Amazon S3 中的 Identity and Access Management
默认情况下,所有 Amazon S3 资源都是私有的,包括桶、对象和相关子资源(例如,lifecycle 配置和 website 配置)。只有资源拥有者和创建资源的 AWS 账户可以访问该资源。资源拥有者可以选择通过编写访问策略授予他人访问权限。
Amazon S3 提供的访问策略选项大致可分为基于资源的策略和用户策略两类。附加到资源(桶和对象)的访问策略称为基于资源的策略。例如,桶策略和接入点策略都是基于资源的策略。您也可以将访问策略附加到您账户中的用户。这些策略称为用户策略。您可以选择使用基于资源的策略、用户策略或这些策略的某种组合来管理您的 Amazon S3 资源权限。您也可以使用访问控制列表 (ACL) 向其他 AWS 账户 授予基本的读/写权限。
S3 对象所有权是 Amazon S3 桶级别的设置,您可以使用该设置来控制上传到桶的对象的所有权和禁用或启用 ACL。原定设置情况下,对象所有权设为强制桶拥有者设置,并且所有 ACL 均处于禁用状态。禁用 ACL 后,桶拥有者拥有桶中的所有对象,并使用访问管理策略来专门管理对这些对象的访问权限。
Amazon S3 中的大多数现代使用案例不再需要使用 ACL。我们建议您将 ACL 保持为禁用状态,除非有需要单独控制每个对象的访问权限的特殊情况。禁用 ACL 后,您可以使用策略来控制对桶中所有对象的访问权限,无论是谁将对象上传到您的桶。有关更多信息,请参阅为您的桶控制对象所有权和禁用 ACL。。
有关管理对 Amazon S3 对象和桶的访问权限的更多信息,请参阅以下主题。
主题
