Amazon S3 中的 Identity and Access Management

默认情况下，所有 Amazon S3 资源都是私有的，包括存储桶、对象和相关子资源（例如，lifecycle 配置和 website 配置）。只有资源拥有者和创建资源的 AWS 账户可以访问该资源。资源拥有者可以选择通过编写访问策略授予他人访问权限。

Amazon S3 提供的访问策略选项大致可分为基于资源的策略和用户策略两类。附加到资源（存储桶和对象）的访问策略称为基于资源的策略。例如，存储桶策略和接入点策略都是基于资源的策略。您也可以将访问策略附加到您账户中的用户。这些策略称为用户策略。您可以选择使用基于资源的策略、用户策略或这些策略的某种组合来管理您的 Amazon S3 资源权限。您也可以使用访问控制列表 (ACL) 向其他 AWS 账户 授予基本的读/写权限。

S3 对象所有权是 Amazon S3 存储桶级别的设置，您可以使用该设置来控制上传到存储桶的对象的所有权和禁用或启用 ACL。默认情况下，对象所有权设为强制存储桶拥有者设置，并且所有 ACL 均处于禁用状态。禁用 ACL 后，存储桶拥有者拥有存储桶中的所有对象，并使用访问管理策略来专门管理对这些对象的访问权限。

Amazon S3 中的大多数现代使用案例不再需要使用 ACL。我们建议您将 ACL 保持为禁用状态，除非有需要单独控制每个对象的访问权限的特殊情况。禁用 ACL 后，您可以使用策略来控制对存储桶中所有对象的访问权限，无论是谁将对象上传到您的存储桶。有关更多信息，请参阅为您的存储桶控制对象所有权和禁用 ACL。。

排查拒绝访问（403 禁止）错误

有关 Amazon S3 中拒绝访问（403 禁止）错误的常见原因的更多信息，请参阅排查 Amazon S3 中的拒绝访问（403 禁止）错误。

Amazon S3 的操作、资源和条件键

有关 Amazon S3 的 IAM 权限、资源和条件键的完整列表，请参阅《服务授权参考》中的 Amazon S3 的操作、资源和条件键。

更多信息

有关管理对 Amazon S3 对象和存储桶的访问权限的更多信息，请参阅以下主题。

注意

有关将 Amazon S3 Express One Zone 存储类与目录存储桶配合使用的更多信息，请参阅 什么是 S3 Express One Zone？ 和目录桶。

主题

• 有关管理访问的概述
• 访问策略指南
• Amazon S3 如何对请求授权
• 存储桶策略和用户策略
• AWS 适用于 Amazon S3 的托管策略
• 使用 S3 Access Grants 管理访问权限
• 使用 ACL 管理访问
• 使用跨源资源共享 (CORS)
• 阻止对您的 Amazon S3 存储的公有访问
• 使用适用于 S3 的 IAM Access Analyzer 查看存储桶访问权限
• 使用存储桶拥有者条件验证存储桶所有权