Amazon S3 のアクション、リソース、条件キー
Amazon S3 (サービスプレフィックス: s3) には、IAM アクセス許可ポリシーで使用できる以下のサービス固有のリソース、アクション、条件コンテキストキーが用意されています。
注記
IAM ポリシーおよび Amazon S3 バケットポリシーで以下にリストされているアクションを使用して、特定の Amazon S3 API オペレーションに対する許可を付与します。ほとんどのアクションには関連付けられている API オペレーションと同じ名前が付いていますが、API オペレーションとアクションの名前が異なる場合もあります。さらに、単一のアクションで複数のオペレーションへのアクセスを制御できますが、いくつかの異なるアクションが必要になるオペレーションもあります。
リファレンス:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon S3 で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource エレメントですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AbortMultipartUpload | マルチパートアップロードを中止するアクセス許可を付与 | Write | |||
| BypassGovernanceRetention | ガバナースモードのオブジェクトリテンション設定の回避を可能にするアクセス許可を付与します | Permissions management | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| CreateAccessPoint | 新しいアクセスポイントを作成するアクセス許可を付与します | Write | |||
| CreateAccessPointForObjectLambda | オブジェクト Lambda 対応のアクセスポイントを作成するアクセス許可を付与します | Write | |||
| CreateBucket | 新しいバケットを作成するアクセス許可を付与します | Write | |||
| CreateJob | 新しい Amazon S3 バッチオペレーションジョブを作成するアクセス許可を付与します | 書き込み |
iam:PassRole |
||
| CreateMultiRegionAccessPoint | 新しいマルチリージョンアクセスポイントを作成する許可を付与 | 書き込み | |||
| DeleteAccessPoint | URI で指定されたアクセスポイントを削除するアクセス許可を付与します | Write | |||
| DeleteAccessPointForObjectLambda | URI で指定されたオブジェクト Lambda 対応アクセスポイントを削除するアクセス許可を付与します | Write | |||
| DeleteAccessPointPolicy | 指定したアクセスポイントでポリシーを削除するアクセス許可を付与します | Permissions management | |||
| DeleteAccessPointPolicyForObjectLambda | 指定されたオブジェクト Lambda が有効なアクセスポイントでポリシーを削除するアクセス許可を付与します | Permissions management | |||
| DeleteBucket | URI で指定されたバケットを削除するアクセス許可を付与します | Write | |||
| DeleteBucketPolicy | 指定したバケットのポリシーを削除するアクセス許可を付与します | Permissions management | |||
| DeleteBucketWebsite | バケットのウェブサイト設定を削除するアクセス許可を付与します | Write | |||
| DeleteJobTagging | 既存の Amazon S3 バッチオペレーションジョブからタグを削除するアクセス許可を付与します | タグ付け | |||
| DeleteMultiRegionAccessPoint | URI で指定されたマルチリージョンアクセスポイントを削除する許可を付与 | 書き込み | |||
| DeleteObject | オブジェクトの null バージョンを削除し、削除マーカーを挿入する許可を付与。このマーカーは、オブジェクトの現在のバージョンになります | Write | |||
| DeleteObjectTagging | タグ付けサブリソースを使用して、指定したオブジェクトからタグセット全体を削除するアクセス許可を付与 | タグ付け | |||
| DeleteObjectVersion | 特定のバージョンのオブジェクトを削除するアクセス許可を付与 | Write | |||
| DeleteObjectVersionTagging | オブジェクトの特定のバージョンのタグセット全体を削除するアクセス許可を付与 | タグ付け | |||
| DeleteStorageLensConfiguration | 既存の Amazon S3 Storage Lens 設定を削除するアクセス許可を付与します | Write | |||
| DeleteStorageLensConfigurationTagging | 既存の Amazon S3 Storage Lens 設定からタグを削除するアクセス許可を付与します | タグ付け | |||
| DescribeJob | バッチオペレーションジョブの設定パラメータとステータスを取得するアクセス許可を付与します | Read | |||
| DescribeMultiRegionAccessPointOperation | マルチリージョンアクセスポイントの設定を取得する許可を付与 | Read | |||
| GetAccelerateConfiguration | Accelerate サブリソースを使用してバケットの Transfer Acceleration 状態 (Enabled または Suspended) を返すアクセス許可を付与します | Read | |||
| GetAccessPoint | 指定したアクセスポイントに関する設定情報を返すアクセス許可を付与します | Read | |||
| GetAccessPointConfigurationForObjectLambda | オブジェクト Lambda 対応アクセスポイントの設定を取得するためのアクセス許可を付与します | Read | |||
| GetAccessPointForObjectLambda | オブジェクト Lambda 対応のアクセスポイントを作成するアクセス許可を付与します | Read | |||
| GetAccessPointPolicy | 指定したアクセスポイントに関連付けられたアクセスポイントポリシーを返すアクセス許可を付与します | Read | |||
| GetAccessPointPolicyForObjectLambda | 指定したオブジェクト Lambda 対応のアクセスポイントに関連付けられたアクセスポイントポリシーを返すアクセス許可を付与します | Read | |||
| GetAccessPointPolicyStatus | 特定のアクセスポイントポリシーのポリシーステータスを返すアクセス許可を付与します | Read | |||
| GetAccessPointPolicyStatusForObjectLambda | 特定のオブジェクト Lambda アクセスポイントポリシーのポリシーステータスを返すアクセス許可を付与します | Read | |||
| GetAccountPublicAccessBlock | AWS アカウントの PublicAccessBlock 設定を取得する許可を付与します | Read | |||
| GetAnalyticsConfiguration | Amazon S3 バケットから分析設定を取得するアクセス許可を付与します。このアクセス許可は、分析設定 ID で識別されます | Read | |||
| GetBucketAcl | acl サブリソースを使用して Amazon S3 バケットのアクセスコントロールリスト (ACL) を返すアクセス許可を付与します。 | Read | |||
| GetBucketCORS | Amazon S3 バケットに設定された CORS 設定情報を返すアクセス許可を付与します | Read | |||
| GetBucketLocation | Amazon S3 バケットが存在するリージョンを返すアクセス許可を付与します | Read | |||
| GetBucketLogging | Amazon S3 バケットのログ記録ステータスを返すアクセス許可と、ユーザーがそのステータスを表示または変更する必要があるアクセス許可を付与します | Read | |||
| GetBucketNotification | Amazon S3 バケットの通知設定を取得するアクセス許可を付与します | Read | |||
| GetBucketObjectLockConfiguration | Amazon S3 バケットのオブジェクトロック設定を取得するアクセス許可を付与します | Read | |||
| GetBucketOwnershipControls | バケットの所有権コントロールを取得するためのアクセス許可を付与します | Read | |||
| GetBucketPolicy | 指定したバケットのポリシーを返すアクセス許可を付与します | Read | |||
| GetBucketPolicyStatus | 特定の Amazon S3 バケットのポリシーステータスを取得するアクセス許可を付与します。これは、バケットがパブリックかどうかを示します | Read | |||
| GetBucketPublicAccessBlock | Amazon S3 バケットの PublicAccessBlock 設定を取得するアクセス許可を付与します | Read | |||
| GetBucketRequestPayment | Amazon S3 バケットのリクエスト支払い設定を返すアクセス許可を付与します | Read | |||
| GetBucketTagging | Amazon S3 バケットに関連付けられたタグセットを返すアクセス許可を付与します | Read | |||
| GetBucketVersioning | Amazon S3 バケットのバージョニング状態を返すアクセス許可を付与します | Read | |||
| GetBucketWebsite | Amazon S3 バケットのウェブサイト設定を返すアクセス許可を付与します | Read | |||
| GetEncryptionConfiguration | Amazon S3 バケットにデフォルトの暗号化設定を返すアクセス許可を付与します | Read | |||
| GetIntelligentTieringConfiguration | S3 バケット内のすべての Amazon S3 Intelligent Tiering 設定を取得または一覧表示する権限を付与します | Read | |||
| GetInventoryConfiguration | Amazon S3 バケットからインベントリ設定を返すアクセス許可を付与します。このアクセス許可は、インベントリ設定 ID で識別されます | Read | |||
| GetJobTagging | 既存の Amazon S3 バッチオペレーションジョブのタグセットを返すアクセス許可を付与します | Read | |||
| GetLifecycleConfiguration | Amazon S3 バケットに設定されたライフサイクル設定情報を返すアクセス許可を付与します | Read | |||
| GetMetricsConfiguration | Amazon S3 バケットからメトリクス設定を取得するアクセス許可を付与します | 読み取り | |||
| GetMultiRegionAccessPoint | 指定されたマルチリージョンアクセスポイントに関する設定情報を返す許可を付与 | 読み取り | |||
| GetMultiRegionAccessPointPolicy | 指定されたアクセスポイントに関連付けられたマルチリージョンアクセスポイントポリシーを返す許可を付与 | 読み取り | |||
| GetMultiRegionAccessPointPolicyStatus | 特定のマルチリージョンアクセスポイントポリシーのポリシーステータスを返す許可を付与 | 読み取り | |||
| GetObject | Amazon S3 からオブジェクトを取得するためのアクセス許可を付与します | Read | |||
| GetObjectAcl | オブジェクトのアクセスコントロールリスト (ACL) を返すアクセス許可を付与 | 読み取り | |||
| GetObjectAttributes | 特定のオブジェクトに関連する属性を取得するアクセス許可を付与します | 読み取り | |||
| GetObjectLegalHold | オブジェクトの現在のリーガルホールドステータスを取得するアクセス許可を付与 | Read | |||
| GetObjectRetention | オブジェクトの保存設定を取得するアクセス許可を付与 | Read | |||
| GetObjectTagging | オブジェクトのタグセットを返すアクセス許可を付与 | Read | |||
| GetObjectTorrent | Amazon S3 バケットから torrent ファイルを返すアクセス許可を付与します | Read | |||
| GetObjectVersion | 特定のバージョンのオブジェクトを取得するためのアクセス許可を付与 | Read | |||
| GetObjectVersionAcl | 特定のオブジェクトバージョンのアクセスコントロールリスト (ACL) を返すアクセス許可を付与 | 読み取り | |||
| GetObjectVersionAttributes | 特定のバージョンのオブジェクトに関連する属性を取得するアクセス許可を付与します | 読み取り | |||
| GetObjectVersionForReplication | 暗号化されていないオブジェクトと、SSE−S3 または SSE−KMS で暗号化されたオブジェクトの両方をレプリケートするアクセス許可を付与します | Read | |||
| GetObjectVersionTagging | 特定のバージョンのオブジェクトのタグセットを返すアクセス許可を付与 | Read | |||
| GetObjectVersionTorrent | versionId サブリソースを使用して、別のバージョンに関する Torrent ファイルを取得する許可を付与 | Read | |||
| GetReplicationConfiguration | Amazon S3 バケットに設定されたレプリケーション設定情報を取得するアクセス許可を付与します | Read | |||
| GetStorageLensConfiguration | Amazon S3 Storage Lens 設定を取得するアクセス許可を付与します | Read | |||
| GetStorageLensConfigurationTagging | 既存の Amazon S3 Storage Lens 設定のタグセットを取得するアクセス許可を付与します | Read | |||
| GetStorageLensDashboard | Amazon S3 Storage Lens ダッシュボードを取得するアクセス許可を付与します | 読み取り | |||
| InitiateReplication | オブジェクトのレプリケーションステータスを保留中に設定することで、レプリケーションプロセスを開始する許可を付与します | 書き込み | |||
| ListAccessPoints | アクセスポイントを一覧表示する許可を付与 | リスト | |||
| ListAccessPointsForObjectLambda | オブジェクト Lambda 対応のアクセスポイントを一覧表示するアクセス許可を付与します | リスト | |||
| ListAllMyBuckets | リクエストの認証された送信者が所有するすべてのバケットを一覧表示する許可を付与 | リスト | |||
| ListBucket | Amazon S3 バケット内のオブジェクトの一部またはすべてを一覧表示するアクセス許可を付与します (最大 1000) | リスト | |||
| ListBucketMultipartUploads | 進行中のマルチパートアップロードを一覧表示するアクセス許可を付与 | リスト | |||
| ListBucketVersions | Amazon S3 バケット内のすべてのバージョンオブジェクトに関するメタデータを一覧表示するアクセス許可を付与 | リスト | |||
| ListJobs | 現在のジョブと最近終了したジョブを一覧表示するアクセス許可を付与します | リスト | |||
| ListMultiRegionAccessPoints | マルチリージョンアクセスポイントを一覧表示する許可を付与 | リスト | |||
| ListMultipartUploadParts | 特定のマルチパートアップロード用にアップロードされた部分を一覧表示するアクセス許可を付与 | リスト | |||
| ListStorageLensConfigurations | Amazon S3 Storage Lens 設定を一覧表示するアクセス許可を付与します | リスト | |||
| ObjectOwnerOverrideToBucketOwner | レプリカの所有権を変更するアクセス許可を付与します | Permissions management | |||
| PutAccelerateConfiguration | Accelerate サブリソースを使用して、既存の S3 バケットの Transfer Acceleration 状態を設定するアクセス許可を付与します | Write | |||
| PutAccessPointConfigurationForObjectLambda | オブジェクト Lambda 対応のアクセスポイントの設定を行うアクセス許可を付与します | Write | |||
| PutAccessPointPolicy | アクセスポリシーを指定されたアクセスポイントに関連付けるアクセス許可を付与します | Permissions management | |||
| PutAccessPointPolicyForObjectLambda | アクセスポリシーを指定されたオブジェクト Lambda 対応のアクセスポイントに関連付けるアクセス許可を付与します | アクセス許可の管理 | |||
| PutAccessPointPublicAccessBlock | アクセスポイントの作成時に、公開アクセスブロックの設定を指定したアクセスポイントに関連付ける許可を付与します | アクセス許可の管理 | |||
| PutAccountPublicAccessBlock | AWS アカウントの PublicAccessBlock 設定を作成または変更する許可を付与します | Permissions management | |||
| PutAnalyticsConfiguration | 分析設定 ID で指定された、バケットの分析設定を設定するアクセス許可を付与します | Write | |||
| PutBucketAcl | アクセスコントロールリスト (ACL) を使用して、既存のバケットに対するアクセス許可を設定するアクセス許可を付与します | Permissions management | |||
| PutBucketCORS | Amazon S3 バケットの CORS 設定を設定するアクセス許可を付与します。 | Write | |||
| PutBucketLogging | Amazon S3 バケットのログ記録パラメータを設定するアクセス許可を付与します | Write | |||
| PutBucketNotification | Amazon S3 バケットで特定のイベントが発生したときに通知を受信するアクセス許可を付与します | Write | |||
| PutBucketObjectLockConfiguration | 特定のバケットにオブジェクトロック設定を配置するアクセス許可を付与します | 書き込み | |||
| PutBucketOwnershipControls | バケットのコントロールに関する所有者権限を、追加、置換、または削除するためのアクセス許可を付与する | 書き込み | |||
| PutBucketPolicy | バケットのバケットポリシーを追加または置き換えるアクセス許可を付与します | Permissions management | |||
| PutBucketPublicAccessBlock | 特定の Amazon S3 バケットの PublicAccessBlock 設定を作成または変更するアクセス許可を付与します。 | Permissions management | |||
| PutBucketRequestPayment | バケットのリクエスト支払い設定を設定するアクセス許可を付与します | Write | |||
| PutBucketTagging | 既存の Amazon S3 バケットにタグのセットを追加するアクセス許可を付与します | タグ付け | |||
| PutBucketVersioning | 既存の Amazon S3 バケットのバージョニング状態を設定するアクセス許可を付与します | Write | |||
| PutBucketWebsite | ウェブサイトのサブリソースで指定されているウェブサイトの設定を行うアクセス許可を付与します | Write | |||
| PutEncryptionConfiguration | Amazon S3 バケットの暗号化設定を設定するアクセス許可を付与します | Write | |||
| PutIntelligentTieringConfiguration | 既存の Amazon S3 Intelligent Tiering 設定を新規作成、更新または削除する権限を付与します | Write | |||
| PutInventoryConfiguration | インベントリ設定をバケットに追加するアクセス許可を付与します。このアクセス許可は、インベントリ ID で識別されます | Write | |||
| PutJobTagging | 既存の Amazon S3 バッチオペレーションジョブのタグを置き換えるアクセス許可を付与します | タグ付け | |||
| PutLifecycleConfiguration | バケットの新しいライフサイクル設定を作成するか、既存のライフサイクル設定を置き換えるアクセス許可を付与します | Write | |||
| PutMetricsConfiguration | Amazon S3 バケットからの CloudWatch リクエストメトリクスのメトリクス設定を設定または更新するアクセス許可を付与します | 書き込み | |||
| PutMultiRegionAccessPointPolicy | アクセスポリシーを指定されたマルチリージョンアクセスポイントに関連付ける許可を付与 | アクセス許可の管理 | |||
| PutObject | バケットにオブジェクトを追加するアクセス許可を付与します | 書き込み | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| PutObjectAcl | S3 バケット内の新規または既存のオブジェクトに対して、アクセスコントロールリスト (ACL) を設定するためのアクセス許可を付与する | アクセス許可の管理 | |||
| PutObjectLegalHold | 指定したオブジェクトにリーガルホールド設定を適用するアクセス許可を付与 | Write | |||
| PutObjectRetention | オブジェクトにオブジェクト保持設定を配置するアクセス許可を付与 | Write | |||
| PutObjectTagging | 指定されたタグセットを、バケット内に既に存在するオブジェクトに設定するアクセス許可を付与 | タグ付け | |||
| PutObjectVersionAcl | acl サブリソースを使用して、バケットにすでに存在するオブジェクトのアクセスコントロールリスト (ACL) アクセス許可を設定するアクセス許可を付与 | Permissions management | |||
| PutObjectVersionTagging | 特定のバージョンのオブジェクトに対して指定されたタグセットを設定するアクセス許可を付与 | タグ付け | |||
| PutReplicationConfiguration | 新しいレプリケーション設定を作成するか、既存のレプリケーション設定を置き換えるアクセス許可を付与します | Write |
iam:PassRole |
||
| PutStorageLensConfiguration | Amazon S3 Storage Lens 設定を作成または更新するアクセス許可を付与します | Write | |||
| PutStorageLensConfigurationTagging | 既存の Amazon S3 Storage Lens 設定にタグを配置または置換するアクセス許可を付与します | タグ付け | |||
| ReplicateDelete | 削除マーカーをレプリケート先バケットにレプリケートするアクセス許可を付与します | Write | |||
| ReplicateObject | オブジェクトとオブジェクトタグをレプリケート先バケットにレプリケートするアクセス許可を付与します | Write | |||
|
s3:object-lock-remaining-retention-days s3:x-amz-server-side-encryption |
|||||
| ReplicateTags | オブジェクトタグをレプリケート先バケットにレプリケートするアクセス許可を付与します | タグ付け | |||
| RestoreObject | オブジェクトのアーカイブされたコピーを Amazon S3 に復元するアクセス許可を付与 | Write | |||
| UpdateJobPriority | 既存のジョブの優先度を更新するアクセス許可を付与します | Write | |||
| UpdateJobStatus | 指定したジョブのステータスを更新するアクセス許可を付与します | Write | |||
Amazon S3 で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| accesspoint |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| object |
arn:${Partition}:s3:::${BucketName}/${ObjectName}
|
|
| job |
arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
|
|
| storagelensconfiguration |
arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}
|
|
| objectlambdaaccesspoint |
arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| multiregionaccesspoint |
arn:${Partition}:s3::${Account}:accesspoint/${AccessPointAlias}
|
|
| multiregionaccesspointrequestarn |
arn:${Partition}:s3:us-west-2:${Account}:async-request/mrap/${Operation}/${Token}
|
Amazon S3 の条件キー
Amazon S3 では、IAM ポリシーの Condition エレメントで使用できる以下の条件キーが定義されています。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。
すべてのサービスで使用できるグローバル条件キーを確認するには、使用できるグローバル条件キー を参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエストで渡されたタグでアクセスをフィルタリング | 文字列 |
| aws:ResourceTag/${TagKey} | リソースに関連付けられたタグでアクセスをフィルタリング | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリング | ArrayOfString |
| s3:AccessPointNetworkOrigin | ネットワークオリジン (インターネットまたは VPC) によるアクセスをフィルタリングします | 文字列 |
| s3:DataAccessPointAccount | アクセスポイントを所有する AWS アカウント ID でアクセスをフィルタリングします | 文字列 |
| s3:DataAccessPointArn | アクセスポイント Amazon リソースネーム (ARN) でアクセスをフィルタリングします | 文字列 |
| s3:ExistingJobOperation | ジョブの優先度の更新オペレーションを基にアクセスをフィルタリングする | 文字列 |
| s3:ExistingJobPriority | 既存ジョブのキャンセルに関する優先度の範囲によりアクセスをフィルタリングする | 数値 |
| s3:ExistingObjectTag/<key> | 既存のオブジェクトタグのキーと値でアクセスをフィルタリングします | 文字列 |
| s3:JobSuspendedCause | ジョブのキャンセルを引き起こした、特定の一時停止原因 (AWAITING_CONFIRMATION など) によって、アクセスをフィルタリングする | 文字列 |
| s3:RequestJobOperation | ジョブ作成オペレーションを基にアクセスをフィルタリングする | 文字列 |
| s3:RequestJobPriority | 新しいジョブの作成に関する優先度の範囲によりアクセスをフィルタリングする | 数値 |
| s3:RequestObjectTag/<key> | オブジェクトに追加するタグのキーと値でアクセスをフィルタします | 文字列 |
| s3:RequestObjectTagKeys | オブジェクトに追加するタグキーでアクセスをフィルタリングします | ArrayOfString |
| s3:ResourceAccount | リソース所有者の AWS アカウント ID でアクセスをフィルタリングします | 文字列 |
| s3:TlsVersion | クライアントが使用する TLS バージョンでアクセスをフィルタリングします | 数値 |
| s3:authType | 認証方式でアクセスをフィルタリングします | 文字列 |
| s3:delimiter | 区切り記号パラメータでアクセスをフィルタリングします | 文字列 |
| s3:locationconstraint | 特定のリージョンでアクセスをフィルタリングします | 文字列 |
| s3:max-keys | ListBucket リクエストで返されるキーの最大数でアクセスをフィルタリングします | 数値 |
| s3:object-lock-legal-hold | オブジェクトのリーガルホールドステータスでアクセスをフィルタリングします | 文字列 |
| s3:object-lock-mode | オブジェクト保持モード (コンプライアンスまたはガバナンス) でアクセスをフィルタリングします | 文字列 |
| s3:object-lock-remaining-retention-days | オブジェクトの残りの保持日数でアクセスをフィルタリングします | 数値 |
| s3:object-lock-retain-until-date | オブジェクトの保持期限日でアクセスをフィルタリングします | 日付 |
| s3:prefix | キー名のプレフィックスでアクセスをフィルタリングします | 文字列 |
| s3:signatureAge | リクエスト署名の経過時間 (ミリ秒単位) でアクセスをフィルタリングします | 数値 |
| s3:signatureversion | リクエストで使用された AWS 署名のバージョンでアクセスをフィルタリングします | 文字列 |
| s3:versionid | 特定のオブジェクトバージョンでアクセスをフィルタリングします | 文字列 |
| s3:x-amz-acl | リクエストの x−amz−acl ヘッダー内の既定 ACL によってアクセスをフィルタリングします | 文字列 |
| s3:x-amz-content-sha256 | バケット内の署名されていないコンテンツによりアクセスをフィルタリングする | 文字列 |
| s3:x-amz-copy-source | オブジェクトをコピーするリクエスト内の、コピー元バケット、プレフィックス、またはオブジェクトによりアクセスをフィルタリングする | 文字列 |
| s3:x-amz-grant-full-control | x-amz-grant-full-control (フルコントロール) ヘッダーによりアクセスをフィルタリングする | 文字列 |
| s3:x-amz-grant-read | x-amz-grant-read (読み取りアクセス) ヘッダーによりアクセスをフィルタリングする | 文字列 |
| s3:x-amz-grant-read-acp | x-amz-grant-read-acp (ACL 用の読み取りアクセス許可) ヘッダーによりアクセスをフィルタリングする | 文字列 |
| s3:x-amz-grant-write | x-amz-grant-write (書き込みアクセス) ヘッダーによりアクセスをフィルタリングする | 文字列 |
| s3:x-amz-grant-write-acp | x-amz-grant-write-acp (ACL 用の書き込みアクセス許可) ヘッダーによりアクセスをフィルタリングする | 文字列 |
| s3:x-amz-metadata-directive | オブジェクトのコピー時に、オブジェクトのメタデータの動作 (COPY または REPLACE) でアクセスをフィルタリングします | 文字列 |
| s3:x-amz-object-ownership | オブジェクトの所有権でアクセスをフィルタリングする | 文字列 |
| s3:x-amz-server-side-encryption | サーバー側の暗号化でアクセスをフィルタリングします | 文字列 |
| s3:x-amz-server-side-encryption-aws-kms-key-id | サーバー側の暗号化のための AWS KMS カスタマーマネージド CMK で、アクセスをフィルタリングします | 文字列 |
| s3:x-amz-server-side-encryption-customer-algorithm | サーバー側の暗号化のためにお客様が指定したアルゴリズムによってアクセスをフィルタリング | 文字列 |
| s3:x-amz-storage-class | ストレージクラスでアクセスをフィルタリングします | 文字列 |
| s3:x-amz-website-redirect-location | 静的ウェブサイトとして設定されているバケットについて、特定のウェブサイトのリダイレクト場所によってアクセスをフィルタリングします | 文字列 |
