As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Ações, recursos e chaves de condição do Amazon S3
O Amazon S3 (prefixo do serviço: s3) fornece os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissão do IAM.
Referências:
-
Saiba como configurar este serviço.
-
Visualize uma lista das operações de API disponíveis para este serviço.
-
Saiba como proteger este serviço e seus recursos usando políticas de permissão do IAM.
Tópicos
Ações definidas pelo Amazon S3
Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.
A coluna Tipos de recursos na tabela Ações indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") aos quais a política se aplica no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma instrução com essa ação. Se a ação tiver um ou mais recursos necessários, o chamador deverá ter permissão para usar a ação com esses recursos. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você limitar o acesso aos recursos com o elemento Resource em uma política do IAM, deverá incluir um ARN ou padrão para cada tipo de recurso necessário. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um dos tipos de recurso opcionais.
A coluna Chaves de condição na tabela Ações inclui chaves que você pode especificar em um elemento Condition da declaração de política. Para obter mais informações sobre as chaves de condição associadas aos recursos do serviço, consulte a coluna Chaves de condição da tabela Tipos de recursos.
nota
As chaves de condição do recurso estão listadas na tabela Tipos de recursos. Você pode encontrar um link para o tipo de recurso que se aplica a uma ação na coluna Tipos de recursos (*obrigatório) da tabela Ações. O tipo de recurso na tabela Tipos de recursos inclui a coluna Chaves de condição, que são as chaves de condição do recurso que se aplicam a uma ação na tabela Ações.
Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de ações.
| Ações | Descrição | Nível de acesso | Tipos de recursos (*necessários) | Chaves de condição | Ações dependentes |
|---|---|---|---|---|---|
| AbortMultipartUpload | Concede permissão para anular um multipart upload | Escrever | |||
| AssociateAccessGrantsIdentityCenter | Concede permissão para associar o centro de identidade do Access Grants | Escrever | |||
| BypassGovernanceRetention | Concede permissão para contornar as configurações de retenção de objetos no modo de governança | Permissions management | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| CreateAccessGrant | Concede permissão para criar concessão de acesso | Escrever | |||
| CreateAccessGrantsInstance | Concede permissão para criar instância do Access Grants | Escrever | |||
| CreateAccessGrantsLocation | Concede permissão para criar um local do Access Grants | Escrever | |||
| CreateAccessPoint | Concede permissão para criar um novo ponto de acesso | Write | |||
| CreateAccessPointForObjectLambda | Concede permissão para criar um ponto de acesso habilitado para lambda objeto | Write | |||
| CreateBucket | Concede permissão para criar um novo bucket | Write | |||
| CreateJob | Concede permissão para criar um novo trabalho de operações em lote do Amazon S3 | Escrever |
iam:PassRole |
||
| CreateMultiRegionAccessPoint | Concede permissão para criar um novo ponto de acesso multirregional | Escrever | |||
| CreateStorageLensGroup | Concede permissão para criar um grupo do Lente de Armazenamento do Amazon S3 | Escrever | |||
| DeleteAccessGrant | Concede permissão para excluir concessão de acesso | Escrever | |||
| DeleteAccessGrantsInstance | Concede permissão para excluir instância do Access Grants | Escrever | |||
| DeleteAccessGrantsInstanceResourcePolicy | Concede permissão para ler a política de recurso da instância do Access Grants | Escrever | |||
| DeleteAccessGrantsLocation | Concede permissão para excluir um local do Access Grants | Escrever | |||
| DeleteAccessPoint | Concede permissão para excluir o ponto de acesso nomeado no URI | Write | |||
| DeleteAccessPointForObjectLambda | Concede permissão para excluir o ponto de acesso habilitado para o objeto lambda nomeado no URI | Write | |||
| DeleteAccessPointPolicy | Concede permissão para excluir a política em um ponto de acesso especificado | Permissions management | |||
| DeleteAccessPointPolicyForObjectLambda | Concede permissão para excluir a política em um ponto de acesso habilitado para o objeto lambda especificado | Permissions management | |||
| DeleteBucket | Concede permissão para excluir o bucket nomeado no URI | Write | |||
| DeleteBucketPolicy | Concede permissão para excluir a política em um bucket especificado | Permissions management | |||
| DeleteBucketWebsite | Concede permissão para remover a configuração do site de um bucket | Write | |||
| DeleteJobTagging | Concede permissão para remover etiquetas de um trabalho existente de operações em lote do Amazon S3 | Atribuição de tags (tagging) | |||
| DeleteMultiRegionAccessPoint | Concede permissão para excluir o ponto de acesso multirregional nomeado no URI | Escrever | |||
| DeleteObject | Concede permissão para remover a versão nula de um objeto e inserir um marcador de exclusão, que se torna a versão atual do objeto | Write | |||
| DeleteObjectTagging | Concede permissão para usar o sub-recurso de marcação para remover todo o conjunto de etiquetas do objeto especificado | Marcação | |||
| DeleteObjectVersion | Concede permissão para remover uma versão específica de um objeto | Write | |||
| DeleteObjectVersionTagging | Concede permissão para remover todo o conjunto de etiquetas para uma versão específica do objeto | Marcação | |||
| DeleteStorageLensConfiguration | Concede permissão para excluir uma configuração existente do Amazon S3 Storage Lens | Write | |||
| DeleteStorageLensConfigurationTagging | Concede permissão para remover etiquetas de uma configuração existente do Amazon S3 Storage Lens | Tags | |||
| DeleteStorageLensGroup | Concede permissão para excluir um grupo existente do Lente de Armazenamento do S3 | Escrever | |||
| DescribeJob | Concede permissão para recuperar os parâmetros de configuração e o status de um trabalho de operações em lote | Leitura | |||
| DescribeMultiRegionAccessPointOperation | Concede permissão para recuperar as configurações de um ponto de acesso multirregional | Leitura | |||
| DissociateAccessGrantsIdentityCenter | Concede permissão para desassociar o centro de identidade do Access Grants | Escrever | |||
| GetAccelerateConfiguration | Concede permissão para usar o sub-recurso de aceleração para retornar o estado de Transfer Acceleration de um bucket, que é Habilitado ou Suspenso | Leitura | |||
| GetAccessGrant | Concede permissão para ler a concessão de acesso | Leitura | |||
| GetAccessGrantsInstance | Concede permissão para ler instância do Access Grants | Leitura | |||
| GetAccessGrantsInstanceForPrefix | Concede permissão para ler a instância do Access Grants por prefixo | Leitura | |||
| GetAccessGrantsInstanceResourcePolicy | Concede permissão para ler a política de recurso da instância do Access Grants | Leitura | |||
| GetAccessGrantsLocation | Concede permissão para ler um local do Access Grants | Leitura | |||
| GetAccessPoint | Concede permissão para retornar informações de configuração sobre o ponto de acesso especificado | Read | |||
| GetAccessPointConfigurationForObjectLambda | Concede permissão para recuperar a configuração do ponto de acesso habilitado para o objeto lambda | Read | |||
| GetAccessPointForObjectLambda | Concede permissão para criar um ponto de acesso habilitado para lambda objeto | Read | |||
| GetAccessPointPolicy | Concede permissão para retornar a política de ponto de acesso associada ao ponto de acesso especificado | Read | |||
| GetAccessPointPolicyForObjectLambda | Concede permissão para retornar a política de ponto de acesso associada ao ponto de acesso habilitado para o objeto lambda especificado | Read | |||
| GetAccessPointPolicyStatus | Concede permissão para retornar o status da política para uma política de ponto de acesso específica | Read | |||
| GetAccessPointPolicyStatusForObjectLambda | Concede permissão para retornar o status da política para uma política de ponto de acesso específica de objeto lambda | Leitura | |||
| GetAccountPublicAccessBlock | Concede permissão para recuperar a PublicAccessBlock configuração de um Conta da AWS | Leitura | |||
| GetAnalyticsConfiguration | Concede permissão para obter uma configuração de análise de um bucket do Amazon S3, identificada pelo ID de configuração de análise | Read | |||
| GetBucketAcl | Concede permissão para usar o sub-recurso acl para retornar a lista de controle de acesso (ACL) de um bucket do Amazon S3 | Read | |||
| GetBucketCORS | Concede permissão para retornar as informações de configuração de CORS definidas para um bucket do Amazon S3 | Read | |||
| GetBucketLocation | Concede permissão para retornar a região em que um bucket do Amazon S3 reside | Read | |||
| GetBucketLogging | Concede permissão para retornar o status do registro em log de um bucket do Amazon S3 e as permissões que os usuários têm para visualizar ou modificar esse status | Read | |||
| GetBucketNotification | Concede permissão para obter a configuração de notificação de um bucket do Amazon S3 | Read | |||
| GetBucketObjectLockConfiguration | Concede permissão para obter a configuração de bloqueio de objetos de um bucket do Amazon S3 | Read | |||
| GetBucketOwnershipControls | Concede permissão para recuperar controles de propriedade em um bucket | Read | |||
| GetBucketPolicy | Concede permissão para retornar a política do bucket especificado | Read | |||
| GetBucketPolicyStatus | Concede permissão para recuperar o status da política de um bucket específico do Amazon S3, o que indica se o bucket é público | Leitura | |||
| GetBucketPublicAccessBlock | Concede permissão para recuperar a PublicAccessBlock configuração de um bucket do Amazon S3 | Leitura | |||
| GetBucketRequestPayment | Concede permissão para retornar a configuração de pagamento da solicitação para um bucket do Amazon S3 | Read | |||
| GetBucketTagging | Concede permissão para retornar o conjunto de etiquetas associado a um bucket do Amazon S3 | Read | |||
| GetBucketVersioning | Concede permissão para retornar o estado de versionamento de um bucket do Amazon S3 | Read | |||
| GetBucketWebsite | Concede permissão para retornar a configuração do site para um bucket do Amazon S3 | Leitura | |||
| GetDataAccess | Concede permissão para obter acesso | Leitura | |||
| GetEncryptionConfiguration | Concede permissão para retornar a configuração de criptografia padrão de um bucket do Amazon S3 | Read | |||
| GetIntelligentTieringConfiguration | Concede permissão para obter uma ou listar todas a configuração do Amazon S3 Intelligent Tiering em um bucket do S3 | Read | |||
| GetInventoryConfiguration | Concede permissão para retornar uma configuração de inventário de um bucket do Amazon S3, identificado pelo ID de configuração de inventário | Read | |||
| GetJobTagging | Concede permissão para retornar o conjunto de etiquetas de um trabalho existente de operações em lote do Amazon S3 | Read | |||
| GetLifecycleConfiguration | Concede permissão para retornar as informações de configuração de ciclo de vida definidas em um bucket do Amazon S3 | Read | |||
| GetMetricsConfiguration | Concede permissão para obter uma configuração de métricas de um bucket do Amazon S3 | Leitura | |||
| GetMultiRegionAccessPoint | Concede permissão para retornar informações de configuração sobre o ponto de acesso multirregional especificado | Leitura | |||
| GetMultiRegionAccessPointPolicy | Concede permissão para retornar a política de ponto de acesso associada ao ponto de acesso multirregional especificado | Leitura | |||
| GetMultiRegionAccessPointPolicyStatus | Concede permissão para retornar o status de política para uma política de ponto de acesso multirregional específica | Leitura | |||
| GetMultiRegionAccessPointRoutes | Concede permissão para retornar a configuração de rota de um ponto de acesso multirregional | Leitura | |||
| GetObject | Concede permissão para recuperar objetos do Amazon S3 | Read | |||
| GetObjectAcl | Concede permissão para retornar a lista de controle de acesso (ACL) de um objeto | Leitura | |||
| GetObjectAttributes | Concede permissão para recuperar atributos relacionados a um objeto específico | Leitura | |||
| GetObjectLegalHold | Concede permissão para obter o status atual de retenção legal de um objeto | Read | |||
| GetObjectRetention | Concede permissão para recuperar as configurações de retenção de um objeto | Read | |||
| GetObjectTagging | Concede permissão para retornar o conjunto de etiquetas de um objeto | Read | |||
| GetObjectTorrent | Concede permissão para retornar arquivos torrent de um bucket do Amazon S3 | Read | |||
| GetObjectVersion | Concede permissão para recuperar uma versão específica de um objeto | Read | |||
| GetObjectVersionAcl | Concede permissão para retornar a lista de controle de acesso (ACL) de uma versão específica de objeto | Leitura | |||
| GetObjectVersionAttributes | Concede permissão para recuperar atributos relacionados a uma versão específica de um objeto | Leitura | |||
| GetObjectVersionForReplication | Concede permissão para replicar objetos não criptografados e objetos criptografados com SSE-S3 ou SSE-KMS | Read | |||
| GetObjectVersionTagging | Concede permissão para retornar o conjunto de etiquetas para uma versão específica do objeto | Read | |||
| GetObjectVersionTorrent | Concede permissão para obter arquivos Torrent sobre uma versão diferente usando o sub-recurso versionId | Read | |||
| GetReplicationConfiguration | Concede permissão para obter as informações de configuração de replicação definidas em um bucket do Amazon S3 | Read | |||
| GetStorageLensConfiguration | Concede permissão para obter uma configuração do Amazon S3 Storage Lens | Read | |||
| GetStorageLensConfigurationTagging | Concede permissão para obter o conjunto de etiquetas de uma configuração existente do Amazon S3 Storage Lens | Read | |||
| GetStorageLensDashboard | Concede permissão para obter um painel do Amazon S3 Storage Lens | Leitura | |||
| GetStorageLensGroup | Concede permissão para obter um grupo do Lente de Armazenamento do Amazon S3 | Leitura | |||
| InitiateReplication [somente permissão] | Concede permissão para iniciar o processo de replicação definindo o status de replicação de um objeto como pendente | Escrever | |||
| ListAccessGrants | Concede permissão para listar concessão de acesso | Lista | |||
| ListAccessGrantsInstances | Concede permissão para listar instâncias do Access Grants | Lista | |||
| ListAccessGrantsLocations | Concede permissão para listar locais do Access Grants | Lista | |||
| ListAccessPoints | Concede permissão para listar pontos de acesso | Lista | |||
| ListAccessPointsForObjectLambda | Concede permissão para listar os pontos de acesso habilitados para objeto lambda | Lista | |||
| ListAllMyBuckets | Concede permissão para listar todos os buckets de propriedade do remetente autenticado da solicitação | List | |||
| ListBucket | Concede permissão para listar alguns ou todos os objetos em um bucket do Amazon S3 (até 1.000) | List | |||
| ListBucketMultipartUploads | Concede permissão para listar multipart uploads em andamento | List | |||
| ListBucketVersions | Concede permissão para listar metadados sobre todas as versões de objetos em um bucket do Amazon S3 | List | |||
| ListJobs | Concede permissão para listar trabalhos atuais e trabalhos que terminaram recentemente | Lista | |||
| ListMultiRegionAccessPoints | Concede permissão para listar pontos de acesso multirregionais | Lista | |||
| ListMultipartUploadParts | Concede permissão para listar as partes que foram carregadas para um multipart upload específico | List | |||
| ListStorageLensConfigurations | Concede permissão para listar configurações do Amazon S3 Storage Lens | Lista | |||
| ListStorageLensGroups | Concede permissão para listar grupos do Lente de Armazenamento do S3 | Lista | |||
| ListTagsForResource | Concede permissão para listar as etiquetas anexadas ao recurso especificado | Lista | |||
| ObjectOwnerOverrideToBucketOwner | Concede permissão para alterar a propriedade da réplica | Permissions management | |||
| PutAccelerateConfiguration | Concede permissão para usar o sub-recurso de aceleração para definir o estado de Transfer Acceleration de um bucket existente do S3 | Escrever | |||
| PutAccessGrantsInstanceResourcePolicy | Concede permissão para colocar a política de recurso da instância do Access Grants | Escrever | |||
| PutAccessPointConfigurationForObjectLambda | Concede permissão para definir a configuração do ponto de acesso habilitado para objeto lambda | Write | |||
| PutAccessPointPolicy | Concede permissão para associar uma política de acesso a um ponto de acesso especificado | Permissions management | |||
| PutAccessPointPolicyForObjectLambda | Concede permissão para associar uma política de acesso a um ponto de acesso especificado habilitado para objeto lambda | Gerenciamento de permissões | |||
| PutAccessPointPublicAccessBlock | Concede permissão para associar configurações de bloco de acesso público a um ponto de acesso especificado, criando um ponto de acesso | Gerenciamento de permissões | |||
| PutAccountPublicAccessBlock | Concede permissão para criar ou modificar a PublicAccessBlock configuração de um Conta da AWS | Gerenciamento de permissões | |||
| PutAnalyticsConfiguration | Concede permissão para definir uma configuração de análise para o bucket, especificada pelo ID de configuração de análise | Write | |||
| PutBucketAcl | Concede permissão para definir as permissões em um bucket existente usando listas de controle de acesso (ACLs) | Permissions management | |||
| PutBucketCORS | Concede permissão para definir a configuração de CORS para um bucket do Amazon S3 | Write | |||
| PutBucketLogging | Concede permissão para definir os parâmetros de registro em log para um bucket do Amazon S3 | Write | |||
| PutBucketNotification | Concede permissão para receber notificações quando determinados eventos acontecem em um bucket do Amazon S3 | Write | |||
| PutBucketObjectLockConfiguration | Concede permissão para colocar a configuração de bloqueio de objetos em um bucket específico | Escrever | |||
| PutBucketOwnershipControls | Concede permissão para adicionar, substituir ou excluir controles de propriedade em um bucket | Escrever | |||
| PutBucketPolicy | Concede permissão para adicionar ou substituir uma política de bucket em um bucket | Gerenciamento de permissões | |||
| PutBucketPublicAccessBlock | Concede permissão para criar ou modificar a PublicAccessBlock configuração de um bucket específico do Amazon S3 | Gerenciamento de permissões | |||
| PutBucketRequestPayment | Concede permissão para definir a configuração de pagamento de solicitação de um bucket | Write | |||
| PutBucketTagging | Concede permissão para adicionar um conjunto de etiquetas a um bucket existente do Amazon S3 | Marcação | |||
| PutBucketVersioning | Concede permissão para definir o estado de versionamento de um bucket existente do Amazon S3 | Write | |||
| PutBucketWebsite | Concede permissão para definir a configuração do site especificado no sub-recurso do site | Write | |||
| PutEncryptionConfiguration | Concede permissão para definir a configuração de criptografia para um bucket do Amazon S3 | Write | |||
| PutIntelligentTieringConfiguration | Concede permissão para criar novas ou atualizar ou excluir uma configuração do Amazon S3 Intelligent Tiering | Write | |||
| PutInventoryConfiguration | Concede permissão para adicionar uma configuração de inventário ao bucket, identificada pelo ID de inventário | Write | |||
| PutJobTagging | Concede permissão para substituir etiquetas em um trabalho existente de operações em lote do Amazon S3 | Marcação | |||
| PutLifecycleConfiguration | Concede permissão para criar uma configuração de ciclo de vida para o bucket ou substituir uma configuração de ciclo de vida existente | Escrever | |||
| PutMetricsConfiguration | Concede permissão para definir ou atualizar uma configuração de métricas para as métricas de CloudWatch solicitação de um bucket do Amazon S3 | Escrever | |||
| PutMultiRegionAccessPointPolicy | Concede permissão para associar uma política de acesso a um ponto de acesso multirregional especificado | Gerenciamento de permissões | |||
| PutObject | Concede permissão para adicionar um objeto a um bucket | Escrever | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| PutObjectAcl | Concede permissão para definir as permissões de lista de controle de acesso (ACL) para objetos novos ou existentes em um bucket do S3 | Gerenciamento de permissões | |||
| PutObjectLegalHold | Concede permissão para aplicar uma configuração de retenção legal ao objeto especificado | Write | |||
| PutObjectRetention | Concede permissão para colocar uma configuração de retenção de objetos em um objeto | Write | |||
| PutObjectTagging | Concede permissão para definir o conjunto de etiquetas fornecido para um objeto que já existe em um bucket | Marcação | |||
| PutObjectVersionAcl | Concede permissão para usar o sub-recurso acl para definir as permissões de lista de controle de acesso (ACL) para um objeto que já existe em um bucket | Permissions management | |||
| PutObjectVersionTagging | Concede permissão para definir o conjunto de etiquetas fornecido para uma versão específica de um objeto | Marcação | |||
| PutReplicationConfiguration | Concede permissão para criar uma configuração de replicação ou substituir uma existente | Write |
iam:PassRole |
||
| PutStorageLensConfiguration | Concede permissão para criar ou atualizar uma configuração do Amazon S3 Storage Lens | Write | |||
| PutStorageLensConfigurationTagging | Concede permissão para colocar ou substituir etiquetas em uma configuração existente do Amazon S3 Storage Lens | Marcação | |||
| ReplicateDelete | Concede permissão para replicar marcadores de exclusão no bucket de destino | Write | |||
| ReplicateObject | Concede permissão para replicar objetos e etiquetas de objetos no bucket de destino | Write | |||
|
s3:x-amz-server-side-encryption |
|||||
| ReplicateTags | Concede permissão para replicar etiquetas de objetos no bucket de destino | Marcação | |||
| RestoreObject | Concede permissão para restaurar uma cópia arquivada de um objeto novamente no Amazon S3 | Escrever | |||
| SubmitMultiRegionAccessPointRoutes | Concede permissão para enviar uma atualização de configuração de rota de um ponto de acesso multirregional | Escrever | |||
| TagResource | Concede permissão para adicionar tags ao recurso especificado | Tags | |||
| UntagResource | Concede permissão para remover tags do recurso especificado | Tags | |||
| UpdateAccessGrantsLocation | Concede permissão para atualizar um local do Access Grants | Escrever | |||
| UpdateJobPriority | Concede permissão para atualizar a prioridade de um trabalho existente | Write | |||
| UpdateJobStatus | Concede permissão para atualizar o status do trabalho especificado | Escrever | |||
| UpdateStorageLensGroup | Concede permissão para atualizar um grupo existente do Lente de Armazenamento do S3 | Escrever | |||
Tipos de recursos definidos pelo Amazon S3
Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de tipos de recursos.
| Tipos de recursos | ARN | Chaves de condição |
|---|---|---|
| accesspoint |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| object |
arn:${Partition}:s3:::${BucketName}/${ObjectName}
|
|
| job |
arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
|
|
| storagelensconfiguration |
arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}
|
|
| storagelensgroup |
arn:${Partition}:s3:${Region}:${Account}:storage-lens-group/${Name}
|
|
| objectlambdaaccesspoint |
arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| multiregionaccesspoint |
arn:${Partition}:s3::${Account}:accesspoint/${AccessPointAlias}
|
|
| multiregionaccesspointrequestarn |
arn:${Partition}:s3:us-west-2:${Account}:async-request/mrap/${Operation}/${Token}
|
|
| accessgrantsinstance |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default
|
|
| accessgrantslocation |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/location/${Token}
|
|
| accessgrant |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/grant/${Token}
|
Chaves de condição do Amazon S3
O Amazon S3 define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica. Para obter detalhes sobre as colunas na tabela a seguir, consulte Tabela de chaves de condição.
Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.
| Chaves de condição | Descrição | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra o acesso pelas etiquetas que são transmitidas na solicitação | Segmento |
| aws:ResourceTag/${TagKey} | Filtra o acesso pelas etiquetas associadas ao recurso | Segmento |
| aws:TagKeys | Filtra o acesso pelas chaves da etiqueta que são transmitidas na solicitação | ArrayOfString |
| s3:AccessGrantsInstanceArn | Filtra o acesso por ARN da instância de concessão de acesso | ARN |
| s3:AccessPointNetworkOrigin | Filtra o acesso pela origem de rede (Internet ou VPC) | String |
| s3:DataAccessPointAccount | Filtra o acesso pelo ID da AWS conta que possui o ponto de acesso | String |
| s3:DataAccessPointArn | Filtra o acesso pelo nome de recurso da Amazon (ARN) de um ponto de acesso | ARN |
| s3:ExistingJobOperation | Filtra o acesso por operação para atualização da prioridade de trabalho | String |
| s3:ExistingJobPriority | Filtra o acesso por intervalo de prioridade para cancelamento de trabalhos existentes | Numeric |
| s3:ExistingObjectTag/<key> | Filtra o acesso por chave e valor da etiqueta de um objeto existente | String |
| s3:InventoryAccessibleOptionalFields | Filtra o acesso restringindo quais campos de metadados opcionais um usuário pode adicionar ao configurar os relatórios do S3 Inventory | ArrayOfString |
| s3:JobSuspendedCause | Filtra o acesso por uma causa específica do trabalho suspenso (por exemplo, AWAITING_CONFIRMATION) para cancelamento de trabalhos suspensos | String |
| s3:RequestJobOperation | Filtra o acesso por operação para criação de trabalhos | String |
| s3:RequestJobPriority | Filtra o acesso por intervalo de prioridade para criação de novos trabalhos | Numérico |
| s3:RequestObjectTag/<key> | Filtra o acesso pelas chaves e valores da etiqueta a serem adicionados aos objetos | String |
| s3:RequestObjectTagKeys | Filtra o acesso pelas chaves da etiqueta a serem adicionadas aos objetos | ArrayOfString |
| s3:ResourceAccount | Filtra o acesso pelo Conta da AWS ID do proprietário do recurso | String |
| s3:TlsVersion | Filtra o acesso pela versão TLS usada pelo cliente | Numeric |
| s3:authType | Filtra o acesso por método de autenticação | String |
| s3:delimiter | Filtra o acesso por parâmetro delimitador | String |
| s3:locationconstraint | Filtra o acesso por uma região específica | String |
| s3:max-keys | Filtra o acesso pelo número máximo de chaves retornadas em uma ListBucket solicitação | Numérico |
| s3:object-lock-legal-hold | Filtra o acesso pelo status de obtenção legal do objeto | String |
| s3:object-lock-mode | Filtra o acesso por modo de retenção do objeto (COMPLIANCE ou GOVERNANCE, conformidade ou governança) | String |
| s3:object-lock-remaining-retention-days | Filtra o acesso pelos dias restantes da retenção do objeto | Numérico |
| s3:object-lock-retain-until-date | Filtra o acesso pela data de término de retenção do objeto | Data |
| s3:prefix | Filtra o acesso pelo prefixo do nome da chave | String |
| s3:signatureAge | Filtra o acesso pela idade em milissegundos da assinatura da solicitação | Numérico |
| s3:signatureversion | Filtra o acesso pela versão da AWS assinatura usada na solicitação | String |
| s3:versionid | Filtra o acesso por uma versão de objeto específica | String |
| s3:x-amz-acl | Filtra o acesso por ACL padrão no cabeçalho da solicitação x-amz-acl | String |
| s3:x-amz-content-sha256 | Filtra o acesso por conteúdo não assinado em seu bucket | String |
| s3:x-amz-copy-source | Filtra acesso por objeto, prefixo ou bucket de fonte de cópia nas solicitações de objeto de cópia | String |
| s3:x-amz-grant-full-control | Filtra o acesso pelo x-amz-grant-full cabeçalho -control (controle total) | String |
| s3:x-amz-grant-read | Filtra o acesso por cabeçalho x-amz-grant-read (acesso de leitura) | String |
| s3:x-amz-grant-read-acp | Filtra o acesso pelo x-amz-grant-read cabeçalho -acp (permissões de leitura para a ACL) | String |
| s3:x-amz-grant-write | Filtra o acesso pelo cabeçalho x-amz-grant-write (acesso de gravação) | String |
| s3:x-amz-grant-write-acp | Filtra o acesso pelo x-amz-grant-write cabeçalho -acp (permissões de gravação para a ACL) | String |
| s3:x-amz-metadata-directive | Filtra acesso pelo comportamento de metadados do objeto (COPY ou REPLACE, copiar ou substituir) quando objetos são copiados | String |
| s3:x-amz-object-ownership | Filtra o acesso por propriedade de objetos | String |
| s3:x-amz-server-side-encryption | Filtra o acesso pela criptografia do lado do servidor | String |
| s3:x-amz-server-side-encryption-aws-kms-key-id | Filtra o acesso pela CMK gerenciada pelo cliente do AWS KMS para criptografia no lado do servidor | ARN |
| s3:x-amz-server-side-encryption-customer-algorithm | Filtra o acesso por algoritmo especificado pelo cliente para criptografia no lado do servidor | String |
| s3:x-amz-storage-class | Filtra o acesso por classe de armazenamento | String |
| s3:x-amz-website-redirect-location | Filtra o acesso por um local de redirecionamento de site específico para buckets configurados como sites estáticos | String |
