기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon S3에 사용되는 작업, 리소스 및 조건 키
Amazon S3 (서비스 접두사:s3
) 는 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다. IAM
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용할 수 있는 API 작업 목록을 확인하십시오.
-
IAM권한 정책을 사용하여 이 서비스와 해당 리소스를 보호하는 방법을 알아보십시오.
Amazon S3에서 정의한 작업
IAM정책 설명의 Action
요소에 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용할 때는 일반적으로 이름이 같은 API 작업이나 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource
요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 열에 리소스 유형이 포함된 경우 해당 작업이 포함된 명령문에 해당 ARN 유형의 리소스를 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM정책의 Resource
요소로 리소스 액세스를 제한하는 경우 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition
요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
---|---|---|---|---|---|
AbortMultipartUpload | 멀티파트 업로드를 중단할 수 있는 권한을 부여합니다. | 쓰기 | |||
AssociateAccessGrantsIdentityCenter | Access Grants Identity Center를 연결할 수 있는 권한을 부여합니다. | 쓰기 | |||
BypassGovernanceRetention | 거버넌스 모드 객체 보존 설정의 우회를 허용할 수 있는 권한을 부여합니다. | 권한 관리 | |||
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
CreateAccessGrant | 액세스 권한 부여를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
CreateAccessGrantsInstance | Access Grants 인스턴스를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
CreateAccessGrantsLocation | Access Grants 위치를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
CreateAccessPoint | 새 액세스 포인트를 생성할 수 있는 권한을 부여합니다. | Write | |||
CreateAccessPointForObjectLambda | 객체 Lambda 지원 액세스 포인트를 만들 수 있는 권한을 부여합니다. | Write | |||
CreateBucket | 새 버킷을 생성할 수 있는 권한을 부여합니다. | Write | |||
CreateJob | 새 Amazon S3 배치 작업을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole |
||
CreateMultiRegionAccessPoint | 새 Multi-Region Access Point를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
CreateStorageLensGroup | Amazon S3 Storage Lens 그룹을 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteAccessGrant | 액세스 권한 부여를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteAccessGrantsInstance | Access Grants 인스턴스를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteAccessGrantsInstanceResourcePolicy | Access Grants 인스턴스 리소스 정책을 읽을 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteAccessGrantsLocation | Access Grants 위치를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
DeleteAccessPoint | 에 이름이 지정된 액세스 포인트를 삭제할 권한을 부여합니다. URI | 쓰기 | |||
DeleteAccessPointForObjectLambda | 에 이름이 지정된 객체 (Lambda 지원 액세스 포인트) 를 삭제할 권한을 부여합니다. URI | 쓰기 | |||
DeleteAccessPointPolicy | 지정된 액세스 포인트에서 정책을 삭제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
DeleteAccessPointPolicyForObjectLambda | 지정된 객체 Lambda 지원 액세스 포인트에서 정책을 삭제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
DeleteBucket | 에 이름이 지정된 버킷을 삭제할 권한을 부여합니다. URI | 쓰기 | |||
DeleteBucketPolicy | 지정된 버킷에서 정책을 삭제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
DeleteBucketWebsite | 버킷에 대한 웹 사이트 구성을 제거할 수 있는 권한을 부여합니다. | Write | |||
DeleteJobTagging | 기존 Amazon S3 배치 작업에서 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
DeleteMultiRegionAccessPoint | 에 이름이 지정된 다중 지역 액세스 포인트를 삭제할 권한을 부여합니다. URI | 쓰기 | |||
DeleteObject | 객체의 null 버전을 제거하고 객체의 현재 버전이 되는 삭제 마커를 삽입할 수 있는 권한을 부여합니다. | Write | |||
DeleteObjectTagging | 태깅 하위 리소스를 사용하여 지정된 객체에서 전체 태그 세트를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
DeleteObjectVersion | 특정 버전의 객체를 제거할 수 있는 권한을 부여합니다. | Write | |||
DeleteObjectVersionTagging | 특정 버전의 객체의 전체 태그 세트를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
DeleteStorageLensConfiguration | 기존 Amazon S3 스토리지 렌즈 구성을 삭제할 수 있는 권한을 부여합니다. | Write | |||
DeleteStorageLensConfigurationTagging | 기존 Amazon S3 스토리지 렌즈 구성에서 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
DeleteStorageLensGroup | 기존 S3 Storage Lens 그룹을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
DescribeJob | 배치 작업의 구성 파라미터 및 상태를 검색할 수 있는 권한을 부여합니다. | 읽기 | |||
DescribeMultiRegionAccessPointOperation | 다중 리전 액세스 포인트에 대한 구성을 검색할 수 있는 권한을 부여합니다. | 읽기 | |||
DissociateAccessGrantsIdentityCenter | Access Grants Identity Center의 연결을 해제할 수 있는 권한을 부여합니다. | 쓰기 | |||
GetAccelerateConfiguration | 가속화 하위 리소스를 사용하여 버킷의 Transfer Acceleration 상태(활성 또는 일시 중지됨)를 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
GetAccessGrant | 액세스 권한 부여를 읽을 수 있는 권한을 부여합니다. | 읽기 | |||
GetAccessGrantsInstance | Access Grants 인스턴스를 읽을 수 있는 권한을 부여합니다. | 읽기 | |||
GetAccessGrantsInstanceForPrefix | 접두사를 사용하여 Access Grants 인스턴스를 읽을 수 있는 권한을 부여합니다. | 읽기 | |||
GetAccessGrantsInstanceResourcePolicy | Access Grants 인스턴스 리소스 정책을 읽을 수 있는 권한을 부여합니다. | 읽기 | |||
GetAccessGrantsLocation | Access Grants 위치를 읽을 수 있는 권한을 부여합니다. | 읽기 | |||
GetAccessPoint | 지정된 액세스 포인트에 대한 구성 정보를 반환할 수 있는 권한을 부여합니다. | Read | |||
GetAccessPointConfigurationForObjectLambda | 객체 Lambda 지원 액세스 포인트의 구성을 검색할 수 있는 권한을 부여합니다. | Read | |||
GetAccessPointForObjectLambda | 객체 Lambda 지원 액세스 포인트를 만들 수 있는 권한을 부여합니다. | Read | |||
GetAccessPointPolicy | 지정된 액세스 포인트와 연결된 액세스 포인트 정책을 반환할 수 있는 권한을 부여합니다. | Read | |||
GetAccessPointPolicyForObjectLambda | 지정된 객체 Lambda 지원 액세스 포인트와 연결된 액세스 포인트 정책을 반환할 수 있는 권한을 부여합니다. | Read | |||
GetAccessPointPolicyStatus | 특정 액세스 포인트 정책에 대한 정책 상태를 반환할 수 있는 권한을 부여합니다. | Read | |||
GetAccessPointPolicyStatusForObjectLambda | 특정 객체 Lambda 지원 액세스 포인트 정책에 대한 정책 상태를 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
GetAccountPublicAccessBlock | 에 대한 PublicAccessBlock 구성을 검색할 수 있는 권한을 부여합니다. AWS 계정 | 읽기 | |||
GetAnalyticsConfiguration | 분석 구성 ID로 식별되는 Amazon S3 버킷에서 분석 구성을 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
GetBucketAcl | acl 하위 리소스를 사용하여 Amazon S3 버킷의 액세스 제어 목록 (ACL) 을 반환할 권한을 부여합니다. | 읽기 | |||
GetBucketCORS | Amazon S3 버킷에 설정된 CORS 구성 정보를 반환할 권한을 부여합니다. | 읽기 | |||
GetBucketLocation | Amazon S3 버킷이 상주하는 리전을 반환할 수 있는 권한을 부여합니다. | Read | |||
GetBucketLogging | Amazon S3 버킷의 로깅 상태 및 사용자가 해당 상태를 보거나 수정할 수 있는 권한을 반환할 수 있는 권한을 부여합니다. | Read | |||
GetBucketNotification | Amazon S3 버킷의 알림 구성을 가져올 수 있는 권한을 부여합니다. | Read | |||
GetBucketObjectLockConfiguration | Amazon S3 버킷의 객체 잠금 구성을 가져올 수 있는 권한을 부여합니다. | Read | |||
GetBucketOwnershipControls | 버킷에 대한 소유권 제어를 검색할 수 있는 권한을 부여합니다. | Read | |||
GetBucketPolicy | 지정된 버킷의 정책을 반환할 수 있는 권한을 부여합니다. | Read | |||
GetBucketPolicyStatus | 버킷이 퍼블릭 버킷인지 여부를 나타내는 특정 Amazon S3 버킷에 대한 정책 상태를 검색할 수 있는 권한을 부여합니다. | 읽기 | |||
GetBucketPublicAccessBlock | Amazon S3 버킷의 PublicAccessBlock 구성을 검색할 권한을 부여합니다. | 읽기 | |||
GetBucketRequestPayment | Amazon S3 버킷에 대한 요청 결제 구성을 반환할 수 있는 권한을 부여합니다. | Read | |||
GetBucketTagging | Amazon S3 버킷과 연결된 태그 세트를 반환할 수 있는 권한을 부여합니다. | Read | |||
GetBucketVersioning | Amazon S3 버킷의 버전 관리 상태를 반환할 수 있는 권한을 부여합니다. | Read | |||
GetBucketWebsite | Amazon S3 버킷에 대한 웹 사이트 구성을 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
GetDataAccess | 액세스를 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
GetEncryptionConfiguration | Amazon S3 버킷에 기본 암호화 구성을 반환할 수 있는 권한을 부여합니다. | Read | |||
GetIntelligentTieringConfiguration | S3 버킷의 모든 Amazon S3 Intelligent Tiering 구성을 가져오거나 나열할 수 있는 권한을 부여합니다. | Read | |||
GetInventoryConfiguration | 인벤토리 구성 ID로 식별되는 Amazon S3 버킷에서 인벤토리 구성을 반환할 수 있는 권한을 부여합니다. | Read | |||
GetJobTagging | 기존 Amazon S3 배치 작업의 태그 세트를 반환할 수 있는 권한을 부여합니다. | Read | |||
GetLifecycleConfiguration | Amazon S3 버킷에 설정된 수명 주기 구성 정보를 반환할 수 있는 권한을 부여합니다. | Read | |||
GetMetricsConfiguration | Amazon S3 버킷에서 지표 구성을 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
GetMultiRegionAccessPoint | 지정된 Multi-Region Access Point에 대한 구성 정보를 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
GetMultiRegionAccessPointPolicy | 지정된 Multi-Region Access Point와 연결된 액세스 포인트 정책을 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
GetMultiRegionAccessPointPolicyStatus | 지정된 Multi-Region Access Point 정책에 대한 정책 상태를 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
GetMultiRegionAccessPointRoutes | Multi-Region Access Point에 대한 경로 구성을 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
GetObject | Amazon S3에서 객체를 검색할 수 있는 권한을 부여합니다. | 읽기 | |||
GetObjectAcl | 객체의 액세스 제어 목록 (ACL) 을 반환할 권한을 부여합니다. | 읽기 | |||
GetObjectAttributes | 특정 객체와 관련된 속성을 검색할 수 있는 권한을 부여합니다. | 읽기 | |||
GetObjectLegalHold | 객체의 현재 법적 보존 상태를 가져올 수 있는 권한을 부여합니다. | Read | |||
GetObjectRetention | 객체에 대한 보존 설정을 검색할 수 있는 권한을 부여합니다. | Read | |||
GetObjectTagging | 객체의 태그 세트를 반환할 수 있는 권한을 부여합니다. | Read | |||
GetObjectTorrent | Amazon S3 버킷에서 Torrent 파일을 반환할 수 있는 권한을 부여합니다. | Read | |||
GetObjectVersion | 객체의 특정 버전을 검색할 수 있는 권한을 부여합니다. | 읽기 | |||
GetObjectVersionAcl | 특정 객체 버전의 액세스 제어 목록 (ACL) 을 반환할 권한을 부여합니다. | 읽기 | |||
GetObjectVersionAttributes | 객체의 특정 버전과 관련된 속성을 검색할 수 있는 권한을 부여합니다. | 읽기 | |||
GetObjectVersionForReplication | 암호화되지 않은 객체와 -S3 또는 SSE -로 암호화된 객체를 모두 복제할 수 있는 권한을 부여합니다. SSE KMS | 읽기 | |||
GetObjectVersionTagging | 특정 버전의 객체에 대한 태그 세트를 반환할 수 있는 권한을 부여합니다. | 읽기 | |||
GetObjectVersionTorrent | 하위 리소스를 사용하여 다른 버전에 대한 Torrent 파일을 가져올 수 있는 권한을 부여합니다. versionId | 읽기 | |||
GetReplicationConfiguration | Amazon S3 버킷에 설정된 복제 구성 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
GetStorageLensConfiguration | Amazon S3 스토리지 렌즈 구성을 가져올 수 있는 권한을 부여합니다. | Read | |||
GetStorageLensConfigurationTagging | 기존 Amazon S3 스토리지 렌즈 구성의 태그 세트를 가져올 수 있는 권한을 부여합니다. | Read | |||
GetStorageLensDashboard | Amazon S3 스토리지 렌즈 대시보드를 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
GetStorageLensGroup | Amazon S3 Storage Lens 그룹을 가져올 수 있는 권한을 부여합니다. | 읽기 | |||
InitiateReplication [권한만 해당] | 객체의 복제 상태를 보류 중으로 설정하여 복제 프로세스를 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
ListAccessGrants | 액세스 권한 부여를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListAccessGrantsInstances | Access Grants 인스턴스를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListAccessGrantsLocations | Access Grants 위치를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListAccessPoints | 액세스 포인트를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListAccessPointsForObjectLambda | 객체 Lambda 지원 액세스 포인트를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListAllMyBuckets | 요청의 인증된 발신자가 소유한 모든 버킷을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListBucket | Amazon S3 버킷의 일부 또는 모든 객체를 나열할 수 있는 권한을 부여합니다(최대 1000개). | 나열 | |||
ListBucketMultipartUploads | 진행 중인 멀티파트 업로드를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListBucketVersions | Amazon S3 버킷의 모든 객체 버전에 대한 메타데이터를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListCallerAccessGrants | 발신자의 액세스 허가를 나열할 권한을 부여합니다. | 나열 | |||
ListJobs | 현재 작업 및 최근에 종료된 작업을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListMultiRegionAccessPoints | 다중 리전 액세스 포인트를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListMultipartUploadParts | 특정 멀티파트 업로드를 위해 업로드된 부분을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListStorageLensConfigurations | Amazon S3 스토리지 렌즈 구성을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListStorageLensGroups | S3 Storage Lens 그룹을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ListTagsForResource | 지정된 리소스에 연결된 태그를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
ObjectOwnerOverrideToBucketOwner | 복제본 소유권을 변경할 수 있는 권한을 부여합니다. | 권한 관리 | |||
PauseReplication [권한만 해당] | 대상 소스 버킷에서 대상 버킷으로의 S3 복제를 일시 중지할 권한을 부여합니다. | 쓰기 |
S3:GetReplicationConfiguration S3:PutReplicationConfiguration |
||
PutAccelerateConfiguration | 가속화 하위 리소스를 사용하여 기존 S3 버킷의 Transfer Acceleration 상태를 설정할 수 있는 권한을 부여합니다 | Write | |||
PutAccessGrantsInstanceResourcePolicy | Access Grants 인스턴스 리소스 정책을 넣을 수 있는 권한을 부여합니다. | Write | |||
PutAccessPointConfigurationForObjectLambda | 객체 Lambda 지원 액세스 포인트의 구성을 설정할 수 있는 권한을 부여합니다. | Write | |||
PutAccessPointPolicy | 액세스 정책을 지정된 액세스 포인트와 연결할 수 있는 권한을 부여합니다. | 권한 관리 | |||
PutAccessPointPolicyForObjectLambda | 액세스 정책을 지정된 객체 Lambda 지원 액세스 포인트와 연결할 수 있는 권한을 부여합니다. | 권한 관리 | |||
PutAccessPointPublicAccessBlock | 액세스 포인트를 생성하는 동안 퍼블릭 액세스 블록 구성을 지정된 액세스 포인트와 연결할 수 있는 권한을 부여합니다. | 권한 관리 | |||
PutAccountPublicAccessBlock | 에 대한 구성을 생성하거나 수정할 수 있는 권한을 부여합니다. PublicAccessBlock AWS 계정 | 권한 관리 | |||
PutAnalyticsConfiguration | 분석 구성 ID로 지정된 버킷에 대한 분석 구성을 설정할 수 있는 권한을 부여합니다. | 쓰기 | |||
PutBucketAcl | 액세스 제어 목록 (ACLs) 을 사용하여 기존 버킷에 권한을 설정할 수 있는 권한을 부여합니다. | 권한 관리 | |||
PutBucketCORS | Amazon S3 버킷의 CORS 구성을 설정할 권한을 부여합니다. | 쓰기 | |||
PutBucketLogging | Amazon S3 버킷에 대한 로깅 파라미터를 설정할 수 있는 권한을 부여합니다. | Write | |||
PutBucketNotification | Amazon S3 버킷에서 특정 이벤트가 발생할 경우 알림을 받을 수 있는 권한을 부여합니다. | Write | |||
PutBucketObjectLockConfiguration | 특정 버킷에 객체 잠금 구성을 적용할 수 있는 권한을 부여합니다. | 쓰기 | |||
PutBucketOwnershipControls | 버킷에 대한 소유권 제어를 추가, 교체 또는 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
PutBucketPolicy | 버킷에 버킷 정책을 추가하거나 교체할 수 있는 권한을 부여합니다. | 권한 관리 | |||
PutBucketPublicAccessBlock | 특정 Amazon S3 버킷의 PublicAccessBlock 구성을 생성하거나 수정할 권한을 부여합니다. | 권한 관리 | |||
PutBucketRequestPayment | 버킷의 요청 결제 구성을 설정할 수 있는 권한을 부여합니다. | Write | |||
PutBucketTagging | 기존 Amazon S3 버킷에 태그 세트를 추가할 수 있는 권한을 부여합니다. | 태그 지정 | |||
PutBucketVersioning | 기존 Amazon S3 버킷의 버전 관리 상태를 설정할 수 있는 권한을 부여합니다. | Write | |||
PutBucketWebsite | 웹 사이트 하위 리소스에 지정된 웹사이트의 구성을 설정할 수 있는 권한을 부여합니다. | Write | |||
PutEncryptionConfiguration | Amazon S3 버킷에 대한 암호화 구성을 설정할 수 있는 권한을 부여합니다. | Write | |||
PutIntelligentTieringConfiguration | 새 Amazon S3 Intelligent Tiering 구성을 생성하거나 기존 Amazon S3 Intelligent Tiering 구성을 업데이트하거나 삭제할 권한을 부여합니다. | Write | |||
PutInventoryConfiguration | 인벤토리 ID로 식별되는 버킷에 인벤토리 구성을 추가할 수 있는 권한을 부여합니다. | Write | |||
PutJobTagging | 기존 Amazon S3 배치 작업에서 태그를 교체할 수 있는 권한을 부여합니다. | 태그 지정 | |||
PutLifecycleConfiguration | 버킷에 대한 명 주기 구성을 새로 생성하거나 기존 수명 주기 구성을 교체할 수 있는 권한을 부여합니다. | 쓰기 | |||
PutMetricsConfiguration | Amazon S3 버킷의 CloudWatch 요청 지표에 대한 지표 구성을 설정하거나 업데이트할 권한을 부여합니다. | 쓰기 | |||
PutMultiRegionAccessPointPolicy | 액세스 정책을 지정된 Multi-Region Access Point와 연결할 수 있는 권한을 부여합니다. | 권한 관리 | |||
PutObject | 버킷에 객체를 추가할 수 있는 권한을 부여합니다. | 쓰기 | |||
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
PutObjectAcl | S3 버킷의 새 객체 또는 기존 객체에 대한 액세스 제어 목록 (ACL) 권한을 설정할 권한을 부여합니다. | 권한 관리 | |||
PutObjectLegalHold | 지정된 객체에 법적 보존 구성을 적용할 수 있는 권한을 부여합니다. | Write | |||
PutObjectRetention | 객체에 객체 보존 구성을 배치할 수 있는 권한을 부여합니다. | Write | |||
PutObjectTagging | 제공된 태그 집합을 버킷에 이미 존재하는 객체로 설정할 수 있는 권한을 부여합니다. | 태그 지정 | |||
PutObjectVersionAcl | acl 하위 리소스를 사용하여 버킷에 이미 있는 객체에 대한 액세스 제어 목록 (ACL) 권한을 설정할 수 있는 권한을 부여합니다. | 권한 관리 | |||
PutObjectVersionTagging | 특정 버전의 객체에 대해 제공된 태그 세트를 설정할 수 있는 권한을 부여합니다. | 태그 지정 | |||
PutReplicationConfiguration | 복제 구성을 새로 생성하거나 기존 복제 구성을 교체할 수 있는 권한을 부여합니다. | Write |
iam:PassRole |
||
PutStorageLensConfiguration | Amazon S3 스토리지 렌즈 구성을 생성하거나 업데이트할 수 있는 권한을 부여합니다. | Write | |||
PutStorageLensConfigurationTagging | 기존 Amazon S3 스토리지 렌즈 구성에 태그를 넣거나 교체할 수 있는 권한을 부여합니다. | 태그 지정 | |||
ReplicateDelete | 대상 버킷에 삭제 마커를 복제할 수 있는 권한을 부여합니다. | Write | |||
ReplicateObject | 대상 버킷에 객체 및 객체 태그를 복제할 수 있는 권한을 부여합니다. | Write | |||
s3:x-amz-server-side-encryption |
|||||
ReplicateTags | 대상 버킷에 객체 태그를 복제할 수 있는 권한을 부여합니다. | 태그 지정 | |||
RestoreObject | 객체의 아카이브된 사본을 Amazon S3로 복원할 수 있는 권한을 부여합니다. | 쓰기 | |||
SubmitMultiRegionAccessPointRoutes | 다중 리전 액세스 포인트에 대한 경로 구성 업데이트를 제출할 수 있는 권한을 부여합니다. | 쓰기 | |||
TagResource | 지정된 리소스에 태그를 추가할 수 있는 권한을 부여합니다. | 태그 지정 | |||
UntagResource | 지정된 리소스에서 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
UpdateAccessGrantsLocation | Access Grants 위치를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
UpdateJobPriority | 기존 작업의 우선 순위를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
UpdateJobStatus | 지정된 작업의 상태를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
UpdateStorageLensGroup | 기존 S3 Storage Lens 그룹을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
Amazon S3에서 정의한 리소스 유형
이 서비스에서 정의한 리소스 유형은 다음과 같으며 IAM 권한 정책 설명의 Resource
요소에 사용할 수 있습니다. 작업 테이블의 각 작업에서 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 수 있는 조건 키를 정의할 수도 있습니다. 이러한 키는 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 대한 자세한 내용은 리소스 유형 테이블을 참조하세요.
리소스 유형 | ARN | 조건 키 |
---|---|---|
accesspoint |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
bucket |
arn:${Partition}:s3:::${BucketName}
|
|
object |
arn:${Partition}:s3:::${BucketName}/${ObjectName}
|
|
job |
arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
|
|
storagelensconfiguration |
arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}
|
|
storagelensgroup |
arn:${Partition}:s3:${Region}:${Account}:storage-lens-group/${Name}
|
|
objectlambdaaccesspoint |
arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
multiregionaccesspoint |
arn:${Partition}:s3::${Account}:accesspoint/${AccessPointAlias}
|
|
multiregionaccesspointrequestarn |
arn:${Partition}:s3:us-west-2:${Account}:async-request/mrap/${Operation}/${Token}
|
|
accessgrantsinstance |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default
|
|
accessgrantslocation |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/location/${Token}
|
|
accessgrant |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/grant/${Token}
|
Amazon S3에 사용되는 조건 키
Amazon S3는 IAM 정책 Condition
요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에 사용할 수 있는 글로벌 조건 키를 보려면 사용 가능한 글로벌 조건 키를 참조하세요.
조건 키 | 설명 | Type |
---|---|---|
aws:RequestTag/${TagKey} | 요청에서 전달되는 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
aws:ResourceTag/${TagKey} | 리소스와 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
aws:TagKeys | 요청에서 전달되는 태그 키를 기준으로 액세스를 필터링합니다. | ArrayOfString |
s3:AccessGrantsInstanceArn | 액세스 권한 부여 인스턴스별로 액세스를 필터링합니다. ARN | ARN |
s3:AccessPointNetworkOrigin | 네트워크 출처 (인터넷 또는VPC) 별로 액세스를 필터링합니다. | String |
s3:DataAccessPointAccount | 액세스 포인트를 소유한 AWS 계정 ID를 기준으로 액세스를 필터링합니다. | String |
s3:DataAccessPointArn | 액세스 포인트 Amazon 리소스 이름 (ARN) 을 기준으로 액세스를 필터링합니다. | ARN |
s3:ExistingJobOperation | 작업 우선 순위 업데이트에 대한 작업을 기준으로 액세스를 필터링합니다. | String |
s3:ExistingJobPriority | 우선 순위 범위를 기준으로 기존 작업 취소에 대한 액세스를 필터링합니다. | 숫자 |
s3:ExistingObjectTag/<key> | 기존 객체 태그 키와 값을 기준으로 액세스를 필터링합니다. | String |
s3:InventoryAccessibleOptionalFields | S3 Inventory 보고서를 구성할 때 사용자가 추가할 수 있는 선택적 메타데이터 필드를 제한하여 액세스를 필터링합니다. | ArrayOfString |
s3:JobSuspendedCause | 특정 작업 일시 중단 원인 (예: AWAITING _CONFIRMATION) 을 기준으로 액세스를 필터링하여 일시 중단된 작업을 취소합니다. | String |
s3:RequestJobOperation | 작업을 기준으로 작업 생성에 대한 액세스를 필터링합니다. | String |
s3:RequestJobPriority | 우선 순위 범위를 기준으로 새 작업 생성에 대한 액세스를 필터링합니다. | 숫자 |
s3:RequestObjectTag/<key> | 객체에 추가할 태그 키와 값을 기준으로 액세스를 필터링합니다. | 문자열 |
s3:RequestObjectTagKeys | 객체에 추가할 태그 키를 기준으로 액세스를 필터링합니다. | ArrayOfString |
s3:ResourceAccount | 리소스 소유자 AWS 계정 ID를 기준으로 액세스를 필터링합니다. | String |
s3:TlsVersion | 클라이언트가 사용하는 TLS 버전을 기준으로 액세스를 필터링합니다. | 숫자 |
s3:authType | 인증 방법을 기준으로 액세스를 필터링합니다. | 문자열 |
s3:delimiter | 구분 기호 파라미터를 기준으로 액세스를 필터링합니다. | String |
s3:destinationRegion | aws:s3 AWS FIS 작업의 대상 버킷에 대해 특정 복제 대상 지역별 액세스를 필터링합니다. bucket-pause-replication | String |
s3:isReplicationPauseRequest | aws:s3 작업을 통해 AWS FIS 이루어진 요청별로 액세스를 필터링합니다. bucket-pause-replication | 부울 |
s3:locationconstraint | 특정 리전을 기준으로 액세스를 필터링합니다. | String |
s3:max-keys | 요청에서 반환된 최대 키 수를 기준으로 액세스를 필터링합니다. ListBucket | 숫자 |
s3:object-lock-legal-hold | 객체 법적 보존 상태를 기준으로 액세스를 필터링합니다. | String |
s3:object-lock-mode | 객체 보존 모드 (COMPLIANCE또는GOVERNANCE) 별로 액세스를 필터링합니다. | String |
s3:object-lock-remaining-retention-days | 남은 객체 보존 일수를 기준으로 액세스를 필터링합니다. | 숫자 |
s3:object-lock-retain-until-date | 객체 보관 종료 날짜를 기준으로 액세스를 필터링합니다. | 날짜 |
s3:prefix | 키 이름 접두사를 기준으로 액세스를 필터링합니다. | 문자열 |
s3:signatureAge | 요청 서명의 시간(밀리초)을 기준으로 액세스를 필터링합니다. | 숫자 |
s3:signatureversion | 요청에 사용된 AWS 서명 버전을 기준으로 액세스를 필터링합니다. | String |
s3:versionid | 특정 객체 버전을 기준으로 액세스를 필터링합니다. | String |
s3:x-amz-acl | 요청 헤더의 ACL x-amz-acl '미리 보기'를 기준으로 액세스를 필터링합니다. | String |
s3:x-amz-content-sha256 | 버킷의 서명되지 않은 콘텐츠를 기준으로 액세스를 필터링합니다. | String |
s3:x-amz-copy-source | 객체 복사 요청 내의 복사 소스 버킷, 접두사 또는 객체를 기준으로 액세스를 필터링합니다. | String |
s3:x-amz-grant-full-control | x-amz-grant-full-control (전체 제어) 헤더별로 액세스를 필터링합니다. | String |
s3:x-amz-grant-read | x-amz-grant-read (읽기 액세스) 헤더별로 액세스를 필터링합니다. | String |
s3:x-amz-grant-read-acp | x-amz-grant-read-acp (에 대한 읽기 권한) 헤더를 기준으로 액세스를 필터링합니다ACL. | String |
s3:x-amz-grant-write | x-amz-grant-write (쓰기 액세스) 헤더별로 액세스를 필터링합니다. | String |
s3:x-amz-grant-write-acp | x-amz-grant-write-acp (에 대한 쓰기 권한) 헤더를 기준으로 액세스를 필터링합니다ACL. | String |
s3:x-amz-metadata-directive | 객체 복사 시 객체 메타데이터 동작 (COPY또는REPLACE) 을 기준으로 액세스를 필터링합니다. | String |
s3:x-amz-object-ownership | 객체 소유권을 기준으로 액세스를 필터링합니다. | String |
s3:x-amz-server-side-encryption | 서버 측 암호화를 기준으로 액세스를 필터링합니다. | String |
s3:x-amz-server-side-encryption-aws-kms-key-id | 서버 측 암호화를 CMK 위해 AWS KMS 고객이 관리하는 필터 액세스 | ARN |
s3:x-amz-server-side-encryption-customer-algorithm | 서버 측 암호화에 대해 고객 지정 알고리즘을 기준으로 액세스를 필터링합니다. | String |
s3:x-amz-storage-class | 스토리지 클래스별로 액세스를 필터링합니다. | 문자열 |
s3:x-amz-website-redirect-location | 정적 웹 사이트로 구성된 버킷의 특정 웹 사이트 리디렉션 위치별로 액세스를 필터링합니다. | String |