Amazon S3 API オペレーションに必要なアクセス許可
注記
このページでは、汎用バケットの Amazon S3 ポリシーアクションについて説明します。ディレクトリバケットの Amazon S3 ポリシーアクションの詳細については、「S3 Express One Zone 向けアクション」を参照してください。
S3 API オペレーションを実行するには、適切なアクセス許可が必要です。このページでは、S3 API オペレーションを必要なアクセス許可にマッピングします。S3 API オペレーションを実行するアクセス許可を付与するには、有効なポリシー (S3 バケットポリシーや IAM アイデンティティベースのポリシーなど) を作成し、ポリシーの Action
要素で対応するアクションを指定する必要があります。これらのアクションはポリシーアクションと呼ばれます。すべての S3 API オペレーションが 1 つのアクセス許可 (1 つのポリシーアクション) で表されるわけではなく、さまざまな API オペレーションには複数のアクセス許可 (複数のポリシーアクション) が必要です。
ポリシーを作成するときは、対応する Amazon S3 ポリシーアクションに必要な正しいリソースタイプに基づいて、Resource
要素を指定する必要があります。このページでは、アクセス許可をリソースタイプ別に S3 API オペレーションに分類します。リソースタイプの詳細については、「サービス認可リファレンス」の「Amazon S3 で定義されるリソースタイプ」を参照してください。Amazon S3 ポリシーアクションの完全なリストとポリシーで使用する条件キーについては、「サービス認可リファレンス」の「Actions, resources, and condition keys for Amazon S3」を参照してください。Amazon S3 API オペレーションの完全なリストについては、「Amazon Simple Storage Service API リファレンス」の「Amazon S3 API アクション」を参照してください。
トピック
バケットオペレーションとアクセス許可
バケットオペレーションは、バケットリソースタイプで動作する S3 API オペレーションです。バケットポリシーまたは IAM アイデンティティベースのポリシーでバケットオペレーションに S3 ポリシーアクションを指定する必要があります。
ポリシーでは、Resource
要素はバケットの Amazon リソースネーム (ARN) である必要があります。Resource
要素形式とポリシーの例の詳細については、「バケットオペレーション」を参照してください。
注記
アクセスポイントポリシーのバケットオペレーションにアクセス許可を付与する場合は、次の点に注意してください。
-
アクセスポイントポリシーのバケットオペレーションで付与されるアクセス許可は、基になるバケットで同じアクセス許可が許される場合にのみ有効です。アクセスポイントを使用する場合は、バケットからアクセスポイントにアクセスコントロールを委任するか、アクセスポイントポリシーで同じアクセス許可を基礎となるバケットのポリシーに追加する必要があります。
-
バケットオペレーションにアクセス許可を付与するアクセスポイントポリシーでは、
Resource
要素はaccesspoint
ARN である必要があります。Resource
要素形式とポリシーの例の詳細については、「アクセスポイントポリシーでのバケットオペレーション」を参照してください。アクセスポイントポリシーの詳細については、「アクセスポイントを使用するための IAM ポリシーの設定」を参照してください。 すべてのバケットオペレーションがアクセスポイントでサポートされているわけではありません。詳細については、「S3 オペレーションとアクセスポイントの互換性」を参照してください。
以下は、バケットオペレーションと必要なポリシーアクションのマッピングです。
API オペレーション | ポリシーアクション | ポリシーアクションの説明 |
---|---|---|
(必須) |
新しい S3 バケットを作成するのに必要です。 |
|
(条件付きで必須) |
アクセスコントロールリスト (ACL) を使用して、 |
|
(条件付きで必須) |
バケットの作成時に Object Lock を有効にする場合は必須です。 |
|
(条件付きで必須) |
バケットの作成時に S3 オブジェクトの所有権を指定する場合は必須です。 |
|
(必須) |
S3 バケットを削除するために必要です。 |
|
(必須) |
S3 バケットから S3 分析設定を削除するために必要です。 |
|
(必須) |
バケットのクロスオリジンリソース共有 (CORS) 設定を削除するために必要です。 |
|
(必須) |
Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) は、S3 のバケットでデフォルトの暗号化設定をリセットするために必要です。 |
|
(必須) |
S3 バケットから既存の S3 Intelligent-Tiering 設定を削除するために必要です。 |
|
(必須) |
S3 バケットから S3 インベントリ設定を削除するために必要です。 |
|
(必須) |
S3 バケットの S3 ライフサイクル設定を削除するために必要です。 |
|
(必須) |
Amazon S3 バケットからの Amazon CloudWatch リクエストメトリクスのメトリクス構成を削除するために必要です。 |
|
(必須) |
S3 バケットのオブジェクト所有権設定を削除するために必要です。削除後、オブジェクト所有権の設定は |
|
(必須) |
S3 バケットのポリシーを削除するために必要です。 |
|
(必須) |
S3 バケットのレプリケーション設定を削除するために必要です。 |
|
(必須) |
S3 バケットからタグを削除するために必要です。 |
|
(必須) |
S3 バケットのウェブサイト設定を削除するために必要です。 |
|
DeletePublicAccessBlock (バケットレベル) |
(必須) |
S3 バケットのブロックパブリックアクセス設定を削除するために必要です。 |
(必須) |
Accelerate サブリソースを使用してバケット のAmazon S3 Transfer Acceleration 状態 (Enabled または Suspended) を返すために必要です。 |
|
(必須) |
S3 バケットのアクセスコントロールリスト (ACL) を返すために必要です。 |
|
(必須) |
S3 バケットから分析設定 ID によって識別される分析設定を返すために必要です。 |
|
(必須) |
S3 バケットのクロスオリジンリソース共有 (CORS) 設定を返すために必要です。 |
|
(必須) |
S3 バケットのデフォルトの暗号化設定を返すために必要です。 |
|
(必須) |
S3 バケットの S3 Intelligent-Tiering 設定を取得するために必要です。 |
|
(必須) |
バケットのインベントリ設定 ID で識別されインベントリ設定を返すために必要です。 |
|
(必須) |
バケットの S3 ライフサイクル設定を返すために必要です。 |
|
(必須) |
S3 バケットが存在する AWS リージョンを返すために必要です。 |
|
(必須) |
S3 バケットのロギングステータスと、ユーザーがそのステータスを表示および変更するアクセス許可を返すために必要です。 |
|
(必須) |
メトリクス設定 ID で指定されたメトリクス設定をバケットから取得するために必要です。 |
|
(必須) |
S3 バケットの通知設定を返すために必要です。 |
|
(必須) |
S3 バケットのオブジェクト所有権設定を取得するために必要です。 |
|
(必須) |
ポリシーを S3 バケットに返すために必要です。 |
|
(必須) |
バケットがパブリックかどうかを示す S3 バケットのポリシーステータスを取得するために必要です。 |
|
(必須) |
S3 バケットのレプリケーション設定を返すために必要です。 |
|
(必須) |
S3 バケットのリクエスト支払い設定を返すために必要です。 |
|
(必須) |
S3 バケットのバージョニング状態を返すために必要です。 |
|
(必須) |
S3 バケットに関連付けられているタグセットを返すために必要です。 |
|
(必須) |
S3 バケットのウェブサイト設定を返すために必要です。 |
|
(必須) |
S3 バケットの Object Lock 設定を取得するために必要です。 |
|
GetPublicAccessBlock (バケットレベル) |
(必須) |
S3 バケットのブロックパブリックアクセス設定を取得するために必要です。 |
(必須) |
バケットが存在し、そのバケットにアクセスする許可があるかどうかを判断するために必要です。 |
|
(必須) |
S3 バケットの分析設定を一覧表示するために必要です。 |
|
(必須) |
S3 バケットの S3 Intelligent-Tiering 設定を一覧表示するために必要です。 |
|
(必須) |
S3 バケットのインベントリ設定のリストを返すために必要です。 |
|
(必須) |
S3 バケットのメトリクス設定を一覧表示するために必要です。 |
|
(必須) |
S3 バケットのオブジェクトの一部またはすべて (最大 1,000) を一覧表示するために必要です。 |
|
(条件付きで必須) |
オブジェクト所有者情報を表示する場合に必要です。 |
|
(必須) |
S3 バケットのオブジェクトの一部またはすべて (最大 1,000) を一覧表示するために必要です。 |
|
(条件付きで必須) |
オブジェクト所有者情報を表示する場合に必要です。 |
|
(必須) |
S3 バケット内のすべてのバージョンのオブジェクトに関するメタデータを取得するために必要です。 |
|
(必須) |
既存のバケットの加速設定を指定するために必要です。 |
|
(必須) |
アクセスコントロールリスト (ACL) を使用して、既存のバケットに対するアクセス許可を設定するために必要です。 |
|
(必須) |
S3 バケットの分析設定を行うために必要です。 |
|
(必須) |
S3 バケットのクロスオリジンリソース共有 (CORS) 設定を指定するために必要です。 |
|
(必須) |
S3 バケットにデフォルトの暗号化を設定するために必要です。 |
|
(必須) |
S3 Intelligent-Tiering 設定を S3 バケットに配置するために必要です。 |
|
(必須) |
S3 バケットにインベントリ設定を追加するために必要です。 |
|
(必須) |
S3 バケットの新しい S3 ライフサイクル設定を作成するか、既存のライフサイクル設定を置き換えるために必要です。 |
|
(必須) |
S3 バケットのログ記録パラメータを設定し、ログ記録パラメータを表示および変更できるユーザーのアクセス許可を指定するために必要です。 |
|
(必須) |
S3 バケットの Amazon CloudWatch リクエストメトリクスのメトリクス設定を実行または更新するために必要です。 |
|
(必須) |
S3 バケットの指定されたイベントの通知を有効にするために必要です。 |
|
(必須) |
S3 バケットのオブジェクト所有権設定を作成または変更するために必要です。 |
|
(必須) |
S3 バケットポリシーをバケットに適用するために必要です。 |
|
(必須) |
新しいレプリケーション設定を作成するか、S3 バケットの既存のレプリケーション設定を置き換えるために必要です。 |
|
(必須) |
バケットのリクエスト支払い設定を実行するために必要です。 |
|
(必須) |
S3 バケットにタグのセットを追加するために必要です。 |
|
(必須) |
S3 バケットのバージョニング状態を設定するために必要です。 |
|
(必須) |
バケットをウェブサイトとして設定し、ウェブサイトの設定を行うために必要です。 |
|
(必須) |
S3 バケットに Object Lock 設定を追加するために必要です。 |
|
PutPublicAccessBlock (バケットレベル) |
(必須) |
S3 バケットのブロックパブリックアクセス設定を作成または変更するために必要です。 |
オブジェクトオペレーションとアクセス許可
オブジェクトオペレーションは、オブジェクトリソースタイプで動作する S3 API オペレーションです。リソースベースのポリシー (バケットポリシー、アクセスポイントポリシー、マルチリージョンアクセスポイントポリシー、VPC エンドポイントポリシーなど) または IAM アイデンティティベースのポリシーでオブジェクトオペレーションに S3 ポリシーアクションを指定する必要があります。
ポリシーでは、Resource
要素はオブジェクト ARN である必要があります。Resource
要素形式とポリシーの例の詳細については、「オブジェクト操作」を参照してください。
注記
AWS KMS ポリシーアクション (
kms:GenerateDataKey
およびkms:Decrypt
) は AWS KMS リソースタイプにのみ適用され、IAM アイデンティティベースのポリシーと AWS KMS リソースベースのポリシー (AWS KMS キーポリシー) で指定する必要があります。S3 バケットポリシーなど、S3 リソースベースのポリシーでは AWS KMS ポリシーアクションを指定できません。-
アクセスポイントを使用してオブジェクトオペレーションへのアクセスを制御する場合、アクセスポイントポリシーを使用できます。アクセスポイントポリシーのオブジェクトオペレーションにアクセス許可を付与するには、次の点に注意してください。
-
オブジェクトオペレーションへのアクセス許可を付与するアクセスポイントポリシーでは、
Resource
要素はアクセスポイントを介してアクセスされるオブジェクトの ARN である必要があります。Resource
要素形式とポリシーの例の詳細については、「アクセスポイントポリシーでのオブジェクトオペレーション」を参照してください。 すべてのオブジェクトオペレーションがアクセスポイントでサポートされているわけではありません。詳細については、「S3 オペレーションとアクセスポイントの互換性」を参照してください。
-
すべてのオブジェクトオペレーションがマルチリージョンアクセスポイントでサポートされているわけではありません。詳細については、「S3 オペレーションとマルチリージョンアクセスポイントの互換性」を参照してください。
オブジェクトオペレーションと必要なポリシーアクションのマッピングを次に示します。
API オペレーション | ポリシーアクション | ポリシーアクションの説明 |
---|---|---|
(必須) |
マルチパートアップロードを中止するために必要です。 |
|
(必須) |
マルチパートアップロードを完了するために必要です。 |
|
(条件付きで必須) |
AWS KMS カスタマーマネージドキー暗号化オブジェクトのマルチパートアップロードを完了する場合に必要です。 |
|
ソースオブジェクトの場合: |
ソースオブジェクトの場合: |
|
(必須) |
|
|
(条件付きで必須) |
ソースバケットから AWS KMS カスタマーマネージドキーで暗号化されたオブジェクトをコピーする場合に必要です。 |
|
送信先オブジェクトの場合: |
送信先オブジェクトの場合: |
|
(必須) |
コピーしたたオブジェクトを送信先バケットに配置するために必要です。 |
|
(条件付きで必須) |
|
|
(条件付きで必須) |
|
|
(条件付きで必須) |
コピーしたオブジェクトを AWS KMS カスタマーマネージドキーで暗号化し、送信先バケットに配置する場合に必要です。 |
|
(条件付きで必須) |
新しいオブジェクトの Object Lock 保持設定を行う場合に必要です。 |
|
(条件付きで必須) |
新しいオブジェクトに Object Lock のリーガルホールドを適用する場合に必要です。 |
|
(必須) |
マルチパートアップロードを作成するために必要です。 |
|
(条件付きで必須) |
アップロードしたオブジェクトのオブジェクトアクセスコントロールリスト (ACL) アクセス許可を設定する場合に必要です。 |
|
(条件付きで必須) |
アップロードしたオブジェクトにオブジェクトのタグ付け (複数可) を追加する場合に必要です。 |
|
(条件付きで必須) |
マルチパートアップロードを開始するときに、AWS KMS カスタマーマネージドキーを使用してオブジェクトを暗号化する場合に必要です。 |
|
(条件付きで必須) |
アップロードしたオブジェクトの Object Lock 保持設定を実行する場合に必要です。 |
|
(条件付きで必須) |
アップロードしたオブジェクトに Object Lock のリーガルホールドを適用する場合に必要です。 |
|
(必須) |
|
|
(条件付きで必須) |
Object Lock 保持のガバナンスモードで保護されているオブジェクトを削除する場合に必要です。 |
|
(必須) |
|
|
(条件付きで必須) |
Object Lock 保持のガバナンスモードで保護されているオブジェクトを削除する場合に必要です。 |
|
(必須) |
|
|
(必須) |
|
|
(条件付きで必須) |
AWS KMS カスタマーマネージドキーで暗号化されたオブジェクトを取得および復号する場合に必要です。 |
|
(条件付きで必須) |
|
|
(条件付きで必須) |
オブジェクトの現在の Object Lock のリーガルホールドステータスを取得する場合に必要です。 |
|
(条件付きで必須) |
オブジェクトの Object Lock 保持設定を取得する場合に必要です。 |
|
(必須) |
|
|
(必須) |
|
|
(条件付きで必須) |
AWS KMS カスタマーマネージドキー暗号化オブジェクトに関連する属性を取得する場合に必要です。 |
|
(必須) |
オブジェクトの現在の Object Lock のリーガルホールドステータスを取得するために必要です。 |
|
(必須) |
オブジェクトの Object Lock 保持設定を取得するために必要です。 |
|
(必須) |
|
|
(必須) |
オブジェクトの torrent ファイルを返すために必要です。 |
|
(必須) |
オブジェクト自体を返さずにオブジェクトからメタデータを取得するために必要です。 |
|
(条件付きで必須) |
オブジェクトの現在の Object Lock のリーガルホールドステータスを取得する場合に必要です。 |
|
(条件付きで必須) |
オブジェクトの Object Lock 保持設定を取得する場合に必要です。 |
|
(必須) |
バケット内の進行中のマルチパートアップロードを一覧表示するために必要です。 |
|
(必須) |
特定のマルチパートアップロードでアップロードされている部分を一覧表示するために必要です。 |
|
(条件付きで必須) |
AWS KMS カスタマーマネージドキー暗号化マルチパートアップロードの一部を一覧表示する場合に必要です。 |
|
(必須) |
オブジェクトを配置するために必要です。 |
|
(条件付きで必須) |
|
|
(条件付きで必須) |
|
|
(条件付きで必須) |
AWS KMS カスタマーマネージドキーを使用してオブジェクトを暗号化する場合に必要です。 |
|
(条件付きで必須) |
オブジェクトに Object Lock 保持設定を行う場合に必要です。 |
|
(条件付きで必須) |
指定されたオブジェクトに Object Lock のリーガルホールド設定を適用する場合に必要です。 |
|
(必須) |
|
|
(必須) |
Object Lock のリーガルホールド設定をオブジェクトに適用するために必要です。 |
|
(必須) |
Object Lock 保持設定をオブジェクトに適用するために必要です。 |
|
(条件付きで必須) |
Object Lock 保持設定のガバナンスモードをバイパスする場合に必要です。 |
|
(必須) |
|
|
(必須) |
アーカイブしたオブジェクトのコピーを復元するために必要です。 |
|
(必須) |
シンプルな構造化クエリ言語 (SQL) ステートメントに基づいて S3 オブジェクトのコンテンツをフィルタリングするために必要です。 |
|
(条件付きで必須) |
AWS KMS カスタマーマネージドキーで暗号化された S3 オブジェクトのコンテンツをフィルタリングする場合に必要です。 |
|
(必須) |
マルチパートアップロードでパートをアップロードするために必要です。 |
|
(条件付きで必須) |
アップロードパートを配置し、AWS KMS カスタマーマネージドキーで暗号化する場合に必要です。 |
|
ソースオブジェクトの場合: |
ソースオブジェクトの場合: |
|
(必須) |
|
|
(条件付きで必須) |
ソースバケットから AWS KMS カスタマーマネージドキーで暗号化されたオブジェクトをコピーする場合に必要です。 |
|
送信先のパートの場合: |
送信先のパートの場合: |
|
(必須) |
マルチパートアップロードのパートを送信先バケットにアップロードするために必要です。 |
|
(条件付きで必須) |
パートを送信先バケットにアップロードするときに、AWS KMS カスタマーマネージドキーを使用してパートを暗号化する場合に必要です。 |
アクセスポイントのオペレーションとアクセス許可
アクセスポイントオペレーションは、accesspoint
リソースタイプで動作する S3 API オペレーションです。アクセスポイントオペレーションの S3 ポリシーアクションは、バケットポリシーやアクセスポイントポリシーではなく、IAM アイデンティティベースのポリシーで指定する必要があります。
ポリシーでは、Resource
要素は accesspoint
ARN である必要があります。Resource
要素形式とポリシーの例の詳細については、「アクセスポイントオペレーション」を参照してください。
注記
アクセスポイントを使用してバケットまたはオブジェクトオペレーションへのアクセスを制御する場合は、次の点に注意してください。
-
アクセスポイントを使用してバケットオペレーションへのアクセスを制御する方法については、「アクセスポイントポリシーでのバケットオペレーション」を参照してください。
-
アクセスポイントを使用してオブジェクトオペレーションへのアクセスを制御する方法については、「アクセスポイントポリシーでのオブジェクトオペレーション」を参照してください。
アクセスポイントポリシーの設定方法の詳細については、「アクセスポイントを使用するための IAM ポリシーの設定」を参照してください。
以下は、アクセスポイントオペレーションと必要なポリシーアクションのマッピングです。
API オペレーション | ポリシーアクション | ポリシーアクションの説明 |
---|---|---|
(必須) |
S3 バケットに関連付けられているアクセスポイントを作成するために必要です。 |
|
(必須) |
アクセスポイントを削除するために必要です。 |
|
(必須) |
アクセスポイントポリシーを削除するために必要です。 |
|
(必須) |
アクセスポイントポリシーを取得するために必要です。 |
|
(必須) |
指定したアクセスポイントにパブリックアクセスを許可するポリシーが現在あるかどうかに関する情報を取得するために必要です。 |
|
(必須) |
アクセスポイントポリシーを配置するために必要です。 |
Object Lambda アクセスポイントのオペレーションとアクセス許可
Object Lambda アクセスポイントオペレーションは、objectlambdaaccesspoint
リソースタイプで動作する S3 API オペレーションです。Object Lambda アクセスポイントオペレーションのポリシーを設定する方法についての詳細は、「Object Lambda アクセスポイントの IAM ポリシーの設定」を参照してください。
Object Lambda アクセスポイントオペレーションと必要なポリシーアクションのマッピングを次に示します。
API オペレーション | ポリシーアクション | ポリシーアクションの説明 |
---|---|---|
(必須) |
Object Lambda アクセスポイントを作成するために必要です。 |
|
(必須) |
指定した Object Lambda アクセスポイントを削除するために必要です。 |
|
(必須) |
指定したオブジェクト Lambda アクセスポイントでポリシーを削除するために必要です。 |
|
(必須) |
Object Lambda アクセスポイントの設定を取得するために必要です。 |
|
(必須) |
Object Lambda アクセスポイントに関する情報を取得するために必要です。 |
|
(必須) |
指定した Object Lambda アクセスポイントに関連付けられたアクセスポイントポリシーを返すために必要です。 |
|
(必須) |
特定の Object Lambda アクセスポイントポリシーのポリシーステータスを返すために必要です。 |
|
(必須) |
Object Lambda アクセスポイントの設定に必要です。 |
|
(必須) |
アクセスポリシーを指定した Object Lambda アクセスポイントに関連付けるために必要です。 |
マルチリージョンアクセスポイントとアクセス許可
マルチリージョンアクセスポイントオペレーションは、multiregionaccesspoint
リソースタイプで動作する S3 API オペレーションです。マルチリージョンアクセスポイントオペレーションのポリシーを設定する方法の詳細については、「マルチリージョンアクセスポイントポリシーの例」を参照してください。
以下は、マルチリージョンアクセスポイントオペレーションと必要なポリシーアクションのマッピングです。
API オペレーション | ポリシーアクション | ポリシーアクションの説明 |
---|---|---|
(必須) |
マルチリージョンアクセスポイントを作成し、S3 バケットに関連付けるために必要です。 |
|
(必須) |
マルチリージョンアクセスポイントを削除するために必要です。 |
|
(必須) |
マルチリージョンアクセスポイントを管理するための非同期リクエストのステータスを取得するために必要です。 |
|
(必須) |
指定したマルチリージョンアクセスポイントに関する設定情報を返すために必要です。 |
|
(必須) |
指定したマルチリージョンアクセスポイントのアクセスコントロールポリシーを返すために必要です。 |
|
(必須) |
指定したマルチリージョンアクセスポイントにパブリックアクセスを許可するアクセスコントロールポリシーが存在するかどうかについて、特定のマルチリージョンアクセスポイントのポリシーステータスを返すために必要です。 |
|
(必須) |
マルチリージョンアクセスポイントのルート設定を返すために必要です。 |
|
(必須) |
指定したマルチリージョンアクセスポイントのアクセスコントロールポリシーを更新するために必要です。 |
|
(必須) |
マルチリージョンアクセスポイントのルート設定の更新を送信するために必要です。 |
バッチジョブのオペレーションとアクセス許可
(バッチオペレーション) ジョブオペレーションは、job
リソースタイプで動作する S3 API オペレーションです。ジョブオペレーションの S3 ポリシーアクションは、バケットポリシーではなく、IAM アイデンティティベースのポリシーで指定する必要があります。
ポリシーでは、Resource
要素は job
ARN である必要があります。Resource
要素形式とポリシーの例の詳細については、「バッチジョブオペレーション」を参照してください。
以下は、バッチジョブオペレーションと必要なポリシーアクションのマッピングです。
API オペレーション | ポリシーアクション | ポリシーアクションの説明 |
---|---|---|
(必須) |
既存の S3 バッチオペレーションジョブからタグを削除するために必要です。 |
|
(必須) |
バッチオペレーションジョブの設定パラメータとステータスを取得するために必要です。 |
|
(必須) |
既存の S3 バッチオペレーションジョブのタグセットを返すために必要です。 |
|
(必須) |
既存の S3 バッチオペレーションジョブにタグを配置または置換するために必要です。 |
|
(必須) |
既存のジョブの優先度を更新するために必要です。 |
|
(必須) |
指定したジョブのステータスを更新するために必要です。 |
S3 ストレージレンズ設定オペレーションとアクセス許可
S3 ストレージレンズオペレーションは、storagelensconfiguration
リソースタイプで動作する S3 API オペレーションです。S3 Storage Lens 設定オペレーションの設定方法の詳細については、「Amazon S3 ストレージレンズアクセス許可の設定」を参照してください。
以下は、S3 ストレージレンズの設定オペレーションと必要なポリシーアクションのマッピングです。
API オペレーション | ポリシーアクション | ポリシーアクションの説明 |
---|---|---|
(必須) |
S3 ストレージレンズ設定を削除するために必要です。 |
|
(必須) |
S3 ストレージレンズ設定タグを削除するために必要です。 |
|
(必須) |
S3 ストレージレンズ設定を取得するために必要です。 |
|
(必須) |
S3 ストレージレンズ設定のタグを取得するために必要です。 |
|
(必須) |
既存の S3 ストレージレンズ設定にタグを配置または置換するために必要です。 |
S3 ストレージレンズグループのオペレーションとアクセス許可
S3 ストレージレンズグループオペレーションは、storagelensgroup
リソースタイプで動作する S3 API オペレーションです。S3 ストレージレンズグループのアクセス許可を設定する方法の詳細については、「Storage Lens グループのアクセス許可。」を参照してください。
以下は、S3 ストレージレンズグループのオペレーションと必要なポリシーアクションのマッピングです。
API オペレーション | ポリシーアクション | ポリシーアクションの説明 |
---|---|---|
(必須) |
既存の S3 ストレージレンズグループを削除するために必要です。 |
|
(必須) |
S3 ストレージレンズグループ設定の詳細を取得するために必要です。 |
|
(必須) |
既存の S3 ストレージレンズグループを更新するために必要です。 |
API オペレーションとアクセス許可
アカウントオペレーションは、アカウントレベルで実行される S3 API オペレーションです。アカウントは、Amazon S3 で定義されるリソースタイプではありません。アカウントオペレーションの S3 ポリシーアクションは、バケットポリシーではなく、IAM アイデンティティベースのポリシーで指定する必要があります。
ポリシーでは、Resource
要素は "*"
である必要があります。ポリシーの例の詳細については、「アカウントオペレーション」を参照してください。
以下は、アカウントオペレーションと必要なポリシーアクションのマッピングです。
API オペレーション | ポリシーアクション | ポリシーアクションの説明 |
---|---|---|
(必須) |
新しい S3 バッチオペレーションジョブを作成するために必要です。 |
|
(必須) |
新しい S3 ストレージレンズグループを作成し、指定した AWS アカウント ID に関連付けるために必要です。 |
|
(条件付きで必須) |
AWS リソースタグを使用して S3 ストレージレンズグループを作成する場合に必要です。 |
|
DeletePublicAccessBlock (アカウントレベル) |
(必須) |
ブロックパブリックアクセス設定を AWS アカウントから削除するために必要です。 |
(必須) |
指定したアクセスポイントに関する設定情報を取得するために必要です。 |
|
GetAccessPointPolicy (アカウントレベル) |
(必須) |
AWS アカウントのブロックパブリックアクセス設定を取得するために必要です。 |
(必須) |
AWS アカウントが所有する S3 バケットのアクセスポイントを一覧表示するために必要です。 |
|
(必須) |
Object Lambda アクセスポイントを一覧表示するために必要です。 |
|
(必須) |
認証されたリクエスト送信者が所有するすべてのバケットのリストを返すために必要です。 |
|
(必須) |
現在のジョブと最近終了したジョブを一覧表示するために必要です。 |
|
(必須) |
指定した AWS アカウントに現在関連付けられているマルチリージョンアクセスポイントのリストを返すために必要です。 |
|
(必須) |
AWS アカウントの S3 ストレージレンズ設定のリストを取得するために必要です。 |
|
(必須) |
指定したホーム AWS リージョン内のすべての S3 ストレージレンズグループを一覧表示するために必要です。 |
|
PutPublicAccessBlock (アカウントレベル) |
(必須) |
AWS アカウントのブロックパブリックアクセス設定を作成または変更するために必要です。 |
(必須) |
S3 ストレージレンズ設定を配置するために必要です。 |