Ações, recursos e chaves de condição do Amazon S3 - Amazon Simple Storage Service

Ações, recursos e chaves de condição do Amazon S3

O Amazon S3 (prefixo do serviço: s3) fornece os seguintes recursos, ações e chaves de contexto de condição específicos ao serviço para uso em políticas de permissão do IAM.

nota

Você pode usar as ações listadas abaixo nas políticas do IAM e políticas do bucket do Amazon S3 para conceder permissões para operações específicas da API do Amazon S3. A maioria das ações tem o mesmo nome que as operações de API às quais são associadas. No entanto, em alguns casos, os nomes da ação e da operação da API são diferentes. Além disso, uma única ação pode controlar o acesso a mais de uma operação e algumas operações exigem várias ações diferentes.

Referências:

Ações definidas pelo Amazon S3

Você pode especificar as seguintes ações no elemento Action de uma declaração de política do IAM. Use políticas para conceder permissões para executar uma operação na AWS. Quando usa uma ação em uma política, você geralmente permite ou nega acesso à operação da API ou ao comando da CLI com o mesmo nome. No entanto, em alguns casos, uma única ação controla o acesso a mais de uma operação. Como alternativa, algumas operações exigem várias ações diferentes.

A coluna Resource types (Tipos de recursos) indica se cada ação é compatível com permissões no nível do recurso. Se não houver valor para essa coluna, você deverá especificar todos os recursos ("*") no elemento Resource de sua declaração de política. Se a coluna incluir um tipo de recurso, você poderá especificar um ARN desse tipo em uma declaração com essa ação. Os recursos obrigatórios são indicados na tabela com um asterisco (*). Se você especificar um ARN de permissão no nível do recurso em uma instrução que esteja usando essa ação, ele deverá ser desse tipo. Algumas ações oferecem suporte a vários tipos de recursos. Se o tipo de recurso for opcional (não indicado como obrigatório), você poderá optar por usar um, mas não o outro.

Ações Descrição Nível de acesso Tipos de recursos (*necessários) Chaves de condição Ações dependentes
AbortMultipartUpload Concede permissão para anular um multipart upload Write

object*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

BypassGovernanceRetention Concede permissão para contornar as configurações de retenção de objetos no modo de governança Permissions management

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-server-side-encryption-customer-algorithm

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

CreateAccessPoint Concede permissão para criar um novo ponto de acesso Write

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:locationconstraint

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

CreateAccessPointForObjectLambda Concede permissão para criar um ponto de acesso habilitado para lambda objeto Write

objectlambdaaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

CreateBucket Concede permissão para criar um novo bucket Write

bucket*

s3:authType

s3:locationconstraint

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

CreateJob Concede permissão para criar um novo trabalho de operações em lote do Amazon S3 Write

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:RequestJobOperation

aws:TagKeys

aws:RequestTag/${TagKey}

iam:PassRole

CreateMultipartUpload Inicia um multipart upload e retorna um ID de upload Write

object*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteAccessPoint Concede permissão para excluir o ponto de acesso nomeado no URI Write

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteAccessPointForObjectLambda Concede permissão para excluir o ponto de acesso habilitado para o objeto lambda nomeado no URI Write

objectlambdaaccesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteAccessPointPolicy Concede permissão para excluir a política em um ponto de acesso especificado Permissions management

accesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteAccessPointPolicyForObjectLambda Concede permissão para excluir a política em um ponto de acesso habilitado para o objeto lambda especificado Permissions management

objectlambdaaccesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteBucket Concede permissão para excluir o bucket nomeado no URI Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteBucketOwnershipControls Concede permissão para excluir controles de propriedade em um bucket Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteBucketPolicy Concede permissão para excluir a política em um bucket especificado Permissions management

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteBucketWebsite Concede permissão para remover a configuração do site de um bucket Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteJobTagging Concede permissão para remover etiquetas de um trabalho existente de operações em lote do Amazon S3 Atribuição de tags (tagging)

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

DeleteObject Concede permissão para remover a versão nula de um objeto e inserir um marcador de exclusão, que se torna a versão atual do objeto Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteObjectTagging Concede permissão para usar o sub-recurso de marcação para remover todo o conjunto de etiquetas do objeto especificado Marcação

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteObjectVersion Concede permissão para remover uma versão específica de um objeto Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

DeleteObjectVersionTagging Concede permissão para remover todo o conjunto de etiquetas para uma versão específica do objeto Marcação

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

DeleteStorageLensConfiguration Concede permissão para excluir uma configuração existente do Amazon S3 Storage Lens Write

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DeleteStorageLensConfigurationTagging Concede permissão para remover etiquetas de uma configuração existente do Amazon S3 Storage Lens Marcação

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

DescribeJob Concede permissão para recuperar os parâmetros de configuração e o status de um trabalho de operações em lote Read

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccelerateConfiguration Concede permissão para usar o sub-recurso de aceleração para retornar o estado de Transfer Acceleration de um bucket, que é Habilitado ou Suspenso Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPoint Concede permissão para retornar informações de configuração sobre o ponto de acesso especificado Read

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointConfigurationForObjectLambda Concede permissão para recuperar a configuração do ponto de acesso habilitado para o objeto lambda Read

objectlambdaaccesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointForObjectLambda Concede permissão para criar um ponto de acesso habilitado para lambda objeto Read

objectlambdaaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointPolicy Concede permissão para retornar a política de ponto de acesso associada ao ponto de acesso especificado Read

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointPolicyForObjectLambda Concede permissão para retornar a política de ponto de acesso associada ao ponto de acesso habilitado para o objeto lambda especificado Read

objectlambdaaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointPolicyStatus Concede permissão para retornar o status da política para uma política de ponto de acesso específica Read

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccessPointPolicyStatusForObjectLambda Concede permissão para retornar o status da política para uma política de ponto de acesso específica de objeto lambda Read

objectlambdaaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAccountPublicAccessBlock Concede permissão para recuperar a configuração PublicAccessBlock para uma Conta da AWS Read

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetAnalyticsConfiguration Concede permissão para obter uma configuração de análise de um bucket do Amazon S3, identificada pelo ID de configuração de análise Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketAcl Concede permissão para usar o sub-recurso acl para retornar a lista de controle de acesso (ACL) de um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketCORS Concede permissão para retornar as informações de configuração de CORS definidas para um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketLocation Concede permissão para retornar a região em que um bucket do Amazon S3 reside Read

bucket*

GetBucketLogging Concede permissão para retornar o status do registro em log de um bucket do Amazon S3 e as permissões que os usuários têm para visualizar ou modificar esse status Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketNotification Concede permissão para obter a configuração de notificação de um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketObjectLockConfiguration Concede permissão para obter a configuração de bloqueio de objetos de um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:signatureversion

GetBucketOwnershipControls Concede permissão para recuperar controles de propriedade em um bucket Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketPolicy Concede permissão para retornar a política do bucket especificado Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketPolicyStatus Concede permissão para recuperar o status da política de um bucket específico do Amazon S3, o que indica se o bucket é público Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketPublicAccessBlock Concede permissão para recuperar a configuração PublicAccessBlock para um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketRequestPayment Concede permissão para retornar a configuração de pagamento da solicitação para um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketTagging Concede permissão para retornar o conjunto de etiquetas associado a um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketVersioning Concede permissão para retornar o estado de versionamento de um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetBucketWebsite Concede permissão para retornar a configuração do site para um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetEncryptionConfiguration Concede permissão para retornar a configuração de criptografia padrão de um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetIntelligentTieringConfiguration Concede permissão para obter uma ou listar todas a configuração do Amazon S3 Intelligent Tiering em um bucket do S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetInventoryConfiguration Concede permissão para retornar uma configuração de inventário de um bucket do Amazon S3, identificado pelo ID de configuração de inventário Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetJobTagging Concede permissão para retornar o conjunto de etiquetas de um trabalho existente de operações em lote do Amazon S3 Read

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetLifecycleConfiguration Concede permissão para retornar as informações de configuração de ciclo de vida definidas em um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetMetricsConfiguration Concede permissão para obter uma configuração de métricas de um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObject Concede permissão para recuperar objetos do Amazon S3 Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectAcl Concede permissão para retornar a lista de controle de acesso (ACL) de um objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectLegalHold Concede permissão para obter o status atual de retenção legal de um objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectRetention Concede permissão para recuperar as configurações de retenção de um objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectTagging Concede permissão para retornar o conjunto de etiquetas de um objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectVersion Concede permissão para recuperar uma versão específica de um objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionAcl Concede permissão para retornar a lista de controle de acesso (ACL) de uma versão específica de objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

GetObjectVersionForReplication Concede permissão para replicar objetos não criptografados e objetos criptografados com SSE-S3 ou SSE-KMS Read

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetObjectVersionTagging Concede permissão para retornar o conjunto de etiquetas para uma versão específica do objeto Read

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

GetReplicationConfiguration Concede permissão para obter as informações de configuração de replicação definidas em um bucket do Amazon S3 Read

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetStorageLensConfiguration Concede permissão para obter uma configuração do Amazon S3 Storage Lens Read

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetStorageLensConfigurationTagging Concede permissão para obter o conjunto de etiquetas de uma configuração existente do Amazon S3 Storage Lens Read

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

GetStorageLensDashboard Concede permissão para obter um painel do Amazon S3 Storage Lens Read

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListAccessPoints Concede permissão para listar pontos de acesso Read

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListAccessPointsForObjectLambda Concede permissão para listar os pontos de acesso habilitados para objeto lambda Read

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListAllMyBuckets Concede permissão para listar todos os buckets de propriedade do remetente autenticado da solicitação List

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListBucket Concede permissão para listar alguns ou todos os objetos em um bucket do Amazon S3 (até 1.000) List

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:delimiter

s3:max-keys

s3:prefix

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListBucketMultipartUploads Concede permissão para listar multipart uploads em andamento List

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListBucketVersions Concede permissão para listar metadados sobre todas as versões de objetos em um bucket do Amazon S3 List

bucket*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:delimiter

s3:max-keys

s3:prefix

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListJobs Concede permissão para listar trabalhos atuais e trabalhos que terminaram recentemente List

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListMultipartUploadParts Concede permissão para listar as partes que foram carregadas para um multipart upload específico List

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ListStorageLensConfigurations Concede permissão para listar configurações do Amazon S3 Storage Lens List

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ObjectOwnerOverrideToBucketOwner Concede permissão para alterar a propriedade da réplica Permissions management

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAccelerateConfiguration Concede permissão para usar o sub-recurso de aceleração para definir o estado de Transfer Acceleration de um bucket existente do S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAccessPointConfigurationForObjectLambda Concede permissão para definir a configuração do ponto de acesso habilitado para objeto lambda Write

objectlambdaaccesspoint*

s3:DataAccessPointArn

s3:DataAccessPointAccount

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAccessPointPolicy Concede permissão para associar uma política de acesso a um ponto de acesso especificado Permissions management

accesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAccessPointPolicyForObjectLambda Concede permissão para associar uma política de acesso a um ponto de acesso especificado habilitado para objeto lambda Permissions management

objectlambdaaccesspoint*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAccountPublicAccessBlock Concede permissão para criar ou modificar a configuração PublicAccessBlock para uma Conta da AWS Permissions management

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutAnalyticsConfiguration Concede permissão para definir uma configuração de análise para o bucket, especificada pelo ID de configuração de análise Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketAcl Concede permissão para definir as permissões em um bucket existente usando listas de controle de acesso (ACLs) Permissions management

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

PutBucketCORS Concede permissão para definir a configuração de CORS para um bucket do Amazon S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketLogging Concede permissão para definir os parâmetros de registro em log para um bucket do Amazon S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketNotification Concede permissão para receber notificações quando determinados eventos acontecem em um bucket do Amazon S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketObjectLockConfiguration Concede permissão para colocar a configuração de bloqueio de objetos em um bucket específico Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:TlsVersion

s3:signatureversion

PutBucketOwnershipControls Concede permissão para adicionar ou substituir controles de propriedade em um bucket Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketPolicy Concede permissão para adicionar ou substituir uma política de bucket em um bucket Permissions management

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketPublicAccessBlock Concede permissão para criar ou modificar a configuração PublicAccessBlock para um bucket específico do Amazon S3 Permissions management

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketRequestPayment Concede permissão para definir a configuração de pagamento de solicitação de um bucket Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketTagging Concede permissão para adicionar um conjunto de etiquetas a um bucket existente do Amazon S3 Marcação

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketVersioning Concede permissão para definir o estado de versionamento de um bucket existente do Amazon S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutBucketWebsite Concede permissão para definir a configuração do site especificado no sub-recurso do site Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutEncryptionConfiguration Concede permissão para definir a configuração de criptografia para um bucket do Amazon S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutIntelligentTieringConfiguration Concede permissão para criar novas ou atualizar ou excluir uma configuração do Amazon S3 Intelligent Tiering Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutInventoryConfiguration Concede permissão para adicionar uma configuração de inventário ao bucket, identificada pelo ID de inventário Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutJobTagging Concede permissão para substituir etiquetas em um trabalho existente de operações em lote do Amazon S3 Marcação

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

aws:TagKeys

aws:RequestTag/${TagKey}

PutLifecycleConfiguration Concede permissão para criar uma configuração de ciclo de vida para o bucket ou substituir uma configuração de ciclo de vida existente Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutMetricsConfiguration Concede permissão para definir ou atualizar uma configuração de métricas para as métricas de solicitação do CloudWatch de um bucket do Amazon S3 Write

bucket*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutObject Concede permissão para adicionar um objeto a um bucket Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-copy-source

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-metadata-directive

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-server-side-encryption-customer-algorithm

s3:x-amz-storage-class

s3:x-amz-website-redirect-location

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

s3:object-lock-legal-hold

PutObjectAcl Concede permissão para definir as permissões de lista de controle de acesso (ACL) para objetos novos ou existentes em um bucket do S3. Permissions management

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectLegalHold Concede permissão para aplicar uma configuração de retenção legal ao objeto especificado Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:object-lock-legal-hold

PutObjectRetention Concede permissão para colocar uma configuração de retenção de objetos em um objeto Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:object-lock-mode

s3:object-lock-retain-until-date

s3:object-lock-remaining-retention-days

PutObjectTagging Concede permissão para definir o conjunto de etiquetas fornecido para um objeto que já existe em um bucket ou ao carregar pela primeira vez o objeto. Marcação

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutObjectVersionAcl Concede permissão para usar o sub-recurso acl para definir as permissões de lista de controle de acesso (ACL) para um objeto que já existe em um bucket Permissions management

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-acl

s3:x-amz-content-sha256

s3:x-amz-grant-full-control

s3:x-amz-grant-read

s3:x-amz-grant-read-acp

s3:x-amz-grant-write

s3:x-amz-grant-write-acp

s3:x-amz-storage-class

PutObjectVersionTagging Concede permissão para definir o conjunto de etiquetas fornecido para uma versão específica de um objeto Marcação

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:ExistingObjectTag/<key>

s3:RequestObjectTag/<key>

s3:RequestObjectTagKeys

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:versionid

s3:x-amz-content-sha256

PutReplicationConfiguration Concede permissão para criar uma configuração de replicação ou substituir uma existente Write

bucket*

iam:PassRole

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

PutStorageLensConfiguration Concede permissão para criar ou atualizar uma configuração do Amazon S3 Storage Lens Write

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

aws:TagKeys

aws:RequestTag/${TagKey}

PutStorageLensConfigurationTagging Concede permissão para colocar ou substituir etiquetas em uma configuração existente do Amazon S3 Storage Lens Marcação

storagelensconfiguration*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

aws:TagKeys

aws:RequestTag/${TagKey}

ReplicateDelete Concede permissão para replicar marcadores de exclusão no bucket de destino Write

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

ReplicateObject Concede permissão para replicar objetos e etiquetas de objetos no bucket de destino Write

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:x-amz-server-side-encryption

s3:x-amz-server-side-encryption-aws-kms-key-id

s3:x-amz-server-side-encryption-customer-algorithm

ReplicateTags Concede permissão para replicar etiquetas de objetos no bucket de destino Marcação

object*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

RestoreObject Concede permissão para restaurar uma cópia arquivada de um objeto novamente no Amazon S3 Write

object*

s3:DataAccessPointAccount

s3:DataAccessPointArn

s3:AccessPointNetworkOrigin

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

UpdateJobPriority Concede permissão para atualizar a prioridade de um trabalho existente Write

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:RequestJobPriority

s3:ExistingJobPriority

s3:ExistingJobOperation

UpdateJobStatus Concede permissão para atualizar o status do trabalho especificado Write

job*

s3:authType

s3:ResourceAccount

s3:signatureAge

s3:signatureversion

s3:TlsVersion

s3:x-amz-content-sha256

s3:ExistingJobPriority

s3:ExistingJobOperation

s3:JobSuspendedCause

Tipos de recursos definidos pelo Amazon S3

Os seguintes tipos de recursos são definidos por este serviço e podem ser usados no elemento Resource de declarações de políticas de permissão do IAM. Cada ação na Tabela de ações identifica os tipos de recursos que podem ser especificados com essa ação. Um tipo de recurso também pode definir quais chaves de condição você pode incluir em uma política. Essas chaves são exibidas na última coluna da tabela.

Tipos de recursos ARN Chaves de condição
accesspoint arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
bucket arn:${Partition}:s3:::${BucketName}
object arn:${Partition}:s3:::${BucketName}/${ObjectName}
job arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
storagelensconfiguration arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}

aws:ResourceTag/${TagKey}

objectlambdaaccesspoint arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}

Chaves de condição do Amazon S3

O Amazon S3 define as seguintes chaves de condição que podem ser usadas no elemento Condition de uma política do IAM. É possível usar essas chaves para refinar ainda mais as condições sob as quais a declaração de política se aplica.

Para visualizar as chaves de condição globais disponíveis para todos os serviços, consulte Chaves de condição globais disponíveis.

Chaves de condição Descrição Type
aws:RequestTag/${TagKey} Filtra ações com base nas etiquetas transmitidas na solicitação String
aws:ResourceTag/${TagKey} Filtra as ações com base nas etiquetas associadas ao recurso String
aws:TagKeys Filtra ações com base nas chaves da etiqueta transmitidas na solicitação String
s3:AccessPointNetworkOrigin Filtra o acesso pela origem de rede (Internet ou VPC) String
s3:DataAccessPointAccount Filtra o acesso pelo ID da Conta da AWS que é proprietária do ponto de acesso String
s3:DataAccessPointArn Filtra o acesso pelo nome de recurso da Amazon (ARN) de um ponto de acesso String
s3:ExistingJobOperation Filtra o acesso à atualização da prioridade de trabalho por operação String
s3:ExistingJobPriority Filtra o acesso ao cancelamento de trabalhos existentes por intervalo de prioridade Numeric
s3:ExistingObjectTag/<key> Filtra o acesso por chave e valor da etiqueta de um objeto existente String
s3:JobSuspendedCause Filtra o acesso ao cancelamento de trabalhos suspensos por uma causa específica do trabalho suspenso (por exemplo, AWAITING_CONFIRMATION) String
s3:LocationConstraint Filtra o acesso por uma região específica String
s3:RequestJobOperation Filtra o acesso à criação de trabalhos por operação String
s3:RequestJobPriority Filtra o acesso à criação de novos trabalhos por intervalo de prioridade Numeric
s3:RequestObjectTag/<key> Filtra o acesso pelas chaves e valores da etiqueta a serem adicionados aos objetos String
s3:RequestObjectTagKeys Filtra o acesso pelas chaves de tag a serem adicionadas aos objetos String
s3:ResourceAccount Filtra o acesso pelo ID da Conta da AWS do proprietário do recurso String
s3:TlsVersion Filtra o acesso pela versão TLS usada pelo cliente Numeric
s3:VersionId Filtra o acesso por uma versão de objeto específica String
s3:authType Filtra o acesso por método de autenticação String
s3:delimiter Filtra o acesso por parâmetro delimitador String
s3:locationconstraint Filtra o acesso por uma região específica String
s3:max-keys Filtra o acesso pelo número máximo de chaves retornadas em uma solicitação ListBucket Numeric
s3:object-lock-legal-hold Filtra o acesso pelo status de obtenção legal do objeto String
s3:object-lock-mode Filtra o acesso por modo de retenção do objeto (COMPLIANCE ou GOVERNANCE, conformidade ou governança) String
s3:object-lock-remaining-retention-days Filtra o acesso pelos dias restantes da retenção do objeto String
s3:object-lock-retain-until-date Filtra o acesso pela data de término de retenção do objeto String
s3:prefix Filtra o acesso pelo prefixo do nome da chave String
s3:signatureAge Filtra o acesso pela idade em milissegundos da assinatura da solicitação Numeric
s3:signatureversion Filtra o acesso pela versão do AWS Signature usada na solicitação String
s3:versionid Filtra o acesso por uma versão de objeto específica String
s3:x-amz-acl Filtra o acesso pela ACL padrão no cabeçalho x-amz-acl da solicitação String
s3:x-amz-content-sha256 Filtra o acesso ao conteúdo não assinado no bucket String
s3:x-amz-copy-source Filtra o acesso a solicitações com bucket, prefixo ou objeto específico como a fonte de cópia String
s3:x-amz-grant-full-control Filtra o acesso a solicitações com o cabeçalho x-amz-grant-full-control (controle total) String
s3:x-amz-grant-read Filtra o acesso a solicitações com o cabeçalho x-amz-grant-read (acesso de leitura) String
s3:x-amz-grant-read-acp Filtra o acesso a solicitações com o cabeçalho x-amz-grant-read-acp (permissões de leitura para a ACL) String
s3:x-amz-grant-write Filtra o acesso a solicitações com o cabeçalho x-amz-grant-write (acesso de gravação) String
s3:x-amz-grant-write-acp Filtra o acesso a solicitações com o cabeçalho x-amz-grant-write-acp (permissões de gravação para a ACL) String
s3:x-amz-metadata-directive Filtra acesso pelo comportamento de metadados do objeto (COPY ou REPLACE, copiar ou substituir) quando objetos são copiados String
s3:x-amz-server-side-encryption Filtra o acesso pela criptografia do lado do servidor String
s3:x-amz-server-side-encryption-aws-kms-key-id Filtra o acesso pela criptografia do lado do servidor do AWS KMS key String
s3:x-amz-server-side-encryption-customer-algorithm Filtra o acesso por algoritmo especificado pelo cliente para criptografia no lado do servidor String
s3:x-amz-storage-class Filtra o acesso por classe de armazenamento String
s3:x-amz-website-redirect-location Filtra o acesso por um local de redirecionamento de site específico para buckets configurados como sites estáticos String