Amazon S3 中的政策和許可 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon S3 中的政策和許可

此頁面提供 Amazon S3 中儲存貯體和使用者政策的概觀,並說明政策的基本元素。您可透過以下每個所列元素的連結,取得該元素的詳細資訊以及使用範例。

如需 Amazon S3 動作、資源和條件的完整清單,請參閱服務授權參考適用於 Amazon S3 的動作、資源和條件金鑰

就其最基本意義而言,政策包含下列元素:

  • 資源 - 政策適用的 Amazon S3 儲存貯體、物件、存取點或任務。使用儲存貯體、物件、存取點或任務的 Amazon Resource Name (ARN) 識別資源。

    儲存貯體層級操作的範例:

    - "Resource": "arn:aws:s3:::bucket_name".

    物件層級操作的範例:

    "Resource": "arn:aws:s3:::bucket_name/*" 代表儲存貯體中的所有物件。

    "Resource": "arn:aws:s3:::bucket_name/prefix/*" 代表儲存貯體中具有特定字首的物件。

    如需詳細資訊,請參閱 Amazon S3 資源

  • 動作 – 針對每個資源,Amazon S3 支援一組操作。您可使用動作關鍵字,來識別允許 (或拒絕) 資源操作。

    例如,s3:ListBucket 許可允許使用者使用 Amazon S3 GET 儲存貯體 (列出物件) 操作。如需有關使用 Amazon S3 動作的詳細資訊,請參閱 Amazon S3 政策動作。如需 Amazon S3 動作的完整清單,請參閱動作

  • 效果 – 當使用者請求特定動作時會產生什麼效果,可能是允許拒絕

    如果您不明確授予存取 (允許) 資源,即隱含拒絕存取。您也可以明確拒絕存取資源。您可以這樣做以確保使用者無法存取資源,即使不同的原則授予存取權限也一樣。如需詳細資訊,請參閱 IAM JSON 政策元素:Effect

  • 委託人 - 允許存取陳述式中動作與資源的帳戶或使用者。在儲存貯體政策中,委託人是身為此許可收件人的使用者、帳戶、服務或其他實體。如需詳細資訊,請參閱 Principals

  • 條件 – 政策何時生效的條件。您可以使用 AWS全金鑰和 Amazon S3 特定金鑰,在 Amazon S3 存取政策中指定條件。如需詳細資訊,請參閱 Amazon S3 條件索引鍵範例

下列範例儲存貯體政策顯示了影響、主體、動作和資源元素。該政策允許 Agua (帳戶帳戶 ID 中的使用者) s3:GetObjects3:GetBucketLocation,以及儲存貯體上的 s3:ListBucket Amazon S3 許可。awsexamplebucket1

{
    "Version": "2012-10-17",
    "Id": "ExamplePolicy01",
    "Statement": [
        {
            "Sid": "ExampleStatement01",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:user/Akua"
            },
            "Action": [
                "s3:GetObject",
                "s3:GetBucketLocation",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::awsexamplebucket1/*",
                "arn:aws:s3:::awsexamplebucket1"
            ]
        }
    ]
}

如需詳細資訊,請參閱下列主題。如需完整的政策語言資訊,請參閱《IAM 使用者指南》中的政策和許可IAM JSON 政策參考

主題