Amazon S3 のアクション、リソース、条件キー - AWS Identity and Access Management

Amazon S3 のアクション、リソース、条件キー

Amazon S3 (サービスプレフィックス: s3) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソースやアクション、条件コンテキストキーが用意されています。

参照:

Amazon S3 で定義されるアクション

IAM ポリシーステートメントの Action 要素では、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

[リソースタイプ] 列は、各アクションがリソースレベルのアクセス許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素ですべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。必須リソースは、アスタリスク (*) でテーブルに示されています。このアクションを使用してステートメントでリソースレベルのアクセス許可 ARN を指定する場合、このタイプである必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、一方を使用することはできますが、他方を使用することはできません。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション 説明 アクセスレベル リソースタイプ (* 必須) 条件キー 依存アクション
AbortMultipartUpload マルチパートアップロードを中止するアクセス許可を付与します 書き込み

object*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

BypassGovernanceRetention ガバナースモードのオブジェクトリテンション設定の回避を可能にするアクセス許可を付与します アクセス権限の管理

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

CreateAccessPoint 新しいアクセスポイントを作成するアクセス許可を付与します 書き込み

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:locationconstraint

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

CreateBucket 新しいバケットを作成するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:locationconstraint

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

CreateJob 新しい Amazon S3 バッチオペレーションジョブを作成するアクセス許可を付与します 書き込み

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:RequestJobOperation

aws:TagKeys

aws:RequestTag/${TagKey}

DeleteAccessPoint URI で指定されたアクセスポイントを削除するアクセス許可を付与します 書き込み

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteAccessPointPolicy 指定したアクセスポイントでポリシーを削除するアクセス許可を付与します アクセス権限の管理

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucket URI で指定されたバケットを削除するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucketPolicy 指定したバケットのポリシーを削除するアクセス許可を付与します アクセス権限の管理

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteBucketWebsite バケットのウェブサイト設定を削除するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteJobTagging 既存の Amazon S3 バッチオペレーションジョブからタグを削除するアクセス許可を付与します タグ付け

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

DeleteObject オブジェクトの null バージョンを削除し、削除マーカーを挿入するアクセス許可を付与します。このマーカーは、オブジェクトの現在のバージョンになります 書き込み

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteObjectTagging タグ付けサブリソースを使用して、指定したオブジェクトからタグセット全体を削除するアクセス許可を付与します タグ付け

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

DeleteObjectVersion 特定のバージョンのオブジェクトを削除するアクセス許可を付与します 書き込み

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

DeleteObjectVersionTagging オブジェクトの特定のバージョンのタグセット全体を削除するアクセス許可を付与します タグ付け

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

DescribeJob バッチオペレーションジョブの設定パラメータとステータスを取得するアクセス許可を付与します。 Read

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccelerateConfiguration Accelerate サブリソースを使用してバケットの Transfer Acceleration 状態 (Enabled または Suspended) を返すアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPoint 指定したアクセスポイントに関する設定情報を返すアクセス許可を付与します Read

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPointPolicy 指定したアクセスポイントに関連付けられたアクセスポイントポリシーを返すアクセス許可を付与します Read

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccessPointPolicyStatus 特定のアクセスポイントポリシーのポリシーステータスを返すアクセス許可を付与します Read

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAccountPublicAccessBlock AWS アカウントの PublicAccessBlock 設定を取得するアクセス許可を付与します Read

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetAnalyticsConfiguration Amazon S3 バケットから分析設定を取得するアクセス許可を付与します。このアクセス許可は、分析設定 ID で識別されます Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketAcl acl サブリソースを使用して Amazon S3 バケットのアクセスコントロールリスト (ACL) を返すアクセス許可を付与します。 Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketCORS Amazon S3 バケットに設定された CORS 設定情報を返すアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketLocation Amazon S3 バケットが存在するリージョンを返すアクセス許可を付与します Read

bucket*

GetBucketLogging Amazon S3 バケットのログ記録ステータスを返すアクセス許可と、ユーザーがそのステータスを表示または変更する必要があるアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketNotification Amazon S3 バケットの通知設定を取得するアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketObjectLockConfiguration Amazon S3 バケットのオブジェクトロック設定を取得するアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

GetBucketPolicy 指定したバケットのポリシーを返すアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketPolicyStatus 特定の Amazon S3 バケットのポリシーステータスを取得するアクセス許可を付与します。これは、バケットがパブリックかどうかを示します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketPublicAccessBlock Amazon S3 バケットの PublicAccessBlock 設定を取得するアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketRequestPayment Amazon S3 バケットのリクエスト支払い設定を返すアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketTagging Amazon S3 バケットに関連付けられたタグセットを返すアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketVersioning Amazon S3 バケットのバージョニング状態を返すアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetBucketWebsite Amazon S3 バケットのウェブサイト設定を返すアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetEncryptionConfiguration Amazon S3 バケットにデフォルトの暗号化設定を返すアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetInventoryConfiguration Amazon S3 バケットからインベントリ設定を返すアクセス許可を付与します。このアクセス許可は、インベントリ設定 ID で識別されます Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetJobTagging 既存の Amazon S3 バッチオペレーションジョブのタグセットを返すアクセス許可を付与します Read

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetLifecycleConfiguration Amazon S3 バケットに設定されたライフサイクル設定情報を返すアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetMetricsConfiguration Amazon S3 バケットからメトリクス設定を取得するアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObject Amazon S3 からオブジェクトを取得するためのアクセス許可を付与します Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectAcl オブジェクトのアクセスコントロールリスト (ACL) を返すアクセス許可を付与します Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectLegalHold オブジェクトの現在のリーガルホールドステータスを取得するアクセス許可を付与します Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectRetention オブジェクトの保存設定を取得するアクセス許可を付与します Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectTagging オブジェクトのタグセットを返すアクセス許可を付与します Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectTorrent Amazon S3 バケットから torrent ファイルを返すアクセス許可を付与します Read

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectVersion 特定のバージョンのオブジェクトを取得するためのアクセス許可を付与します Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionAcl 特定のオブジェクトバージョンのアクセスコントロールリスト (ACL) を返すアクセス許可を付与します Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionForReplication 暗号化されていないオブジェクトと、SSE-S3 または SSE-KMS で暗号化されたオブジェクトの両方をレプリケートするアクセス許可を付与します Read

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

GetObjectVersionTagging 特定のバージョンのオブジェクトのタグセットを返すアクセス許可を付与します Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionTorrent versionId サブリソースを使用して、別のバージョンに関する Torrent ファイルを取得するアクセス許可を付与します Read

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

GetReplicationConfiguration Amazon S3 バケットに設定されたレプリケーション設定情報を取得するアクセス許可を付与します Read

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListAccessPoints アクセスポイントを一覧表示するアクセス許可を付与します Read

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListAllMyBuckets リクエストの認証された送信者が所有するすべてのバケットを一覧表示するアクセス許可を付与します リスト

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListBucket Amazon S3 バケット内のオブジェクトの一部またはすべてを一覧表示するアクセス許可を付与します (最大 1000) リスト

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:delimiter

s3:max-keys

s3:prefix

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListBucketMultipartUploads 進行中のマルチパートアップロードを一覧表示するアクセス許可を付与します Read

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListBucketVersions Amazon S3 バケット内のすべてのバージョンオブジェクトに関するメタデータを一覧表示するアクセス許可を付与します Read

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:delimiter

s3:max-keys

s3:prefix

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListJobs 現在のジョブと最近終了したジョブを一覧表示するアクセス許可を付与します Read

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ListMultipartUploadParts 特定のマルチパートアップロード用にアップロードされた部分を一覧表示するアクセス許可を付与します Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ObjectOwnerOverrideToBucketOwner レプリカの所有権を変更するアクセス許可を付与します アクセス権限の管理

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAccelerateConfiguration Accelerate サブリソースを使用して、既存の S3 バケットの Transfer Acceleration 状態を設定するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAccessPointPolicy アクセスポリシーを指定されたアクセスポイントに関連付けるアクセス許可を付与します アクセス権限の管理

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAccountPublicAccessBlock AWS アカウントの PublicAccessBlock 設定を作成または変更するアクセス許可を付与します アクセス権限の管理

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutAnalyticsConfiguration 分析設定 ID で指定された、バケットの分析設定を設定するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketAcl アクセスコントロールリスト (ACL) を使用して、既存のバケットに対するアクセス許可を設定するアクセス許可を付与します アクセス権限の管理

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

PutBucketCORS Amazon S3 バケットの CORS 設定を設定するアクセス許可を付与します。 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketLogging Amazon S3 バケットのログ記録パラメータを設定するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketNotification Amazon S3 バケットで特定のイベントが発生したときに通知を受信するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketObjectLockConfiguration 特定のバケットにオブジェクトロック設定を配置するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

PutBucketPolicy バケットのバケットポリシーを追加または置き換えるアクセス許可を付与します アクセス権限の管理

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketPublicAccessBlock 特定の Amazon S3 バケットの PublicAccessBlock 設定を作成または変更するアクセス許可を付与します。 アクセス権限の管理

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketRequestPayment バケットのリクエスト支払い設定を設定するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketTagging 既存の Amazon S3 バケットにタグのセットを追加するアクセス許可を付与します タグ付け

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketVersioning 既存の Amazon S3 バケットのバージョニング状態を設定するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutBucketWebsite ウェブサイトのサブリソースで指定されているウェブサイトの設定を行うアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutEncryptionConfiguration Amazon S3 バケットの暗号化設定を設定するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutInventoryConfiguration インベントリ設定をバケットに追加するアクセス許可を付与します。このアクセス許可は、インベントリ ID で識別されます 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutJobTagging 既存の Amazon S3 バッチオペレーションジョブのタグを置き換えるアクセス許可を付与します タグ付け

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

aws:TagKeys

aws:RequestTag/${TagKey}

PutLifecycleConfiguration バケットの新しいライフサイクル設定を作成するか、既存のライフサイクル設定を置き換えるアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutMetricsConfiguration Amazon S3 バケットからの CloudWatch リクエストメトリクスのメトリクス設定を設定または更新するアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutObject バケットにオブジェクトを追加するアクセス許可を付与します 書き込み

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

PutObjectAcl バケット内にすでに存在するオブジェクトのアクセスコントロールリスト (ACL) のアクセス許可を設定するアクセス許可を付与します アクセス権限の管理

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectLegalHold 指定したオブジェクトにリーガルホールド設定を適用するアクセス許可を付与します 書き込み

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:object-lock-legal-hold

PutObjectRetention オブジェクトにオブジェクト保持設定を配置するアクセス許可を付与します 書き込み

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

PutObjectTagging 指定されたタグセットを、バケット内に既に存在するオブジェクトに設定するアクセス許可を付与します タグ付け

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

PutObjectVersionAcl acl サブリソースを使用して、バケットにすでに存在するオブジェクトのアクセスコントロールリスト (ACL) アクセス許可を設定するアクセス許可を付与します アクセス権限の管理

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectVersionTagging 特定のバージョンのオブジェクトに対して指定されたタグセットを設定するアクセス許可を付与します タグ付け

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:signatureAge

s3:signatureversion

s3:versionid

s3:x-amz-content-sha256

PutReplicationConfiguration 新しいレプリケーション設定を作成するか、既存のレプリケーション設定を置き換えるアクセス許可を付与します 書き込み

bucket*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ReplicateDelete 削除マーカーをレプリケート先バケットにレプリケートするアクセス許可を付与します 書き込み

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

ReplicateObject オブジェクトとオブジェクトタグをレプリケート先バケットにレプリケートするアクセス許可を付与します 書き込み

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

ReplicateTags オブジェクトタグをレプリケート先バケットにレプリケートするアクセス許可を付与します タグ付け

object*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

RestoreObject オブジェクトのアーカイブされたコピーを Amazon S3 に復元するアクセス許可を付与します 書き込み

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

UpdateJobPriority 既存のジョブの優先度を更新するアクセス許可を付与します 書き込み

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:ExistingJobPriority

s3:ExistingJobOperation

UpdateJobStatus 指定したジョブのステータスを更新するアクセス許可を付与します 書き込み

job*

s3:authType

s3:signatureAge

s3:signatureversion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

s3:JobSuspendedCause

Amazon S3 で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource 要素で使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー
accesspoint arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
bucket arn:${Partition}:s3:::${BucketName}
object arn:${Partition}:s3:::${BucketName}/${ObjectName}
job arn:${Partition}:s3:${Region}:${Account}:job/${JobId}

Amazon S3 の条件キー

Amazon S3 では、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。

条件キー 説明 タイプ
aws:RequestTag/${TagKey} リクエストで渡されたタグに基づいてアクションをフィルタリングします。 文字列
aws:ResourceTag/${TagKey} リソースに関連付けられているタグに基づいてアクションをフィルタリングします。 文字列
aws:TagKeys リクエストで渡されたタグキーに基づいてアクションをフィルタリングします。 文字列
s3:AccessPointNetworkOrigin ネットワークオリジン (インターネットまたは VPC) によるアクセスをフィルタリングします 文字列
s3:DataAccessPointAccount アクセスポイントを所有する AWS アカウント ID でアクセスをフィルタリングします 文字列
s3:DataAccessPointArn アクセスポイント Amazon リソースネーム (ARN) でアクセスをフィルタリングします 文字列
s3:ExistingJobOperation ジョブの優先度の更新へのアクセスをオペレーション別にフィルタリングします 文字列
s3:ExistingJobPriority 既存のジョブのキャンセルへのアクセスを優先度の範囲でフィルタリングします 数値
s3:ExistingObjectTag/<key> 既存のオブジェクトタグに特定のタグキーと値が必要です。 文字列
s3:JobSuspendedCause 特定のジョブの一時停止原因 (AWAITING_CONFIRMATION など) によって、一時停止されたジョブのキャンセルへのアクセスをフィルタリングします 文字列
s3:LocationConstraint 特定のリージョンでアクセスをフィルタリングします 文字列
s3:RequestJobOperation ジョブ作成へのアクセスをオペレーション別にフィルタリングします 文字列
s3:RequestJobPriority 新しいジョブの作成へのアクセスを優先度の範囲でフィルタリングします 数値
s3:RequestObjectTag/<key> オブジェクトで許可されるタグキーと値を制限します 文字列
s3:RequestObjectTagKeys オブジェクトで許可されるタグキーを制限します 文字列
s3:VersionId 特定のオブジェクトバージョンでアクセスをフィルタリングします 文字列
s3:authType 受信リクエストを特定の認証方式に制限します 文字列
s3:delimiter 区切りパラメータが必要です 文字列
s3:locationconstraint 特定のリージョンでアクセスをフィルタリングします 文字列
s3:max-keys ListBucket リクエストで返されるキーの最大数を制限します 数値
s3:object-lock-legal-hold 指定したオブジェクトのリーガルホールドステータスの強制を有効にします。 文字列
s3:object-lock-mode 指定したオブジェクトリテンションモード (コンプライアンスまたはガバナンス) の適用を有効にします 文字列
s3:object-lock-remaining-retention-days 残りの保持日数に対するオブジェクトの強制を有効にします。 文字列
s3:object-lock-retain-until-date 特定のリテンション期日の強制を有効にします。 文字列
s3:prefix キー名のプレフィックスでアクセスをフィルタリングします 文字列
s3:signatureAge 署名が認証された要求で有効である時間 (ミリ秒単位) を識別します 数値
s3:signatureversion 認証されたリクエストでサポートされる AWS 署名のバージョンを識別します 文字列
s3:versionid 特定のオブジェクトバージョンでアクセスをフィルタリングします 文字列
s3:x-amz-acl リクエストに特定の既定 ACL を持つ x-amz-acl ヘッダーが必要です 文字列
s3:x-amz-content-sha256 バケット内の署名されていないコンテンツを許可しません 文字列
s3:x-amz-copy-source コピーソースを特定のバケット、プレフィックス、またはオブジェクトに制限します 文字列
s3:x-amz-grant-full-control リクエストに x-amz-grant-full-control (フルコントロール) ヘッダーが必要です 文字列
s3:x-amz-grant-read リクエストに x-amz-grant-read (読み取りアクセス) ヘッダーが必要です 文字列
s3:x-amz-grant-read-acp リクエストに x-amz-grant-read-acp (ACL の読み取りアクセス許可) ヘッダーが必要です 文字列
s3:x-amz-grant-write リクエストに x-amz-grant-write (書き込みアクセス) ヘッダーが必要です 文字列
s3:x-amz-grant-write-acp リクエストに x-amz-grant-write-acp (ACL に対する書き込みアクセス許可) ヘッダーが必要です 文字列
s3:x-amz-metadata-directive オブジェクトのコピー時にオブジェクトメタデータの動作 (COPY または REPLACE) を適用できるようにします。 文字列
s3:x-amz-server-side-encryption サーバー側の暗号化が必要です 文字列
s3:x-amz-server-side-encryption-aws-kms-key-id サーバー側の暗号化には、特定の AWS KMS カスタマー管理の CMK が必要です 文字列
s3:x-amz-storage-class ストレージクラスでアクセスをフィルタリングします 文字列
s3:x-amz-website-redirect-location 静的ウェブサイトとして設定されているバケットについて、特定のウェブサイトのリダイレクト場所によってアクセスをフィルタリングします 文字列