Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tindakan, sumber daya, dan kunci syarat untuk Amazon S3
Amazon S3 (awalan layanan: s3) menyediakan sumber daya, tindakan, dan kunci konteks kondisi spesifik layanan berikut untuk digunakan dalam kebijakan izin IAM.
Referensi:
-
Pelajari cara mengonfigurasi layanan ini.
-
Lihat daftar Operasi API yang tersedia untuk layanan ini.
-
Pelajari cara mengamankan layanan ini dan sumber dayanya dengan menggunakan kebijakan izin IAM.
Topik
Tindakan yang ditentukan oleh Amazon S3
Anda dapat menyebutkan tindakan berikut dalam elemen Action pernyataan kebijakan IAM. Gunakan kebijakan untuk memberikan izin untuk melaksanakan operasi dalam AWS. Saat Anda menggunakan sebuah tindakan dalam sebuah kebijakan, Anda biasanya mengizinkan atau menolak akses ke operasi API atau perintah CLI dengan nama yang sama. Namun, dalam beberapa kasus, satu tindakan tunggal mengontrol akses ke lebih dari satu operasi. Atau, beberapa operasi memerlukan beberapa tindakan yang berbeda.
Kolom tipe sumber daya pada tabel Tindakan menunjukkan apakah setiap tindakan mendukung izin tingkat sumber daya. Jika tidak ada nilai untuk kolom ini, Anda harus menentukan semua sumber daya (“*”) yang berlaku kebijakan dalam Resource elemen pernyataan kebijakan Anda. Jika kolom mencantumkan jenis sumber daya, maka Anda dapat menyebutkan ARN dengan jenis tersebut dalam sebuah pernyataan dengan tindakan tersebut. Jika tindakan memiliki satu atau lebih sumber daya yang diperlukan, pemanggil harus memiliki izin untuk menggunakan tindakan dengan sumber daya tersebut. Sumber daya yang diperlukan ditunjukkan dalam tabel dengan tanda bintang (*). Jika Anda membatasi akses sumber daya dengan Resource elemen dalam kebijakan IAM, Anda harus menyertakan ARN atau pola untuk setiap jenis sumber daya yang diperlukan. Beberapa tindakan mendukung berbagai jenis sumber daya. Jika jenis sumber daya opsional (tidak ditunjukkan sesuai kebutuhan), maka Anda dapat memilih untuk menggunakan salah satu jenis sumber daya opsional.
Kolom Condition keys pada tabel Actions menyertakan kunci yang dapat Anda tentukan dalam Condition elemen pernyataan kebijakan. Untuk informasi selengkapnya tentang kunci kondisi yang terkait dengan sumber daya untuk layanan, lihat kolom Kunci kondisi pada tabel Jenis sumber daya.
catatan
Kunci kondisi sumber daya tercantum dalam tabel Jenis sumber daya. Anda dapat menemukan tautan ke jenis sumber daya yang berlaku untuk tindakan di kolom Jenis sumber daya (*wajib) pada tabel Tindakan. Jenis sumber daya dalam tabel Jenis sumber daya menyertakan kolom Kunci kondisi, yang merupakan kunci kondisi sumber daya yang berlaku untuk tindakan dalam tabel Tindakan.
Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tindakan.
| Tindakan | Deskripsi | Tingkat akses | Jenis sumber daya (*diperlukan) | Kunci syarat | Tindakan bergantung |
|---|---|---|---|---|---|
| AbortMultipartUpload | Memberikan izin untuk membatalkan unggahan multibagian | Tulis | |||
| AssociateAccessGrantsIdentityCenter | Memberikan izin untuk mengaitkan pusat identitas Access Grants | Tulis | |||
| BypassGovernanceRetention | Memberikan izin untuk memungkinkan pengelakan atas pengaturan penyimpanan objek mode tata kelola | Manajemen izin | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| CreateAccessGrant | Memberikan izin untuk membuat Hibah Akses | Tulis | |||
| CreateAccessGrantsInstance | Memberikan izin untuk Membuat Instans Hibah Akses | Tulis | |||
| CreateAccessGrantsLocation | Memberikan izin untuk membuat lokasi Access Grants | Tulis | |||
| CreateAccessPoint | Memberikan izin untuk membuat titik akses baru | Tulis | |||
| CreateAccessPointForObjectLambda | Memberikan izin untuk membuat titik akses yang mengaktifkan lambda objek | Tulis | |||
| CreateBucket | Memberikan izin untuk membuat bucket baru | Tulis | |||
| CreateJob | Memberikan izin untuk membuat tugas Operasi Batch Amazon S3 baru | Tulis |
iam:PassRole |
||
| CreateMultiRegionAccessPoint | Memberikan izin untuk membuat Titik Akses Multi-Wilayah baru | Tulis | |||
| CreateStorageLensGroup | Memberikan izin untuk membuat grup Lensa Penyimpanan Amazon S3 | Tulis | |||
| DeleteAccessGrant | Memberikan izin untuk menghapus Access Grant | Tulis | |||
| DeleteAccessGrantsInstance | Memberikan izin untuk Menghapus Instans Hibah Akses | Tulis | |||
| DeleteAccessGrantsInstanceResourcePolicy | Memberikan izin untuk membaca Access memberikan kebijakan sumber daya instans | Tulis | |||
| DeleteAccessGrantsLocation | Memberikan izin untuk menghapus lokasi Access Grants | Tulis | |||
| DeleteAccessPoint | Memberikan izin untuk menghapus titik akses yang disebutkan dalam URI | Tulis | |||
| DeleteAccessPointForObjectLambda | Memberikan izin untuk menghapus titik akses yang diaktifkan lambda objek yang disebutkan dalam URI | Tulis | |||
| DeleteAccessPointPolicy | Berikan izin untuk menghapus kebijakan pada titik akses yang ditentukan | Manajemen izin | |||
| DeleteAccessPointPolicyForObjectLambda | Berikan izin untuk menghapus kebijakan pada objek tertentu yang mengaktifkan titik akses lambda | Manajemen izin | |||
| DeleteBucket | Berikan izin untuk menghapus bucket yang namanya tercantum dalam URI | Tulis | |||
| DeleteBucketPolicy | Berikan izin untuk menghapus kebijakan pada bucket yang ditentukan | Manajemen izin | |||
| DeleteBucketWebsite | Berikan izin untuk menghapus konfigurasi situs web untuk bucket | Tulis | |||
| DeleteJobTagging | Berikan izin untuk menghapus tanda dari tugas Operasi Batch Amazon S3 yang ada | Penandaan | |||
| DeleteMultiRegionAccessPoint | Memberikan izin untuk menghapus Titik Akses Multi-Wilayah yang dinamai dalam URI | Tulis | |||
| DeleteObject | Berikan izin untuk menghapus objek versi nol dan masukkan penanda hapus, yang menjadi versi objek saat ini | Tulis | |||
| DeleteObjectTagging | Berikan izin untuk menggunakan sub-sumber daya penandaan untuk menghapus seluruh tanda yang ditetapkan dari objek yang ditentukan | Penandaan | |||
| DeleteObjectVersion | Berikan izin untuk menghapus versi tertentu dari sebuah objek | Tulis | |||
| DeleteObjectVersionTagging | Berikan izin untuk menghapus seluruh tanda yang ditetapkan untuk versi tertentu dari sebuah objek | Penandaan | |||
| DeleteStorageLensConfiguration | Memberikan izin untuk menghapus konfigurasi Lensa Penyimpanan Amazon S3 yang ada | Tulis | |||
| DeleteStorageLensConfigurationTagging | Memberikan izin untuk menghapus tanda dari konfigurasi Lensa Penyimpanan Amazon S3 yang ada | Penandaan | |||
| DeleteStorageLensGroup | Memberikan izin untuk menghapus grup Lensa Penyimpanan S3 yang ada | Tulis | |||
| DescribeJob | Berikan izin untuk mengambil parameter dan status konfigurasi untuk tugas operasi batch | Baca | |||
| DescribeMultiRegionAccessPointOperation | Memberikan izin untuk mengambil konfigurasi untuk Titik Akses Multi-Wilayah | Baca | |||
| DissociateAccessGrantsIdentityCenter | Memberikan izin untuk memisahkan pusat identitas Access Grants | Tulis | |||
| GetAccelerateConfiguration | Berikan izin untuk menggunakan sub-sumber daya akselerasi untuk mengembalikan status Akselerasi Transfer dari suatu bucket, baik yang Diaktifkan atau Ditangguhkan | Baca | |||
| GetAccessGrant | Memberikan izin untuk membaca Hibah Akses | Baca | |||
| GetAccessGrantsInstance | Memberikan izin untuk Membaca Instans Hibah Akses | Baca | |||
| GetAccessGrantsInstanceForPrefix | Memberikan izin untuk Membaca Instans Hibah Akses dengan awalan | Baca | |||
| GetAccessGrantsInstanceResourcePolicy | Memberikan izin untuk membaca Access memberikan kebijakan sumber daya instans | Baca | |||
| GetAccessGrantsLocation | Memberikan izin untuk membaca lokasi Access Grants | Baca | |||
| GetAccessPoint | Berikan izin untuk mengembalikan informasi konfigurasi tentang titik akses yang ditentukan | Baca | |||
| GetAccessPointConfigurationForObjectLambda | memberikan izin untuk mengambil konfigurasi titik akses yang diaktifkan lambda objek | Baca | |||
| GetAccessPointForObjectLambda | Memberikan izin untuk membuat titik akses yang mengaktifkan lambda objek | Baca | |||
| GetAccessPointPolicy | Berikan izin untuk mengembalikan kebijakan titik akses terkait dengan titik akses yang ditentukan | Baca | |||
| GetAccessPointPolicyForObjectLambda | memberikan izin untuk mengembalikan kebijakan titik akses terkait dengan titik akses yang ditentukan lambda objek tertentu | Baca | |||
| GetAccessPointPolicyStatus | Berikan izin untuk mengembalikan status kebijakan untuk kebijakan titik akses tertentu | Baca | |||
| GetAccessPointPolicyStatusForObjectLambda | memberikan izin untuk mengembalikan status kebijakan untuk kebijakan titik akses yang diaktifkan lambda objek tertentu | Baca | |||
| GetAccountPublicAccessBlock | Memberikan izin untuk mengambil PublicAccessBlock konfigurasi untuk Akun AWS | Baca | |||
| GetAnalyticsConfiguration | Berikan izin untuk mendapatkan konfigurasi analitik dari bucket Amazon S3, yang diidentifikasi berdasarkan ID konfigurasi analitik | Baca | |||
| GetBucketAcl | Berikan izin untuk menggunakan sub-sumber daya acl untuk mengembalikan daftar kontrol akses (ACL) bucket Amazon S3 | Baca | |||
| GetBucketCORS | Berikan izin untuk mengembalikan informasi konfigurasi CORS yang ditetapkan untuk bucket Amazon S3 | Baca | |||
| GetBucketLocation | Berikan izin untuk mengembalikan Wilayah tempat bucket Amazon S3 berada | Baca | |||
| GetBucketLogging | Berikan izin untuk mengembalikan status logging bucket Amazon S3 dan izin yang dimiliki pengguna untuk melihat atau memodifikasi status tersebut | Baca | |||
| GetBucketNotification | Berikan izin untuk mendapatkan konfigurasi pemberitahuan bucket Amazon S3 | Baca | |||
| GetBucketObjectLockConfiguration | Berikan izin untuk mendapatkan konfigurasi Kunci Objek dari sebuah bucket Amazon S3 | Baca | |||
| GetBucketOwnershipControls | Berikan izin untuk mengambil kontrol kepemilikan pada bucket | Baca | |||
| GetBucketPolicy | Berikan izin untuk mengembalikan kebijakan dari bucket yang ditentukan | Baca | |||
| GetBucketPolicyStatus | Berikan izin untuk mengambil status kebijakan untuk bucket Amazon S3 tertentu, yang menunjukkan apakah bucket tersebut bersifat publik | Baca | |||
| GetBucketPublicAccessBlock | Memberikan izin untuk mengambil PublicAccessBlock konfigurasi bucket Amazon S3 | Baca | |||
| GetBucketRequestPayment | Berikan izin untuk mengembalikan konfigurasi pembayaran permintaan untuk bucket Amazon S3 | Baca | |||
| GetBucketTagging | Berikan izin untuk mengembalikan rangkaian tanda yang terkait dengan bucket Amazon S3 | Baca | |||
| GetBucketVersioning | Berikan izin untuk mengembalikan kondisi Penentuan Versi bucket Amazon S3 | Baca | |||
| GetBucketWebsite | Berikan izin untuk mengembalikan konfigurasi situs web untuk bucket Amazon S3 | Baca | |||
| GetDataAccess | Memberikan izin untuk mendapatkan Akses | Baca | |||
| GetEncryptionConfiguration | Berikan izin untuk mengembalikan konfigurasi enkripsi bawaan dalam bucket Amazon S3 | Baca | |||
| GetIntelligentTieringConfiguration | Memberikan izin untuk mendapatkan atau daftar semua konfigurasi Amazon S3 Intelligent-Tiering dalam Bucket S3 | Baca | |||
| GetInventoryConfiguration | Berikan izin untuk mengembalikan konfigurasi inventaris dari bucket Amazon S3, yang diidentifikasi berdasarkan ID konfigurasi inventaris | Baca | |||
| GetJobTagging | Berikan izin untuk mengembalikan serangkaian tanda tugas Operasi Batch Amazon S3 yang ada | Baca | |||
| GetLifecycleConfiguration | Berikan izin untuk mengembalikan informasi konfigurasi siklus hidup yang ditetapkan pada bucket Amazon S3 | Baca | |||
| GetMetricsConfiguration | Berikan izin untuk mendapatkan konfigurasi metrik dari bucket Amazon S3 | Baca | |||
| GetMultiRegionAccessPoint | Memberikan izin untuk mengembalikan informasi konfigurasi tentang Titik Akses Multi-Wilayah yang ditentukan | Baca | |||
| GetMultiRegionAccessPointPolicy | Memberikan izin untuk mengembalikan kebijakan titik akses yang terkait dengan Titik Akses Multi-Region yang ditentukan | Baca | |||
| GetMultiRegionAccessPointPolicyStatus | Memberikan izin untuk mengembalikan status kebijakan untuk kebijakan Titik Akses Multi-Wilayah tertentu | Baca | |||
| GetMultiRegionAccessPointRoutes | Memberikan izin untuk mengembalikan konfigurasi rute untuk Titik Akses Multi-Wilayah | Baca | |||
| GetObject | Berikan izin untuk mengambil objek dari Amazon S3 | Baca | |||
| GetObjectAcl | Berikan izin untuk mengembalikan daftar kontrol akses (ACL) dari suatu objek | Baca | |||
| GetObjectAttributes | memberikan izin untuk mengambil atribut yang terkait dengan objek tertentu | Baca | |||
| GetObjectLegalHold | Berikan izin untuk mendapatkan status Legal Hold objek saat ini | Baca | |||
| GetObjectRetention | Berikan izin untuk mengambil pengaturan penyimpanan untuk suatu objek | Baca | |||
| GetObjectTagging | Berikan izin untuk mengembalikan serangkaian tanda dari sebuah objek | Baca | |||
| GetObjectTorrent | Berikan izin untuk mengembalikan file torrent dari bucket Amazon S3 | Baca | |||
| GetObjectVersion | Berikan izin untuk mengambil versi tertentu dari sebuah objek | Baca | |||
| GetObjectVersionAcl | Berikan izin untuk mengembalikan daftar kontrol akses (ACL) versi tertentu dari sebuah objek | Baca | |||
| GetObjectVersionAttributes | Berikan izin untuk mengambil atribut yang terkait dengan versi objek tertentu | Baca | |||
| GetObjectVersionForReplication | Berikan izin untuk mereplikasi objek yang tidak dienkripsi dan objek yang dienkripsi dengan SSE-S3 atau SSE-KMS | Baca | |||
| GetObjectVersionTagging | Berikan izin untuk mengembalikan tanda yang ditetapkan untuk versi tertentu dari sebuah objek | Baca | |||
| GetObjectVersionTorrent | Berikan izin untuk mendapatkan file Torrent tentang versi lain dengan menggunakan sumber daya versionId | Baca | |||
| GetReplicationConfiguration | Berikan izin untuk mendapatkan informasi konfigurasi replikasi yang ditetapkan pada bucket Amazon S3 | Baca | |||
| GetStorageLensConfiguration | memberikan izin untuk mendapatkan konfigurasi Lensa Penyimpanan Amazon S3 yang ada | Baca | |||
| GetStorageLensConfigurationTagging | memberikan izin untuk mendapatkan serangkaian tanda dari konfigurasi Lensa Penyimpanan Amazon S3 yang ada | Baca | |||
| GetStorageLensDashboard | memberikan izin untuk mendapatkan dasbor Lensa Penyimpanan Amazon S3 | Baca | |||
| GetStorageLensGroup | Memberikan izin untuk mendapatkan grup Lensa Penyimpanan Amazon S3 | Baca | |||
| InitiateReplication[hanya izin] | memberikan izin untuk memulai proses replikasi dengan menetapkan status replikasi objek ke pending | Tulis | |||
| ListAccessGrants | Memberikan izin untuk mencantumkan Hibah Akses | Daftar | |||
| ListAccessGrantsInstances | Memberikan izin untuk Daftar Instans Hibah Akses | Daftar | |||
| ListAccessGrantsLocations | Memberikan izin untuk mencantumkan lokasi Access Grants | Daftar | |||
| ListAccessPoints | Berikan izin untuk mencantumkan titik akses | Daftar | |||
| ListAccessPointsForObjectLambda | memberikan izin untuk membuat daftar accesspoint yang diaktifkan lambda objek | Daftar | |||
| ListAllMyBuckets | Berikan izin untuk mencantumkan semua bucket yang dimiliki oleh pengirim permintaan yang diautentikasi | Daftar | |||
| ListBucket | Berikan izin untuk mencantumkan beberapa atau semua objek dalam bucket Amazon S3 (hingga 1000) | Daftar | |||
| ListBucketMultipartUploads | Berikan izin untuk mencantumkan unggahan multibagian yang sedang berlangsung | Daftar | |||
| ListBucketVersions | Berikan izin untuk mencantumkan metadata tentang semua versi objek dalam bucket Amazon S3 | Daftar | |||
| ListJobs | Berikan izin untuk mencantumkan tugas saat ini dan tugas yang berakhir baru-baru ini | Daftar | |||
| ListMultiRegionAccessPoints | Memberikan izin untuk membuat daftar Titik Akses Multi-Wilayah | Daftar | |||
| ListMultipartUploadParts | Berikan izin untuk mencantumkan bagian-bagian yang telah diunggah untuk unggahan multibagian tertentu | Daftar | |||
| ListStorageLensConfigurations | memberikan izin untuk membuat daftar konfigurasi Lensa Penyimpanan Amazon S3 | Daftar | |||
| ListStorageLensGroups | Memberikan izin untuk mencantumkan grup Lensa Penyimpanan S3 | Daftar | |||
| ListTagsForResource | Memberikan izin untuk mencantumkan tag yang dilampirkan ke sumber daya yang ditentukan | Daftar | |||
| ObjectOwnerOverrideToBucketOwner | Berikan izin untuk mengubah kepemilikan replika | Manajemen izin | |||
| PauseReplication[hanya izin] | Memberikan izin untuk menjeda Replikasi S3 dari bucket sumber target ke bucket tujuan | Tulis |
S3:GetReplicationConfiguration S3:PutReplicationConfiguration |
||
| PutAccelerateConfiguration | Berikan izin untuk menggunakan sub-sumber daya akselerasi untuk mengatur status Akselerasi Transfer bucket S3 yang ada | Tulis | |||
| PutAccessGrantsInstanceResourcePolicy | Memberikan izin untuk menempatkan Access memberikan kebijakan sumber daya instance | Tulis | |||
| PutAccessPointConfigurationForObjectLambda | memberikan izin untuk mengambil konfigurasi titik akses yang diaktifkan lambda objek | Tulis | |||
| PutAccessPointPolicy | Berikan izin untuk mengaitkan kebijakan akses dengan titik akses yang ditentukan | Manajemen izin | |||
| PutAccessPointPolicyForObjectLambda | memberikan izin untuk associate kebijakan akses dengan titik akses yang diaktifkan lambda objek tertentu | Manajemen izin | |||
| PutAccessPointPublicAccessBlock | Berikan izin untuk mengaitkan konfigurasi blokir akses publik dengan titik akses yang ditentukan, sambil membuat titik akses | Manajemen izin | |||
| PutAccountPublicAccessBlock | Memberikan izin untuk membuat atau memodifikasi PublicAccessBlock konfigurasi untuk Akun AWS | Manajemen izin | |||
| PutAnalyticsConfiguration | Berikan izin untuk menetapkan konfigurasi analitik untuk bucket, yang ditentukan berdasarkan ID konfigurasi analitik | Tulis | |||
| PutBucketAcl | Berikan izin untuk menetapkan izin pada bucket yang sudah ada dengan menggunakan daftar kontrol akses (ACL) | Manajemen izin | |||
| PutBucketCORS | Berikan izin untuk mengatur konfigurasi CORS untuk bucket Amazon S3 | Tulis | |||
| PutBucketLogging | Berikan izin untuk mengatur parameter logging untuk bucket Amazon S3 | Tulis | |||
| PutBucketNotification | Berikan izin untuk menerima pemberitahuan saat peristiwa tertentu terjadi di bucket Amazon S3 | Tulis | |||
| PutBucketObjectLockConfiguration | Berikan izin untuk menempatkan konfigurasi Kunci Objek pada bucket tertentu | Tulis | |||
| PutBucketOwnershipControls | Berikan izin untuk menambah, mengganti, atau menghapus kontrol kepemilikan pada bucket | Tulis | |||
| PutBucketPolicy | Berikan izin untuk menambah atau mengganti kebijakan bucket pada sebuah bucket | Manajemen izin | |||
| PutBucketPublicAccessBlock | Memberikan izin untuk membuat atau memodifikasi PublicAccessBlock konfigurasi bucket Amazon S3 tertentu | Manajemen izin | |||
| PutBucketRequestPayment | Berikan izin untuk mengatur konfigurasi pembayaran permintaan dari sebuah bucket | Tulis | |||
| PutBucketTagging | Berikan izin untuk menambahkan serangkaian tanda ke bucket Amazon S3 yang ada | Penandaan | |||
| PutBucketVersioning | Berikan izin untuk mengatur status Penentuan Versi bucket Amazon S3 yang ada | Tulis | |||
| PutBucketWebsite | Berikan izin untuk mengatur konfigurasi situs web yang ditentukan dalam sub-sumber daya situs web | Tulis | |||
| PutEncryptionConfiguration | Berikan izin untuk mengatur konfigurasi enkripsi untuk bucket Amazon S3 | Tulis | |||
| PutIntelligentTieringConfiguration | memberikan izin untuk membuat baru atau memperbarui atau menghapus konfigurasi Amazon S3 Intelligent-Tiering yang ada | Tulis | |||
| PutInventoryConfiguration | Berikan izin untuk menambahkan konfigurasi inventaris ke bucket, yang diidentifikasi berdasarkan ID inventaris | Tulis | |||
| PutJobTagging | Berikan izin untuk mengganti tanda pada tugas Operasi Batch Amazon S3 yang ada | Penandaan | |||
| PutLifecycleConfiguration | Berikan izin untuk membuat konfigurasi siklus hidup baru untuk bucket atau mengganti konfigurasi siklus hidup yang sudah ada | Tulis | |||
| PutMetricsConfiguration | Memberikan izin untuk menyetel atau memperbarui konfigurasi metrik untuk metrik CloudWatch permintaan dari bucket Amazon S3 | Tulis | |||
| PutMultiRegionAccessPointPolicy | Memberikan izin untuk mengaitkan kebijakan akses dengan Titik Akses Multi-Wilayah tertentu | Manajemen izin | |||
| PutObject | Berikan izin untuk menambahkan objek ke bucket | Tulis | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| PutObjectAcl | Berikan izin untuk mengatur izin daftar kontrol akses (ACL) untuk objek baru atau yang sudah ada dalam bucket S3 | Manajemen izin | |||
| PutObjectLegalHold | Berikan izin untuk menerapkan konfigurasi Legal Hold pada objek yang ditentukan | Tulis | |||
| PutObjectRetention | Berikan izin untuk menempatkan konfigurasi Retensi Objek pada sebuah objek | Tulis | |||
| PutObjectTagging | Berikan izin untuk menetapkan tag-set yang diberikan pada sebuah objek yang sudah ada dalam bucket | Penandaan | |||
| PutObjectVersionAcl | Berikan izin untuk menggunakan sub-sumber daya acl untuk mengatur izin daftar kontrol akses (ACL) untuk objek yang sudah ada di dalam bucket | Manajemen izin | |||
| PutObjectVersionTagging | Berikan izin untuk menetapkan tag-set yang diberikan untuk versi tertentu dari sebuah objek | Penandaan | |||
| PutReplicationConfiguration | Berikan izin untuk membuat konfigurasi replikasi baru atau mengganti yang sudah ada | Tulis |
iam:PassRole |
||
| PutStorageLensConfiguration | memberikan izin untuk membuat atau memperbarui konfigurasi Lensa Penyimpanan Amazon S3 | Tulis | |||
| PutStorageLensConfigurationTagging | memberikan izin untuk meletakkan atau menghapus tanda dari konfigurasi Lensa Penyimpanan Amazon S3 yang ada | Penandaan | |||
| ReplicateDelete | Berikan izin untuk mereplikasi penanda hapus ke bucket tujuan | Tulis | |||
| ReplicateObject | Berikan izin untuk mereplikasi objek dan tanda objek ke bucket tujuan | Tulis | |||
|
s3:x-amz-server-side-encryption |
|||||
| ReplicateTags | Berikan izin untuk mereplikasi tanda objek ke bucket tujuan | Penandaan | |||
| RestoreObject | Berikan izin untuk memulihkan salinan arsip suatu objek kembali ke Amazon S3 | Tulis | |||
| SubmitMultiRegionAccessPointRoutes | Memberikan izin untuk mengirimkan pembaruan konfigurasi rute untuk Titik Akses Multi-Wilayah | Tulis | |||
| TagResource | Memberikan izin untuk menambahkan tag ke sumber daya yang ditentukan | Penandaan | |||
| UntagResource | Memberikan izin untuk menghapus tag dari sumber daya yang ditentukan | Penandaan | |||
| UpdateAccessGrantsLocation | Memberikan izin untuk memperbarui lokasi Access Grants | Tulis | |||
| UpdateJobPriority | Berikan izin untuk memperbarui prioritas tugas yang ada | Tulis | |||
| UpdateJobStatus | Berikan izin untuk memperbarui status untuk tugas yang ditentukan | Tulis | |||
| UpdateStorageLensGroup | Memberikan izin untuk memperbarui grup Lensa Penyimpanan S3 yang ada | Tulis | |||
Jenis sumber daya yang ditentukan oleh Amazon S3
Jenis sumber daya berikut ditentukan oleh layanan ini dan dapat digunakan dalam elemen Resource pernyataan kebijakan izin IAM. Setiap tindakan dalam Tabel tindakan mengidentifikasi jenis sumber daya yang dapat ditentukan dengan tindakan tersebut. Jenis sumber daya juga dapat menentukan kunci kondisi mana yang dapat Anda sertakan dalam kebijakan. Kunci-kunci ini ditampilkan di kolom terakhir tabel. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tipe sumber daya.
| Jenis sumber daya | ARN | Kunci syarat |
|---|---|---|
| accesspoint |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| object |
arn:${Partition}:s3:::${BucketName}/${ObjectName}
|
|
| job |
arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
|
|
| storagelensconfiguration |
arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}
|
|
| storagelensgroup |
arn:${Partition}:s3:${Region}:${Account}:storage-lens-group/${Name}
|
|
| objectlambdaaccesspoint |
arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| multiregionaccesspoint |
arn:${Partition}:s3::${Account}:accesspoint/${AccessPointAlias}
|
|
| multiregionaccesspointrequestarn |
arn:${Partition}:s3:us-west-2:${Account}:async-request/mrap/${Operation}/${Token}
|
|
| accessgrantsinstance |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default
|
|
| accessgrantslocation |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/location/${Token}
|
|
| accessgrant |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/grant/${Token}
|
Kunci syarat untuk Amazon S3
Amazon S3 menentukan kunci kondisi berikut ini yang dapat digunakan dalam elemen Condition kebijakan IAM. Anda dapat menggunakan kunci ini untuk menyempurnakan syarat lebih lanjut saat pernyataan kebijakan berlaku. Untuk detail tentang kolom dalam tabel berikut, lihat Tabel tombol kondisi.
Untuk melihat kunci kondisi global yang tersedia untuk semua layanan, lihat Kunci kondisi global yang tersedia.
| Kunci syarat | Deskripsi | Jenis |
|---|---|---|
| aws:RequestTag/${TagKey} | Filter akses berdasarkan tanda yang diberikan dalam permintaan | String |
| aws:ResourceTag/${TagKey} | Filter akses dengan tanda yang terkait dengan sumber daya | String |
| aws:TagKeys | Filter akses berdasarkan kunci tanda yang diberikan dalam permintaan | ArrayOfTali |
| s3:AccessGrantsInstanceArn | Memfilter akses dengan akses memberikan contoh ARN | ARN |
| s3:AccessPointNetworkOrigin | Filter akses berdasarkan asal jaringan (Internet atau VPC) | String |
| s3:DataAccessPointAccount | Memfilter akses dengan ID AWS Akun yang memiliki titik akses | String |
| s3:DataAccessPointArn | Filter akses berdasarkan titik akses Amazon Resource Name (ARN) | ARN |
| s3:ExistingJobOperation | Filter akses untuk memperbarui prioritas tugas berdasarkan operasi | String |
| s3:ExistingJobPriority | Filter akses untuk membatalkan tugas yang ada berdasarkan rentang prioritas | Numerik |
| s3:ExistingObjectTag/<key> | Filter akses berdasarkan kunci dan nilai tanda objek yang ada | String |
| s3:InventoryAccessibleOptionalFields | Memfilter akses dengan membatasi bidang metadata opsional mana yang dapat ditambahkan pengguna saat mengonfigurasi laporan Inventaris S3 | ArrayOfTali |
| s3:JobSuspendedCause | Filter akses berdasarkan penyebab tugas tertentu yang ditangguhkan (misalnya, AWAITING_CONFIRMATION) untuk membatalkan tugas yang ditangguhkan | String |
| s3:RequestJobOperation | Filter akses untuk membuat tugas berdasarkan operasi | String |
| s3:RequestJobPriority | Filter akses untuk membuat tugas baru berdasarkan rentang prioritas | Numerik |
| s3:RequestObjectTag/<key> | Filter akses berdasarkan kunci dan nilai tanda yang akan ditambahkan ke objek | String |
| s3:RequestObjectTagKeys | Filter akses berdasarkan kunci tanda yang akan ditambahkan ke objek | ArrayOfTali |
| s3:ResourceAccount | Memfilter akses oleh Akun AWS ID pemilik sumber daya | String |
| s3:TlsVersion | Akses filter oleh versi TLS yang digunakan oleh klien | Numerik |
| s3:authType | Filter akses berdasarkan metode autentikasi | String |
| s3:delimiter | Filter akses berdasarkan parameter pembatas | String |
| s3:destinationRegion | Memfilter akses berdasarkan wilayah tujuan replikasi tertentu untuk bucket yang ditargetkan dari tindakan FIS AWS aws:s3:bucket-pause-replication | String |
| s3:isReplicationPauseRequest | Memfilter akses berdasarkan permintaan yang dibuat melalui tindakan FIS aws:s3: AWS bucket-pause-replication | Bool |
| s3:locationconstraint | Filter akses berdasarkan Wilayah tertentu | String |
| s3:max-keys | Memfilter akses dengan jumlah maksimum kunci yang dikembalikan dalam ListBucket permintaan | Numerik |
| s3:object-lock-legal-hold | Filter akses berdasarkan status legal hold objek | String |
| s3:object-lock-mode | Filter akses berdasarkan mode retensi objek (COMPLIANCE atau GOVERNANCE) | String |
| s3:object-lock-remaining-retention-days | Filter akses berdasarkan sisa hari retensi objek | Numerik |
| s3:object-lock-retain-until-date | Filter akses berdasarkan objek yang dipertahankan sampai tanggal | Tanggal |
| s3:prefix | Filter akses berdasarkan prefiks nama kunci | String |
| s3:signatureAge | Filter akses berdasarkan usia tanda tangan permintaan dalam milidetik | Numerik |
| s3:signatureversion | Memfilter akses berdasarkan versi AWS Signature yang digunakan pada permintaan | String |
| s3:versionid | Filter akses berdasarkan versi objek tertentu | String |
| s3:x-amz-acl | Memfilter akses dengan ACL kalengan di header permintaan x-amz-acl | String |
| s3:x-amz-content-sha256 | Filter akses berdasarkan konten yang belum ditandatangani dalam bucket Anda | String |
| s3:x-amz-copy-source | Filter akses dengan bucket sumber penyalinan, prefiks, atau objek dalam permintaan objek salin | String |
| s3:x-amz-grant-full-control | Memfilter akses dengan x-amz-grant-full -control (kontrol penuh) header | String |
| s3:x-amz-grant-read | Memfilter akses dengan header x-amz-grant-read (akses baca) | String |
| s3:x-amz-grant-read-acp | Memfilter akses oleh header x-amz-grant-read -acp (baca izin untuk ACL) | String |
| s3:x-amz-grant-write | Memfilter akses dengan header x-amz-grant-write (akses tulis) | String |
| s3:x-amz-grant-write-acp | Memfilter akses oleh header x-amz-grant-write -acp (tulis izin untuk ACL) | String |
| s3:x-amz-metadata-directive | Filter akses berdasarkan perilaku metadata objek (COPY atau REPLACE) saat objek disalin | String |
| s3:x-amz-object-ownership | Filter akses berdasarkan Kepemilikan Object | String |
| s3:x-amz-server-side-encryption | Filter akses berdasarkan enkripsi server-side | String |
| s3:x-amz-server-side-encryption-aws-kms-key-id | Memfilter akses oleh CMK yang dikelola pelanggan AWS KMS untuk enkripsi sisi server | ARN |
| s3:x-amz-server-side-encryption-customer-algorithm | Filter akses berdasarkan algoritma tertentu pelanggan untuk enkripsi server-side | String |
| s3:x-amz-storage-class | Filter akses berdasarkan kelas penyimpanan | String |
| s3:x-amz-website-redirect-location | Filter akses berdasarkan lokasi pengalihan situs web tertentu untuk bucket yang dikonfigurasi sebagai situs web statis | String |
