Políticas e permissões no Amazon S3
Esta página fornece uma visão geral de bucket e políticas de usuário no Amazon S3 e descreve os elementos básicos de uma política. Cada elemento listado vincula mais detalhes sobre esse elemento e exemplos de como usá-lo.
Consulte uma lista completa de ações, recursos e condições do Amazon S3 em Actions, resources, and condition keys for Amazon S3 na Referência de autorização do serviço.
No sentido mais básico, uma política contém os seguintes elementos:
-
Recurso: o bucket, o objeto, o ponto de acesso ou o trabalho do Amazon S3 ao qual a política se aplica. Use o nome do recurso da Amazon (ARN) do bucket, do objeto, do ponto de acesso ou do trabalho para identificar o recurso.
Um exemplo de operações em nível de bucket:
-
"Resource": "arn:aws:s3:::
.bucket_name
"Exemplos de operação em nível de objeto:
–
"Resource": "arn:aws:s3:::
para todos os objetos no bucket.bucket_name/*
"–
"Resource": "arn:aws:s3:::
para objetos com um prefixo específico no bucket.bucket_name/prefix/*
"Para ter mais informações, consulte Recursos do Amazon S3.
-
Ações: para cada recurso, o Amazon S3 oferece suporte a um conjunto de operações. Você identifica as operações de recursos que permitirão (ou negarão) usando palavras-chave de ação.
Por exemplo, a permissão
s3:ListBucket
autoriza o usuário a empregar a operação GET Bucket (List Objects) do Amazon S3. Para obter mais informações sobre como usar ações do Amazon S3, consulte Ações de política do Amazon S3. Para obter uma lista completa das ações do Amazon S3, consulte Ações. -
Efeito: qual será o efeito quando o usuário solicitar a ação específica - pode ser permitir ou negar.
Se você não conceder (permitir) explicitamente acesso a um recurso, o acesso estará implicitamente negado. Você também pode negar acesso explicitamente a um recurso. Você poderia fazer isso para garantir que um usuário não possa acessar o recurso, mesmo se uma política diferente conceder acesso. Para obter mais informações, consulte Elementos da política JSON do IAM: efeito.
-
Principal — A conta ou usuário que tem permissão de acesso a ações e recursos na instrução. Em uma política de bucket, o principal é o usuário, a conta, o serviço ou outra entidade que receba essa permissão. Para obter mais informações, consulte Principais.
-
Condição: condições para quando uma política está em vigor. Você pode usar chaves de toda a AWS e chaves específicas do Amazon S3 para especificar condições em uma política de acesso do Amazon S3. Para obter mais informações, consulte Exemplos de chave de condição do Amazon S3.
A política de bucket de exemplo a seguir mostra os elementos efeito, principal, ação e recurso. A política permite que Akua, um usuário na conta ID da conta
, tenha as permissões s3:GetObject
, s3:GetBucketLocation
e s3:ListBucket
do Amazon S3 no bucket awsexamplebucket1
.
{ "Version": "2012-10-17", "Id": "ExamplePolicy01", "Statement": [ { "Sid": "ExampleStatement01", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::
123456789012
:user/Akua" }, "Action": [ "s3:GetObject", "s3:GetBucketLocation", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::awsexamplebucket1/*", "arn:aws:s3:::awsexamplebucket1" ] } ] }
Para obter mais informações, consulte os tópicos abaixo. Para obter informações completas sobre linguagem de políticas, consulte Políticas e permissões e Referência de política de JSON do IAM no Guia do usuário do IAM.