本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 適用於目錄儲存貯體的 IAM 身分型政策 在您建立目錄儲存貯體之前,必須先將必要的許可授予 AWS Identity and Access Management (IAM) 角色或使用者。此範例政策允許存取 `CreateSession` API 操作 (搭配區域端點 [物件層級] API 操作使用) 和所有區域端點 (儲存貯體層級) API 操作。此政策允許 `CreateSession` API 操作搭配所有目錄儲存貯體使用,但僅允許區域端點 API 操作搭配指定的目錄儲存貯體使用。若要使用此範例政策,請以您自己的資訊取代 `{{user input placeholders}}`。 **注意** 最佳實務是僅授予執行任務所需的許可 (最低權限)。從此政策中移除您的使用案例不需要的任何動作。如需 S3 Express One Zone 動作的完整清單,請參閱*服務授權參考*中的 [ S3 Express One Zone 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3express.html)。 **Example — 目錄儲存貯體存取的身分型政策** ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "AllowRegionalEndpointAPIs", "Effect": "Allow", "Action": [ "s3express:CreateBucket", "s3express:DeleteBucket", "s3express:DeleteBucketPolicy", "s3express:GetBucketPolicy", "s3express:PutBucketPolicy", "s3express:GetEncryptionConfiguration", "s3express:PutEncryptionConfiguration", "s3express:GetLifecycleConfiguration", "s3express:PutLifecycleConfiguration", "s3express:GetInventoryConfiguration", "s3express:PutInventoryConfiguration", "s3express:GetMetricsConfiguration", "s3express:PutMetricsConfiguration" ], "Resource": "arn:aws:s3express:{{region}}:{{account-id}}:bucket/{{bucket-base-name--zone-id--x-s3}}" }, { "Sid": "AllowListAndCreateSession", "Effect": "Allow", "Action": [ "s3express:ListAllMyDirectoryBuckets", "s3express:CreateSession" ], "Resource": "*" } ] } ``` 此政策有兩個陳述式: + 第一個陳述式會授予特定目錄儲存貯體上區域端點 (儲存貯體層級) API 操作的許可。您可以移除使用案例不需要的動作。 + 第二個陳述式會授予 `ListAllMyDirectoryBuckets`和 的許可`CreateSession`。這些動作不支援資源層級許可,因此 `Resource`是 `"*"`。`CreateSession` 許可會啟用所有區域端點 (物件層級) API 操作,例如 `PutObject`、 `GetObject`和 `DeleteObject`。