compartiment Gestion des autorisations

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectVersionTagging Octroie l'autorisation de définir le jeu de balises fourni pour une version spécifique d'un objet Ajout de balises

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

PutReplicationConfiguration Octroie l'autorisation de créer une nouvelle configuration de réplication ou de remplacer une configuration existante Écrire

bucket*

iam:PassRole

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ReplicateDelete Octroie l'autorisation de répliquer les marqueurs de suppression vers le compartiment de destination Écrire

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ReplicateObject Octroie l'autorisation de répliquer des objets et des balises d'objet vers le compartiment de destination Écrire

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

ReplicateTags Octroie l'autorisation de répliquer les balises d'objet vers le compartiment de destination Ajout de balises

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

RestoreObject Octroie l'autorisation de restaurer une copie archivée d'un objet dans Amazon S3 Écrire

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

UpdateJobPriority Octroie l'autorisation de mettre à jour la priorité d'une tâche existante Écrire

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:ExistingJobPriority

s3:ExistingJobOperation

UpdateJobStatus Octroie l'autorisation de mettre à jour l'état de la tâche spécifiée Écrire

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

s3:JobSuspendedCause

Types de ressources définis par Amazon S3

Ce service définit les types de ressources suivants, qui peuvent être utilisés dans l'élément Resource des instructions de stratégie d'autorisation IAM. Chaque action de la table Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une stratégie. Ces clés sont affichées dans la dernière colonne du tableau.

Types de ressource ARN Clés de condition
accesspoint arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
bucket arn:${Partition}:s3:::${BucketName}
object arn:${Partition}:s3:::${BucketName}/${ObjectName}
job arn:${Partition}:s3:${Region}:${Account}:job/${JobId}

Clés de condition pour Amazon S3

Amazon S3 définit les clés de condition suivantes que vous pouvez utiliser dans l'élément Condition d'une stratégie IAM. Vous pouvez utiliser ces clés pour affiner les conditions d'application de l'instruction de stratégie.

Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.

Clés de condition Description Type
aws:RequestTag/${TagKey} Filtre les actions en fonction des balises qui sont passées dans la demande String
aws:ResourceTag/${TagKey} Filtre les actions en fonction des balises associées à la ressource. String
aws:TagKeys Filtre les actions en fonction des clés de balise qui sont transmises dans la demande String
s3:AccessPointNetworkOrigin Filtre l'accès par origine du réseau (Internet ou VPC) String
s3:DataAccessPointAccount Filtre l'accès par ID de compte AWS qui possède le point d'accès String
s3:DataAccessPointArn Filtre l'accès par point d'accès Amazon Resource Name (ARN) String
s3:ExistingJobOperation Filtre l'accès à la mise à jour de la priorité de la tâche par opération String
s3:ExistingJobPriority Filtre l'accès à l'annulation des tâches existantes par plage de priorités Numérique
s3:ExistingObjectTag/<key> Filtre l'accès par clé et valeur de balise d'objet existantes String
s3:JobSuspendedCause Filtre l'accès à l'annulation des tâches suspendues en fonction d’une cause spécifique de tâche suspendue (par exemple, AWAITING_CONFIRMATION). String
s3:LocationConstraint Filtre l'accès par région spécifique String
s3:RequestJobOperation Filtre l'accès à la création de tâches par opération String
s3:RequestJobPriority Filtre l'accès à la création de nouvelles tâches par plage de priorités. Numérique
s3:RequestObjectTag/<key> Filtre l'accès par les clés de balise et les valeurs à ajouter aux objets String
s3:RequestObjectTagKeys Filtre l'accès par les clés de balise à ajouter aux objets Chaîne
s3:VersionId Filtre l'accès en fonction d’une version d'objet spécifique String
s3:authType Filtre l'accès par méthode d'authentification String
s3:delimiter Filtre l'accès par paramètre de délimiteur String
s3:locationconstraint Filtre l'accès par région spécifique String
s3:max-keys Filtre l'accès par le nombre maximal de clés renvoyées dans une demande ListBucket Numérique
s3:object-lock-legal-hold Filtre l'accès par statut de mise en suspens juridique de l'objet String
s3:object-lock-mode Filtre l'accès par mode de rétention de l'objet (CONFORMITÉ ou GOUVERNANCE) String
s3:object-lock-remaining-retention-days Filtre l'accès en fonction du nombre de jours de rétention restants pour l'objet String
s3:object-lock-retain-until-date Filtre l'accès par date limite de rétention de l'objet String
s3:prefix Filtre l'accès par préfixe de nom de clé Chaîne
s3:signatureAge Filtre l'accès en fonction de l'âge (en millisecondes) de la signature de la demande Numérique
s3:signatureversion Filtre l'accès en fonction de la version d'AWS Signature utilisée dans la demande String
s3:versionid Filtre l'accès en fonction d’une version d'objet spécifique String
s3:x-amz-acl Filtre l'accès en fonction des listes ACL prédéfinies dans l'en-tête x-amz-acl de la demande Chaîne
s3:x-amz-content-sha256 Filtre l'accès au contenu non signé dans votre compartiment Chaîne
s3:x-amz-copy-source Filtre l'accès aux demandes ayant un compartiment, un préfixe ou un objet spécifique comme source de copie String
s3:x-amz-grant-full-control Filtre l'accès aux demandes ayant l'en-tête x-amz-grant-full-control (contrôle total) Chaîne
s3:x-amz-grant-read Filtre l'accès aux demandes ayant l'en-tête x-amz-grant-read (accès en lecture) Chaîne
s3:x-amz-grant-read-acp Filtre l'accès aux demandes ayant l'en-tête x-amz-grant-read-acp (autorisations de lecture pour les listes ACL) Chaîne
s3:x-amz-grant-write Filtre l'accès aux demandes ayant l'en-tête x-amz-grant-write (accès en écriture) Chaîne
s3:x-amz-grant-write-acp Filtre l'accès aux demandes ayant l'en-tête x-amz-grant-write-acp (autorisations d'écriture pour les listes ACL) String
s3:x-amz-metadata-directive Filtre l'accès par comportement de métadonnées d'objet (COPY ou REPLACE) lorsque les objets sont copiés String
s3:x-amz-server-side-encryption Filtre l'accès par chiffrement côté serveur Chaîne
s3:x-amz-server-side-encryption-aws-kms-key-id Filtre l'accès par clé CMK gérée par le client AWS KMS pour le chiffrement côté serveur Chaîne
s3:x-amz-storage-class Filtre l'accès par classe de stockage. String
s3:x-amz-website-redirect-location Filtre l'accès par emplacement de redirection de site web spécifique pour les compartiments configurés en tant que sites web statiques Chaîne