Permisos necesarios para las operaciones de la API de Amazon S3

Modo de enfoque

Permisos necesarios para las operaciones de la API de Amazon S3 - Amazon Simple Storage Service

nota

En esta página, se describen las acciones de las políticas de Amazon S3 para buckets de uso general. Para obtener más información acerca de las acciones de las políticas de Amazon S3 para buckets de directorios, consulte Acciones para buckets de directorio.

Para realizar una operación de la API de S3, debe tener los permisos correctos. Esta página asigna las operaciones de la API de S3 a los permisos necesarios. Para conceder permisos para realizar una operación de la API de S3, debe crear una política válida (por ejemplo, una política de bucket de S3 o una política basada en identidad de IAM) y especificar las acciones correspondientes en el elemento Action de la política. Estas acciones se denominan acciones de políticas. No todas las operaciones de la API de S3 están representadas por un solo permiso (una sola acción de política), y algunos permisos (algunas acciones de política) son necesarios para muchas operaciones de API diferentes.

Al crear las políticas, debe especificar el elemento Resource en función del tipo de recurso correcto que necesitan las acciones de políticas de Amazon S3 correspondientes. En esta página, se clasifican los permisos para las operaciones de la API de S3 por tipos de recursos. Para obtener más información sobre los tipos de recursos, consulte Resource types defined by Amazon S3 en la Referencia de autorizaciones de servicio. Para obtener una lista completa de las acciones, recursos y claves de condición de las políticas de Amazon S3 que se pueden utilizar en las políticas, consulte Actions, resources, and condition keys for Amazon S3 en la Referencia de autorización de servicios. Para obtener una lista de operaciones de la API de Amazon S3, consulte Amazon S3 API Actions en la Referencia de la API de Amazon Simple Storage Service.

Para obtener más información sobre cómo solucionar los errores 403 Forbidden de HTTP en S3, consulte Solución de problemas de errores de acceso rechazado (403 Forbidden) en Amazon S3. Para obtener más información sobre las características de IAM que se utilizan con S3, consulte Cómo funciona Amazon S3 con IAM. Para obtener más información sobre las prácticas recomendadas de seguridad de S3, consulte Prácticas recomendadas de seguridad para Amazon S3.

Temas

Permisos y operaciones de bucket
Permisos y operaciones de objetos
Punto de acceso para operaciones y permisos de buckets de propósito general
Operaciones y permisos de punto de acceso para buckets de directorio
Operaciones y permisos de punto de acceso del objeto Lambda
Operaciones y permisos de punto de acceso multirregionales
Operaciones y permisos de trabajos por lotes
Operaciones y permisos de configuración de lente de almacenamiento de S3
Operaciones y permisos de grupos de lentes de almacenamiento de S3
Operaciones y permisos de instancias de Concesiones de acceso de S3
Operaciones y permisos de ubicación de Concesiones de acceso de S3
Operaciones y permisos de concesión de Concesiones de acceso de S3
Permisos y operaciones de la cuenta

Las operaciones de buckets son operaciones de la API de S3 que funcionan en el tipo de recurso de bucket. Debe especificar las acciones de políticas de S3 para las operaciones de bucket en políticas de bucket o políticas de IAM basadas en identidades de IAM.

En las políticas, el elemento Resource debe ser el nombre de recurso de Amazon (ARN) del bucket. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones con buckets.

nota

Para conceder permisos a las operaciones de bucket en las políticas de puntos de acceso, tenga en cuenta lo siguiente:

Los permisos concedidos para operaciones de bucket en una política de puntos de acceso solo se aplican si el bucket subyacente permite los mismos permisos. Cuando utilice un punto de acceso, debe delegar el control de acceso del bucket al punto de acceso o agregar los mismos permisos en la política del punto de acceso a la política del bucket subyacente.
En las políticas de puntos de acceso que conceden permisos a las operaciones del bucket, el elemento Resource debe ser el ARN de accesspoint. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones de bucket en políticas para puntos de acceso para buckets de propósito general. Para obtener más información sobre las políticas de punto de acceso, consulte Configuración de las políticas de IAM para utilizar los puntos de acceso para buckets de propósito general.
Los puntos de acceso no admiten todas las operaciones de bucket. Para obtener más información, consulte Compatibilidad de los puntos de acceso para buckets de propósito general con las operaciones de S3.

A continuación, se muestra la asignación de las operaciones de los buckets y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateBucket	(Obligatorio) `s3:CreateBucket`	Obligatorio para crear un nuevo bucket de S3.
	(Obligatorio condicionalmente) `s3:PutBucketAcl`	Es obligatorio si desea utilizar la lista de control de acceso (ACL) para especificar los permisos en un bucket al realizar una solicitud de `CreateBucket`.
	(Obligatorio condicionalmente) `s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`	Obligatorio si desea habilitar el bloqueo de objetos al crear un bucket.
	(Obligatorio condicionalmente) `s3:PutBucketOwnershipControls`	Obligatorio si desea especificar la propiedad de objetos de S3 al crear un bucket.
CreateBucketMetadataTableConfiguration	(Obligatorio) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`	Obligatorio para crear una configuración de tabla de metadatos en un bucket de uso general. Para crear la tabla de metadatos en el bucket de tablas especificado en la configuración de la tabla de metadatos, debe tener los permisos `s3tables` especificados. Si también desea integrar el bucket de tablas con servicios de análisis de AWS para poder consultar la tabla de metadatos, necesita permisos adicionales. Para obtener más información, consulte Integración de Tablas de Amazon S3 con servicios de análisis de AWS.
DeleteBucket	(Obligatorio) `s3:DeleteBucket`	Obligatorio para eliminar un bucket de S3.
DeleteBucketAnalyticsConfiguration	(Obligatorio) `s3:PutAnalyticsConfiguration`	Obligatorio para eliminar una configuración de análisis de S3 de un bucket de S3.
DeleteBucketCors	(Obligatorio) `s3:PutBucketCORS`	Obligatorio para eliminar la configuración de uso compartido de recursos entre orígenes (CORS) para un bucket.
DeleteBucketEncryption	(Obligatorio) `s3:PutEncryptionConfiguration`	Obligatorio para restablecer la configuración de cifrado predeterminada para un bucket de S3 como cifrado del servidor con claves administradas por Amazon S3 (SSE-S3).
DeleteBucketIntelligentTieringConfiguration	(Obligatorio) `s3:PutIntelligentTieringConfiguration`	Obligatorio para eliminar la configuración de capas avanzadas de S3 existente de un bucket de S3.
DeleteBucketInventoryConfiguration	(Obligatorio) `s3:PutInventoryConfiguration`	Obligatorio para eliminar una configuración de inventario de S3 de un bucket de S3.
DeleteBucketLifecycle	(Obligatorio) `s3:PutLifecycleConfiguration`	Obligatorio para eliminar la configuración del S3 Lifecycle de un bucket de S3.
DeleteBucketMetadataTableConfiguration	(Obligatorio) `s3:DeleteBucketMetadataTableConfiguration`	Obligatorio para eliminar una configuración de tabla de metadatos de un bucket de uso general.
DeleteBucketMetricsConfiguration	(Obligatorio) `s3:PutMetricsConfiguration`	Obligatorio para eliminar una configuración de métricas para las métricas para las métricas de solicitudes de Amazon CloudWatch desde un bucket de S3.
DeleteBucketOwnershipControls	(Obligatorio) `s3:PutBucketOwnershipControls`	Obligatorio para eliminar la configuración de propiedad de objetos de un bucket de S3. Tras la eliminación, la configuración de propiedad del objeto pasa a ser `Object writer`.
DeleteBucketPolicy	(Obligatorio) `s3:DeleteBucketPolicy`	Obligatorio para eliminar la política de un bucket de S3.
DeleteBucketReplication	(Obligatorio) `s3:PutReplicationConfiguration`	Obligatorio para eliminar la configuración de replicación de un bucket de S3.
DeleteBucketTagging	(Obligatorio) `s3:PutBucketTagging`	Obligatorio para eliminar etiquetas de un bucket de S3.
DeleteBucketWebsite	(Obligatorio) `s3:DeleteBucketWebsite`	Obligatorio para eliminar la configuración del sitio web de un bucket de S3.
DeletePublicAccessBlock (nivel de bucket)	(Obligatorio) `s3:PutBucketPublicAccessBlock`	Obligatorio para eliminar la configuración de bloqueo de acceso público para un bucket de S3.
GetBucketAccelerateConfiguration	(Obligatorio) `s3:GetAccelerateConfiguration`	Obligatorio para usar el subrecurso de aceleración para volver al estado de Aceleración de transferencias de Amazon S3 de un bucket, que puede estar habilitado o suspendido.
GetBucketAcl	(Obligatorio) `s3:GetBucketAcl`	Obligatorio para devolver la lista de control de acceso (ACL) de un bucket de S3.
GetBucketAnalyticsConfiguration	(Obligatorio) `s3:GetAnalyticsConfiguration`	Obligatorio para devolver una configuración de análisis identificada por el ID de configuración de análisis de un bucket de S3.
GetBucketCors	(Obligatorio) `s3:GetBucketCORS`	Obligatorio para devolver la configuración de uso compartido de recursos entre orígenes (CORS) para un bucket de S3.
GetBucketEncryption	(Obligatorio) `s3:GetEncryptionConfiguration`	Obligatorio para devolver la configuración de cifrado predeterminada para un bucket de S3.
GetBucketIntelligentTieringConfiguration	(Obligatorio) `s3:GetIntelligentTieringConfiguration`	Obligatorio para obtener la configuración de capas avanzadas de S3 de un bucket de S3.
GetBucketInventoryConfiguration	(Obligatorio) `s3:GetInventoryConfiguration`	Obligatorio para devolver una configuración de inventario identificada por el ID de configuración de inventario del bucket.
GetBucketLifecycle	(Obligatorio) `s3:GetLifecycleConfiguration`	Obligatorio para devolver la configuración del S3 Lifecycle del bucket.
GetBucketLocation	(Obligatorio) `s3:GetBucketLocation`	Obligatorio para devolver la Región de AWS en la que reside un bucket de S3.
GetBucketLogging	(Obligatorio) `s3:GetBucketLogging`	Obligatorio para devolver el estado de registro de un bucket de S3 y los permisos que los usuarios tienen para ver y modificar dicho estado.
GetBucketMetadataTableConfiguration	(Obligatorio) `s3:GetBucketMetadataTableConfiguration`	Obligatorio para recuperar una configuración de tabla de metadatos de un bucket de uso general.
GetBucketMetricsConfiguration	(Obligatorio) `s3:GetMetricsConfiguration`	Obligatorio para obtener una configuración para las métricas especificada por el ID de configuración de métricas desde el bucket.
GetBucketNotificationConfiguration	(Obligatorio) `s3:GetBucketNotification`	Obligatorio para devolver la configuración de notificación de un bucket de S3.
GetBucketOwnershipControls	(Obligatorio) `s3:GetBucketOwnershipControls`	Obligatorio para recuperar la configuración de propiedad de objetos de un bucket de S3.
GetBucketPolicy	(Obligatorio) `s3:GetBucketPolicy`	Obligatorio para devolver la política de un bucket de S3.
GetBucketPolicyStatus	(Obligatorio) `s3:GetBucketPolicyStatus`	Obligatorio para recuperar el estado de política de un bucket de S3, que indica si el bucket es público.
GetBucketReplication	(Obligatorio) `s3:GetReplicationConfiguration`	Obligatorio para devolver la configuración de replicación de un bucket de S3.
GetBucketRequestPayment	(Obligatorio) `s3:GetBucketRequestPayment`	Obligatorio para devolver la configuración de pagos de solicitudes de un bucket de S3.
GetBucketVersioning	(Obligatorio) `s3:GetBucketVersioning`	Obligatorio para devolver el estado de control de versiones de un bucket de S3.
GetBucketTagging	(Obligatorio) `s3:GetBucketTagging`	Obligatorio para devolver el conjunto de etiquetas asociado a un bucket de S3.
GetBucketWebsite	(Obligatorio) `s3:GetBucketWebsite`	Obligatorio para devolver la configuración del sitio web de un bucket de S3.
GetObjectLockConfiguration	(Obligatorio) `s3:GetBucketObjectLockConfiguration`	Obligatorio para obtener la configuración de bloqueo de objetos de un bucket de S3.
GetPublicAccessBlock (nivel de bucket)	(Obligatorio) `s3:GetBucketPublicAccessBlock`	Obligatorio para recuperar la configuración de bloqueo de acceso público para un bucket de S3.
HeadBucket	(Obligatorio) `s3:ListBucket`	Obligatorio para determinar si existe un bucket y si tiene permiso para acceder a él.
ListBucketAnalyticsConfigurations	(Obligatorio) `s3:GetAnalyticsConfiguration`	Obligatorio para mostrar las configuraciones de análisis de un bucket de S3.
ListBucketIntelligentTieringConfigurations	(Obligatorio) `s3:GetIntelligentTieringConfiguration`	Obligatorio para mostrar las configuraciones de capas avanzadas de S3 de un bucket de S3.
ListBucketInventoryConfigurations	(Obligatorio) `s3:GetInventoryConfiguration`	Obligatorio para devolver una lista de las configuraciones de inventario de un bucket de S3.
ListBucketMetricsConfigurations	(Obligatorio) `s3:GetMetricsConfiguration`	Obligatorio para mostrar las configuraciones de métricas de un bucket de S3.
ListObjects	(Obligatorio) `s3:ListBucket`	Obligatorio para mostrar algunos o todos los objetos (hasta 1000) de un bucket de S3.
	(Obligatorio condicionalmente) `s3:GetObjectAcl`	Obligatorio si quiere mostrar la información del propietario del objeto.
ListObjectsV2	(Obligatorio) `s3:ListBucket`	Obligatorio para mostrar algunos o todos los objetos (hasta 1000) de un bucket de S3.
	(Obligatorio condicionalmente) `s3:GetObjectAcl`	Obligatorio si quiere mostrar la información del propietario del objeto.
ListObjectVersions	(Obligatorio) `s3:ListBucketVersions`	Obligatorio para obtener metadatos sobre todas las versiones de objetos en un bucket de S3.
PutBucketAccelerateConfiguration	(Obligatorio) `s3:PutAccelerateConfiguration`	Obligatorio para establecer la configuración acelerada de un bucket existente.
PutBucketAcl	(Obligatorio) `s3:PutBucketAcl`	Obligatorio para usar listas de control de acceso (ACL) para establecer los permisos en un bucket existente.
PutBucketAnalyticsConfiguration	(Obligatorio) `s3:PutAnalyticsConfiguration`	Obligatorio para establecer una configuración de análisis para un bucket de S3.
PutBucketCors	(Obligatorio) `s3:PutBucketCORS`	Obligatorio para establecer la configuración de uso compartido de recursos entre orígenes (CORS) para un bucket de S3.
PutBucketEncryption	(Obligatorio) `s3:PutEncryptionConfiguration`	Obligatorio para configurar el cifrado predeterminado para un bucket de S3.
PutBucketIntelligentTieringConfiguration	(Obligatorio) `s3:PutIntelligentTieringConfiguration`	Obligatorio para poner la configuración de capas avanzadas de S3 en un bucket de S3.
PutBucketInventoryConfiguration	(Obligatorio) `s3:PutInventoryConfiguration`	Obligatorio para agregar una configuración de inventario a un bucket de S3.
PutBucketLifecycle	(Obligatorio) `s3:PutLifecycleConfiguration`	Obligatorio para crear una nueva una configuración de S3 Lifecycle o sustituir una configuración de ciclo de vida existente por un bucket de S3.
PutBucketLogging	(Obligatorio) `s3:PutBucketLogging`	Obligatorio para establecer los parámetros de registro de un bucket de S3 y especificar los permisos para ver y modificar los parámetros de registro.
PutBucketMetricsConfiguration	(Obligatorio) `s3:PutMetricsConfiguration`	Obligatorio para establecer o actualizar una configuración de métricas para las métricas de solicitudes de Amazon CloudWatch de un bucket de S3.
PutBucketNotificationConfiguration	(Obligatorio) `s3:PutBucketNotification`	Obligatorio para habilitar notificaciones de eventos específicos para un bucket de S3.
PutBucketOwnershipControls	(Obligatorio) `s3:PutBucketOwnershipControls`	Obligatorio para crear o modificar la configuración de propiedad de objetos de un bucket de S3.
PutBucketPolicy	(Obligatorio) `s3:PutBucketPolicy`	Obligatorio para aplicar una política de bucket de S3 a un bucket.
PutBucketReplication	(Obligatorio) `s3:PutReplicationConfiguration`	Obligatorio para crear una nueva configuración de replicación o reemplazar una existente para un bucket de S3.
PutBucketRequestPayment	(Obligatorio) `s3:PutBucketRequestPayment`	Obligatorio para establecer la configuración de pagos de solicitudes de un bucket.
PutBucketTagging	(Obligatorio) `s3:PutBucketTagging`	Obligatorio para agregar un conjunto de etiquetas a un bucket de S3.
PutBucketVersioning	(Obligatorio) `s3:PutBucketVersioning`	Obligatorio para establecer el estado de control de versiones de un bucket de S3.
PutBucketWebsite	(Obligatorio) `s3:PutBucketWebsite`	Obligatorio para configurar un bucket como un sitio web y establecer la configuración del sitio web.
PutObjectLockConfiguration	(Obligatorio) `s3:PutBucketObjectLockConfiguration`	Obligatorio para poner la configuración del bloqueo de objetos en un bucket de S3.
PutPublicAccessBlock (nivel de bucket)	(Obligatorio) `s3:PutBucketPublicAccessBlock`	Obligatorio para crear o modificar la configuración de bloqueo de acceso público para un bucket de S3.

Las operaciones de objetos son operaciones de la API de S3 que actúan en función del tipo de recurso del objeto. Debe especificar las acciones de política de S3 para las operaciones de objetos en políticas basadas en recursos (como políticas de bucket, políticas de puntos de acceso, políticas de puntos de acceso multirregionales, políticas de puntos de conexión de VPC) o políticas basadas en identidades de IAM.

En las políticas, el elemento Resource debe ser el ARN del objeto. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones con objetos.

nota

Las acciones de la política de AWS KMS (kms:GenerateDataKey y kms:Decrypt) solo se aplican al tipo de recurso de AWS KMS y se deben especificar en las políticas de IAM basadas en identidades y en las políticas basadas en recursos de AWS KMS (políticas de claves de AWS KMS). No puede especificar acciones de políticas de AWS KMS en las políticas basadas en recursos de S3, como las políticas de bucket de S3.
Cuando utilice puntos de acceso para controlar el acceso a las operaciones de los objetos, puede utilizar políticas de puntos de acceso. Para conceder permisos a las operaciones de objetos en las políticas de puntos de acceso, tenga en cuenta lo siguiente:
- En las políticas de puntos de acceso que otorgan permisos a las operaciones de objetos, el elemento Resource deben ser los ARN de los objetos a los que se accede a través de un punto de acceso. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones de objetos en políticas de puntos de acceso.
- Los puntos de acceso no admiten todas las operaciones de objetos. Para obtener más información, consulte Compatibilidad de los puntos de acceso para buckets de propósito general con las operaciones de S3.
Los puntos de acceso multirregionales no admiten todas las operaciones de objetos. Para obtener más información, consulte Compatibilidad de punto de acceso de varias regiones con operaciones de S3.

A continuación, se muestra la asignación de las operaciones de los objetos y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
AbortMultipartUpload	(Obligatorio) `s3:AbortMultipartUpload`	Obligatorio para cancelar una carga multiparte.
CompleteMultipartUpload	(Obligatorio) `s3:PutObject`	Obligatorio para completar una carga multiparte.
	(Obligatorio condicionalmente) `kms:Decrypt`	Obligatorio si desea completar una carga multiparte de un objeto cifrado con clave administrado por un cliente de AWS KMS.
CopyObject	Para el objeto de origen:	Para el objeto de origen:
	(Obligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject`: obligatorio si quiere copiar un objeto del bucket de origen sin especificar `versionId` en la solicitud. `s3:GetObjectVersion`: obligatorio si quiere copiar una versión específica de un objeto del bucket de origen mediante la especificación de `versionId` en la solicitud.
	(Obligatorio condicionalmente) `kms:Decrypt`	Es obligatorio si desea copiar un objeto cifrado con clave administrada por el cliente de AWS KMS del bucket de origen.
	Para el objeto de destino:	Para el objeto de destino:
	(Obligatorio) `s3:PutObject`	Obligatorio para poner el objeto copiado en el bucket de destino.
	(Obligatorio condicionalmente) `s3:PutObjectAcl`	Obligatorio si desea poner el objeto copiado con la lista de control de acceso (ACL) de objetos en el bucket de destino al realizar una solicitud de `CopyObject`.
	(Obligatorio condicionalmente) `s3:PutObjectTagging`	Obligatorio si desea poner el objeto copiado con el etiquetado de objetos en el bucket de destino al realizar una solicitud de `CopyObject`.
	(Obligatorio condicionalmente) `kms:GenerateDataKey`	Obligatorio si desea cifrar el objeto copiado con una clave administrada por el cliente de AWS KMS y ponerlo en el bucket de destino.
	(Obligatorio condicionalmente) `s3:PutObjectRetention`	Obligatorio si desea establecer una configuración de retención de bloqueo de objetos para el nuevo objeto.
	(Obligatorio condicionalmente) `s3:PutObjectLegalHold`	Obligatorio si desea colocar una retención legal de bloqueo de objetos en el objeto nuevo.
CreateMultipartUpload	(Obligatorio) `s3:PutObject`	Obligatorio para crear una carga multiparte.
	(Obligatorio condicionalmente) `s3:PutObjectAcl`	Obligatorio si desea establecer los permisos de la lista de control de acceso (ACL) del objeto para el objeto cargado.
	(Obligatorio condicionalmente) `s3:PutObjectTagging`	Obligatorio si desea agregar etiquetado de objetos al objeto cargado.
	(Obligatorio condicionalmente) `kms:GenerateDataKey`	Obligatorio si desea utilizar una clave administrada por el cliente de AWS KMS para cifrar un objeto al iniciar una carga multiparte.
	(Obligatorio condicionalmente) `s3:PutObjectRetention`	Obligatorio si desea establecer una configuración de retención de bloqueo de objetos para el objeto cargado.
	(Obligatorio condicionalmente) `s3:PutObjectLegalHold`	Obligatorio si desea aplicar una retención legal de bloqueo de objetos en el objeto cargado.
DeleteObject	(Obligatorio) `s3:DeleteObject` o `s3:DeleteObjectVersion`	`s3:DeleteObject`: obligatorio si quiere eliminar un objeto sin especificar `versionId` en la solicitud. `s3:DeleteObjectVersion`: obligatorio si quiere eliminar una versión específica de un objeto mediante la especificación del `versionId` en la solicitud.
	(Obligatorio condicionalmente) `s3:BypassGovernanceRetention`	Obligatorio si desea eliminar un objeto que está protegido por el modo de gobierno para la retención del bloqueo de objetos.
DeleteObjects	(Obligatorio) `s3:DeleteObject` o `s3:DeleteObjectVersion`	`s3:DeleteObject`: obligatorio si quiere eliminar un objeto sin especificar `versionId` en la solicitud. `s3:DeleteObjectVersion`: obligatorio si quiere eliminar una versión específica de un objeto mediante la especificación del `versionId` en la solicitud.
	(Obligatorio condicionalmente) `s3:BypassGovernanceRetention`	Obligatorio si desea eliminar objetos que están protegidos por el modo de gobierno para la retención del bloqueo de objetos.
DeleteObjectTagging	(Obligatorio) `s3:DeleteObjectTagging` o `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging`: obligatorio si quiere eliminar todo el conjunto de etiquetas de un objeto sin especificar `versionId` en la solicitud. `s3:DeleteObjectVersionTagging`: obligatorio si quiere eliminar etiquetas de una versión del objeto específica mediante la especificación del `versionId` en la solicitud.
GetObject	(Obligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject`: obligatorio si quiere obtener un objeto sin especificar `versionId` en la solicitud. `s3:GetObjectVersion`: obligatorio si quiere obtener una versión específica de un objeto mediante la especificación del `versionId` en la solicitud.
	(Obligatorio condicionalmente) `kms:Decrypt`	Obligatorio si desea obtener y descifrar un objeto cifrado con clave administrada por el cliente de AWS KMS.
	(Obligatorio condicionalmente) `s3:GetObjectTagging`	Obligatorio si desea obtener el conjunto de etiquetas de un objeto al realizar una solicitud de `GetObject`.
	(Obligatorio condicionalmente) `s3:GetObjectLegalHold`	Obligatorio si desea obtener el estado actual de retención legal de bloqueo de objetos.
	(Obligatorio condicionalmente) `s3:GetObjectRetention`	Obligatorio si desea recuperar la configuración de retención de bloqueo de objetos para un objeto.
GetObjectAcl	(Obligatorio) `s3:GetObjectAcl` o `s3:GetObjectVersionAcl`	`s3:GetObjectAcl`: obligatorio si quiere obtener la lista de control de acceso (ACL) de un objeto sin especificar `versionId` en la solicitud. `s3:GetObjectVersionAcl`: obligatorio si quiere obtener la lista de control de acceso (ACL) de un objeto mediante la especificación de `versionId` en la solicitud.
GetObjectAttributes	(Obligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject`: obligatorio si quiere recuperar atributos relacionados con un objeto sin especificar `versionId` en la solicitud. `s3:GetObjectVersion`: obligatorio si quiere recuperar atributos relacionados con una versión del objeto específica mediante la especificación de `versionId` en la solicitud.
	(Obligatorio condicionalmente) `kms:Decrypt`	Obligatorio si desea recuperar los atributos relacionados con un objeto cifrado con clave administrado por el cliente de AWS KMS.
GetObjectLegalHold	(Obligatorio) `s3:GetObjectLegalHold`	Obligatorio para obtener el estado actual de retención legal de bloqueo de objetos.
GetObjectRetention	(Obligatorio) `s3:GetObjectRetention`	Obligatorio para recuperar la configuración de retención de bloqueo de objetos para un objeto.
GetObjectTagging	(Obligatorio) `s3:GetObjectTagging` o `s3:GetObjectVersionTagging`	`s3:GetObjectTagging`: obligatorio si quiere obtener el conjunto de etiquetas de un objeto sin especificar `versionId` en la solicitud. `s3:GetObjectVersionTagging`: obligatorio si quiere obtener las etiquetas de una versión del objeto específica mediante la especificación del `versionId` en la solicitud.
GetObjectTorrent	(Obligatorio) `s3:GetObject`	Obligatorio para devolver los archivos torrent de un objeto.
HeadObject	(Obligatorio) `s3:GetObject`	Obligatorio para recuperar metadatos de un objeto sin devolver el objeto en sí.
	(Obligatorio condicionalmente) `s3:GetObjectLegalHold`	Obligatorio si desea obtener el estado actual de retención legal de bloqueo de objetos.
	(Obligatorio condicionalmente) `s3:GetObjectRetention`	Obligatorio si desea recuperar la configuración de retención de bloqueo de objetos para un objeto.
ListMultipartUploads	(Obligatorio) `s3:ListBucketMultipartUploads`	Obligatorio para mostrar las cargas multiparte en curso en un bucket.
ListParts	(Obligatorio) `s3:ListMultipartUploadParts`	Obligatorio para mostrar las partes que se han cargado para una carga multiparte específica.
	(Obligatorio condicionalmente) `kms:Decrypt`	Obligatorio si desea mostrar las partes de una carga multiparte cifrada con clave administrada por un cliente de AWS KMS.
PutObject	(Obligatorio) `s3:PutObject`	Obligatorio para poner un objeto.
	(Obligatorio condicionalmente) `s3:PutObjectAcl`	Obligatorio si desea poner la lista de control de acceso (ACL) del objeto cuando haga una solicitud de `PutObject`.
	(Obligatorio condicionalmente) `s3:PutObjectTagging`	Obligatorio si desea poner etiquetas de objetos cuando haga una solicitud de `PutObject`.
	(Obligatorio condicionalmente) `kms:GenerateDataKey`	Obligatorio si desea cifrar un objeto con clave administrada por el cliente de AWS KMS.
	(Obligatorio condicionalmente) `s3:PutObjectRetention`	Obligatorio si desea establecer una configuración de retención de bloqueo de objetos en un objeto.
	(Obligatorio condicionalmente) `s3:PutObjectLegalHold`	Obligatorio si desea aplicar una configuración de retención legal de bloqueo de objetos en un objeto especificado.
PutObjectAcl	(Obligatorio) `s3:PutObjectAcl` o `s3:PutObjectVersionAcl`	`s3:PutObjectAcl`: obligatorio si quiere establecer los permisos de la lista de control de acceso (ACL) de un objeto nuevo o existente sin especificar `versionId` en la solicitud. `s3:PutObjectVersionAcl`: obligatorio si quiere establecer los permisos de la lista de control de acceso (ACL) de un objeto nuevo o existente mediante la especificación de `versionId` en la solicitud.
PutObjectLegalHold	(Obligatorio) `s3:PutObjectLegalHold`	Obligatorio para aplicar una configuración de retención legal de bloqueo de objetos a un objeto.
PutObjectRetention	(Obligatorio) `s3:PutObjectRetention`	Obligatorio para aplicar una configuración de retención de bloqueo de objetos a un objeto.
	(Obligatorio condicionalmente) `s3:BypassGovernanceRetention`	Obligatorio si quiere omitir el modo de gobierno de una configuración de retención de bloqueo de objetos.
PutObjectTagging	(Obligatorio) `s3:PutObjectTagging` o `s3:PutObjectVersionTagging`	`s3:PutObjectTagging`: obligatorio si desea establecer el conjunto de etiquetas suministrado en un objeto que ya existe en un bucket sin especificar `versionId` en la solicitud. `s3:PutObjectVersionTagging`: obligatorio si desea establecer el conjunto de etiquetas suministrado en un objeto que ya existe en un bucket mediante la especificación de `versionId` en la solicitud.
RestoreObject	(Obligatorio) `s3:RestoreObject`	Obligatorio para restaurar una copia de un objeto archivado.
SelectObjectContent	(Obligatorio) `s3:GetObject`	Obligatorio para filtrar el contenido de un objeto de S3 en función de una instrucción de lenguaje de consulta estructurado (SQL) simple.
	(Obligatorio condicionalmente) `kms:Decrypt`	Obligatorio si desea filtrar el contenido de un objeto de S3 cifrado con una clave administrada por el cliente de AWS KMS.
UploadPart	(Obligatorio) `s3:PutObject`	Obligatorio para cargar una parte en una carga multiparte.
	(Obligatorio condicionalmente) `kms:GenerateDataKey`	Obligatorio si quiere poner una parte de la carga y cifrarla con una clave administrada por el cliente de AWS KMS.
UploadPartCopy	Para el objeto de origen:	Para el objeto de origen:
	(Obligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject`: obligatorio si quiere copiar un objeto del bucket de origen sin especificar `versionId` en la solicitud. `s3:GetObjectVersion`: obligatorio si quiere copiar una versión específica de un objeto del bucket de origen mediante la especificación de `versionId` en la solicitud.
	(Obligatorio condicionalmente) `kms:Decrypt`	Es obligatorio si desea copiar un objeto cifrado con clave administrada por el cliente de AWS KMS del bucket de origen.
	Para la parte de destino:	Para la parte de destino:
	(Obligatorio) `s3:PutObject`	Obligatorio para cargar una parte de carga multiparte en el bucket de destino.
	(Obligatorio condicionalmente) `kms:GenerateDataKey`	Obligatorio si desea cifrar una parte con una clave administrada por el cliente de AWS KMS al cargar la parte en el bucket de destino.

Las operaciones de puntos de acceso son operaciones de la API de S3 que funcionan en el tipo de recurso accesspoint. Debe especificar las acciones de políticas de S3 para las operaciones de punto de acceso en las políticas de IAM basadas en identidades, no en las políticas de buckets ni en las de puntos de acceso.

En las políticas, el elemento Resource debe ser el ARN de accesspoint. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones de punto de acceso para buckets de propósito general.

nota

Si desea utilizar puntos de acceso para controlar el acceso a las operaciones de los buckets o los objetos, tenga en cuenta lo siguiente:

Para obtener información sobre el uso de puntos de acceso para controlar el acceso a las operaciones del bucket, consulte Operaciones de bucket en políticas para puntos de acceso para buckets de propósito general.
Para obtener información sobre el uso de puntos de acceso para controlar el acceso a las operaciones del objeto, consulte Operaciones de objetos en políticas de puntos de acceso.
Para obtener más información acerca de cómo configurar políticas de punto de acceso, consulte Configuración de las políticas de IAM para utilizar los puntos de acceso para buckets de propósito general.

A continuación, se muestra la asignación de las operaciones de los puntos de acceso y las acciones de la política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateAccessPoint	(Obligatorio) `s3:CreateAccessPoint`	Obligatorio para crear un punto de acceso asociado a un bucket de S3.
DeleteAccessPoint	(Obligatorio) `s3:DeleteAccessPoint`	Obligatorio para eliminar un punto de acceso.
DeleteAccessPointPolicy	(Obligatorio) `s3:DeleteAccessPointPolicy`	Obligatorio para eliminar una política de punto de acceso.
GetAccessPointPolicy	(Obligatorio) `s3:GetAccessPointPolicy`	Obligatorio para recuperar una política de punto de acceso.
GetAccessPointPolicyStatus	(Obligatorio) `s3:GetAccessPointPolicyStatus`	Obligatorio para recuperar la información sobre si el punto de acceso especificado tiene actualmente una política que permite el acceso público.
PutAccessPointPolicy	(Obligatorio) `s3:PutAccessPointPolicy`	Obligatorio para poner una política de punto de acceso.

Las operaciones de punto de acceso para buckets de directorio son operaciones de la API de S3 que operan sobre el tipo de recurso accesspoint. Debe especificar las acciones de políticas de S3 para las operaciones de punto de acceso en las políticas de IAM basadas en identidades, no en las políticas de buckets ni en las de puntos de acceso.

nota

Si desea utilizar puntos de acceso para buckets de directorio para controlar el acceso a las operaciones de los buckets o los objetos, tenga en cuenta lo siguiente:

Para obtener información sobre el uso de puntos de acceso para controlar el acceso a las operaciones del bucket, consulte Operaciones con buckets en políticas de puntos de acceso para buckets de directorio.
Para obtener información sobre el uso de puntos de acceso para controlar el acceso a las operaciones del objeto, consulte Operaciones con objetos en políticas de puntos de acceso para buckets de directorio.
Para obtener más información acerca de cómo configurar políticas de punto de acceso, consulte Configuración de las políticas de IAM para utilizar puntos de acceso para buckets de directorio.

A continuación se asignan las operaciones de los puntos de acceso para buckets de directorio y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateAccessPoint	(Obligatorio) `s3express:CreateAccessPoint`	Obligatorio para crear un punto de acceso asociado a un bucket de directorio.
ListAccessPointsForDirectoryBuckets	(Obligatorio) `s3express:ListAccessPointsForDirectoryBuckets`	Obligatorio para enumerar puntos de acceso para buckets de directorio.
GetAccessPoint	(Obligatorio) `s3express:GetAccessPoint`	Obligatorio para ver la información de configuración de un punto de acceso.
DeleteAccessPoint	(Obligatorio) `s3express:DeleteAccessPoint`	Obligatorio para eliminar un punto de acceso.
DeleteAccessPointPolicy	(Obligatorio) `s3express:DeleteAccessPointPolicy`	Obligatorio para eliminar una política de punto de acceso.
GetAccessPointPolicy	(Obligatorio) `s3express:GetAccessPointPolicy`	Obligatorio para recuperar una política de punto de acceso.
PutAccessPointPolicy	(Obligatorio) `s3express:PutAccessPointPolicy`	Obligatorio para poner una política de punto de acceso.
DeleteAccessPointScope	(Obligatorio) `s3express:DeleteAccessPointScope`	Obligatorio para eliminar un alcance de puntos de acceso para buckets de directorio.
GetAccessPointScope	(Obligatorio) `s3express:GetAccessPointScope`	Obligatorio para recuperar un ámbito de puntos de acceso para buckets de directorio.
PutAccessPointScope	(Obligatorio) `s3express:PutAccessPointScope`	Obligatorio para poner un punto de acceso en el ámbito de los buckets de directorio.

Las operaciones de puntos de acceso del objeto Lambda son operaciones de la API de S3 que funcionan en el tipo de recurso objectlambdaaccesspoint. Para obtener más información sobre cómo configurar políticas para operaciones de puntos de acceso de Object Lambda, consulte Configuración de las políticas de IAM para puntos de acceso de Object Lambda.

A continuación, se muestra la asignación de las operaciones de los puntos de acceso de objeto Lambda y las acciones de la política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateAccessPointForObjectLambda	(Obligatorio) `s3:CreateAccessPointForObjectLambda`	Obligatorio para crear un punto de acceso de objeto Lambda.
DeleteAccessPointForObjectLambda	(Obligatorio) `s3:DeleteAccessPointForObjectLambda`	Obligatorio para eliminar un punto de acceso de objeto Lambda especificado.
DeleteAccessPointPolicyForObjectLambda	(Obligatorio) `s3:DeleteAccessPointPolicyForObjectLambda`	Obligatorio para eliminar la política en un punto de acceso de objeto Lambda especificado.
GetAccessPointConfigurationForObjectLambda	(Obligatorio) `s3:GetAccessPointConfigurationForObjectLambda`	Obligatorio para recuperar la configuración del punto de acceso de objeto Lambda.
GetAccessPointForObjectLambda	(Obligatorio) `s3:GetAccessPointForObjectLambda`	Obligatorio para recuperar información sobre el punto de acceso de objeto Lambda.
GetAccessPointPolicyForObjectLambda	(Obligatorio) `s3:GetAccessPointPolicyForObjectLambda`	Obligatorio para devolver la política del punto de acceso asociada al punto de acceso de objeto Lambda especificado.
GetAccessPointPolicyStatusForObjectLambda	(Obligatorio) `s3:GetAccessPointPolicyStatusForObjectLambda`	Obligatorio para devolver el estado de la política para un punto de acceso específico del objeto Lambda.
PutAccessPointConfigurationForObjectLambda	(Obligatorio) `s3:PutAccessPointConfigurationForObjectLambda`	Obligatorio para establecer la configuración del punto de acceso de objeto Lambda.
PutAccessPointPolicyForObjectLambda	(Obligatorio) `s3:PutAccessPointPolicyForObjectLambda`	Obligatorio para asociar una política de acceso a un punto de acceso de objeto Lambda especificado.

Las operaciones de puntos de acceso multirregionales son operaciones de la API de S3 que funcionan en el tipo de recurso multiregionaccesspoint. Para obtener más información sobre cómo configurar políticas para operaciones de puntos de acceso multiregionales, consulte Ejemplos de política de punto de acceso multirregional.

A continuación, se muestra la asignación de las operaciones de los puntos de acceso multirregionales y las acciones de la política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateMultiRegionAccessPoint	(Obligatorio) `s3:CreateMultiRegionAccessPoint`	Obligatorio para crear un punto de acceso multirregional y asociarlo con buckets de S3.
DeleteMultiRegionAccessPoint	(Obligatorio) `s3:DeleteMultiRegionAccessPoint`	Obligatorio para eliminar un punto de acceso multirregional.
DescribeMultiRegionAccessPointOperation	(Obligatorio) `s3:DescribeMultiRegionAccessPointOperation`	Obligatorio para recuperar el estado de una solicitud asincrónica para administrar un punto de acceso multirregional.
GetMultiRegionAccessPoint	(Obligatorio) `s3:GetMultiRegionAccessPoint`	Obligatorio para devolver información de la configuración sobre el punto de acceso multirregional especificado.
GetMultiRegionAccessPointPolicy	(Obligatorio) `s3:GetMultiRegionAccessPointPolicy`	Obligatorio para devolver la política de control de acceso del punto de acceso de multirregional especificado.
GetMultiRegionAccessPointPolicyStatus	(Obligatorio) `s3:GetMultiRegionAccessPointPolicyStatus`	Obligatorio para devolver el estado de la política para un punto de acceso de multirregional específico sobre si el punto de acceso multirregional especificado tiene una política de control de acceso que permite el acceso público.
GetMultiRegionAccessPointRoutes	(Obligatorio) `s3:GetMultiRegionAccessPointRoutes`	Obligatorio para devolver la configuración de enrutamiento de un punto de acceso multirregional.
PutMultiRegionAccessPointPolicy	(Obligatorio) `s3:PutMultiRegionAccessPointPolicy`	Obligatorio para actualizar la política de control de acceso del punto de acceso multirregional especificado.
SubmitMultiRegionAccessPointRoutes	(Obligatorio) `s3:SubmitMultiRegionAccessPointRoutes`	Obligatorio para enviar una actualización de la configuración de la ruta para un punto de acceso multirregional.

(Operaciones por lotes) Las operaciones de trabajos son operaciones de la API de S3 que funcionan en el tipo de recurso de job. Debe especificar las acciones de políticas de S3 para las operaciones de trabajo en políticas de IAM basadas en identidades, no en políticas de bucket.

En las políticas, el elemento Resource debe ser el ARN de job. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones de trabajos por lotes.

A continuación, se muestra la asignación de las operaciones de trabajo por lotes y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
DeleteJobTagging	(Obligatorio) `s3:DeleteJobTagging`	Obligatorio para eliminar etiquetas en un trabajo de operaciones por lotes de S3 existente.
DescribeJob	(Obligatorio) `s3:DescribeJob`	Obligatorio para recuperar los parámetros de configuración y el estado de un trabajo de operaciones por lotes.
GetJobTagging	(Obligatorio) `s3:GetJobTagging`	Obligatorio para devolver el conjunto de etiquetas de un trabajo de operaciones por lotes de S3 existente.
PutJobTagging	(Obligatorio) `s3:PutJobTagging`	Obligatorio para poner o reemplazar etiquetas en un trabajo de Operaciones por lotes de S3 existente.
UpdateJobPriority	(Obligatorio) `s3:UpdateJobPriority`	Obligatorio para actualizar la prioridad de un trabajo existente.
UpdateJobStatus	(Obligatorio) `s3:UpdateJobStatus`	Obligatorio para actualizar el estado del trabajo especificado.

Las operaciones de configuración de lente de almacenamiento de S3 son operaciones de la API de S3 que funcionan en el tipo de recurso de storagelensconfiguration. Para obtener más información acerca de cómo configurar las operaciones de configuración de S3 Storage Lens, consulte Configuración de permisos de Lente de almacenamiento de Amazon S3.

A continuación, se muestra la asignación de las operaciones de configuración de lente de almacenamiento de S3 y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
DeleteStorageLensConfiguration	(Obligatorio) `s3:DeleteStorageLensConfiguration`	Obligatorio para eliminar la configuración de lente de almacenamiento de S3.
DeleteStorageLensConfigurationTagging	(Obligatorio) `s3:DeleteStorageLensConfigurationTagging`	Obligatorio para eliminar las etiquetas de configuración de lente de almacenamiento de S3.
GetStorageLensConfiguration	(Obligatorio) `s3:GetStorageLensConfiguration`	Obligatorio para obtener la configuración de lente de almacenamiento de S3.
GetStorageLensConfigurationTagging	(Obligatorio) `s3:GetStorageLensConfigurationTagging`	Obligatorio para obtener las etiquetas de configuración de lente de almacenamiento de S3.
PutStorageLensConfigurationTagging	(Obligatorio) `s3:PutStorageLensConfigurationTagging`	Obligatorio para poner o reemplazar etiquetas en una configuración de lente de almacenamiento de S3 existente.

Las operaciones de grupos de lente de almacenamiento de S3 son operaciones de la API de S3 que funcionan en el tipo de recurso de storagelensgroup. Para obtener más información acerca de cómo configurar los permisos de los grupos de lentes de almacenamiento de S3, consulte Permisos de grupos de Storage Lens.

A continuación, se muestra la asignación de las operaciones de grupos de lentes de almacenamiento de S3 y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
DeleteStorageLensGroup	(Obligatorio) `s3:DeleteStorageLensGroup`	Obligatorio para eliminar un grupo de lentes de almacenamiento de S3 existente.
GetStorageLensGroup	(Obligatorio) `s3:GetStorageLensGroup`	Obligatorio para recuperar los detalles de la configuración del grupo de lentes de almacenamiento de S3.
UpdateStorageLensGroup	(Obligatorio) `s3:UpdateStorageLensGroup`	Obligatorio para actualizar el grupo de lentes de almacenamiento de S3 existente.
CreateStorageLensGroup	(Obligatorio) `s3:CreateStorageLensGroup`	Obligatorio para crear un nuevo grupo de lentes de almacenamiento.
CreateStorageLensGroup, TagResource	(Obligatorio) `s3:CreateStorageLensGroup`, `s3:TagResource`	Obligatorio para crear un nuevo grupo de lentes de almacenamiento con etiquetas.
ListStorageLensGroups	(Obligatorio) `s3:ListStorageLensGroups`	Obligatorio para enumerar todos los grupos de lentes de almacenamiento en la región de origen.
ListTagsForResource	(Obligatorio) `s3:ListTagsForResource`	Obligatorio para enumerar las etiquetas que se han agregado a al grupo de lentes de almacenamiento.
TagResource	(Obligatorio) `s3:TagResource`	Obligatorio para agregar o actualizar una etiqueta de grupo de lentes de almacenamiento para un grupo de lentes de almacenamiento existente.
UntagResource	(Obligatorio) `s3:UntagResource`	Obligatorio para eliminar una etiqueta de un grupo de lentes de almacenamiento.

Las operaciones de instancias de Concesiones de acceso de S3 son operaciones de API de S3 que funcionan en el tipo de recurso accessgrantsinstance. Una instancia de Concesiones de acceso de S3 es un contenedor lógico de concesiones de acceso. Para obtener más información sobre el uso de Concesiones de acceso de S3, consulte Trabajo con instancias de concesiones de acceso a S3.

A continuación se muestra la asignación de las operaciones de configuración de instancias de Concesiones de acceso de S3 y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
AssociateAccessGrantsIdentityCenter	(Obligatorio) `s3:AssociateAccessGrantsIdentityCenter`	Necesario para asociar una instancia de AWS IAM Identity Center a su instancia de Concesiones de acceso de S3, lo que le permite crear concesiones de acceso para usuarios y grupos en su directorio de identidades corporativas. También debe tener los siguientes permisos: `sso:CreateApplication`, `sso:PutApplicationGrant` y `sso:PutApplicationAuthenticationMethod`.
CreateAccessGrantsInstance	(Obligatorio) `s3:CreateAccessGrantsInstance`	Necesario para crear una instancia de Concesiones de acceso de S3 (recurso `accessgrantsinstance`), que es un contenedor de concesiones de acceso individuales. Para asociar una instancia de AWS IAM Identity Center a su instancia de Concesiones de acceso de S3, también debe tener los permisos `sso:DescribeInstance`, `sso:CreateApplication`, `sso:PutApplicationGrant` y `sso:PutApplicationAuthenticationMethod`.
DeleteAccessGrantsInstance	(Obligatorio) `s3:DeleteAccessGrantsInstance`	Necesario para eliminar una instancia de Concesiones de acceso de S3 (recurso `accessgrantsinstance`) de una Región de AWS de la cuenta.
DeleteAccessGrantsInstanceResourcePolicy	(Obligatorio) `s3:DeleteAccessGrantsInstanceResourcePolicy`	Necesario para eliminar una política de recursos de la instancia de Concesiones de acceso de S3.
DissociateAccessGrantsIdentityCenter	(Obligatorio) `s3:DissociateAccessGrantsIdentityCenter`	Necesario para anular la asociación de una instancia de AWS IAM Identity Center de su instancia de Concesiones de acceso de S3. También debe tener los siguientes permisos: `sso:DeleteApplication`
GetAccessGrantsInstance	(Obligatorio) `s3:GetAccessGrantsInstance`	Necesario para recuperar la instancia de Concesiones de acceso de S3 de una Región de AWS de la cuenta.
GetAccessGrantsInstanceForPrefix	(Obligatorio) `s3:GetAccessGrantsInstanceForPrefix`	Necesario para recuperar la instancia de Concesiones de acceso de S3 que contiene un prefijo en concreto.
GetAccessGrantsInstanceResourcePolicy	(Obligatorio) `s3:GetAccessGrantsInstanceResourcePolicy`	Necesario para devolver la política de recursos de la instancia de Concesiones de acceso de S3.
ListAccessGrantsInstances	(Obligatorio) `s3:ListAccessGrantsInstances`	Necesario para devolver una lista de las instancias de Concesiones de acceso de S3 de la cuenta.
PutAccessGrantsInstanceResourcePolicy	(Obligatorio) `s3:PutAccessGrantsInstanceResourcePolicy`	Necesario para actualizar la política de recursos de la instancia de Concesiones de acceso de S3.

Las operaciones de ubicación de Concesiones de acceso de S3 son operaciones de API de S3 que funcionan en el tipo de recurso accessgrantslocation. Para obtener más información sobre el uso de ubicaciones de Concesiones de acceso de S3, consulte Trabajo con ubicaciones de concesiones de acceso a S3.

A continuación se muestra la asignación de las operaciones de configuración de ubicaciones de Concesiones de acceso de S3 y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateAccessGrantsLocation	(Obligatorio) `s3:CreateAccessGrantsLocation`	Necesario para registrar una ubicación en su instancia de Concesiones de acceso de S3 (crear un recurso `accessgrantslocation`). También debe tener el siguiente permiso para el rol de IAM especificado: `iam:PassRole`
DeleteAccessGrantsLocation	(Obligatorio) `s3:DeleteAccessGrantsLocation`	Necesario para eliminar una ubicación registrada de su instancia de Concesiones de acceso de S3.
GetAccessGrantsLocation	(Obligatorio) `s3:GetAccessGrantsLocation`	Necesario para recuperar los detalles de una determinada ubicación registrada en la instancia de Concesiones de acceso de S3.
ListAccessGrantsLocations	(Obligatorio) `s3:ListAccessGrantsLocations`	Necesario para devolver una lista de las ubicaciones registradas en la instancia de Concesiones de acceso de S3.
UpdateAccessGrantsLocation	(Obligatorio) `s3:UpdateAccessGrantsLocation`	Necesario para actualizar el rol de IAM de una ubicación registrada en la instancia de Concesiones de acceso de S3.

Las operaciones de concesión de Concesiones de acceso de S3 son operaciones de API de S3 que funcionan en el tipo de recurso accessgrant. Para obtener más información sobre el uso de concesiones individuales con Concesiones de acceso de S3, consulte Trabajo con concesiones en concesiones de acceso a S3.

A continuación se muestra la asignación de las operaciones de configuración de concesión de Concesiones de acceso de S3 y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateAccessGrant	(Obligatorio) `s3:CreateAccessGrant`	Necesario para crear una concesión individual (recurso `accessgrant`) para un usuario o grupo en la instancia de Concesiones de acceso de S3. También debe tener los siguientes permisos: Para cualquier identidad del directorio: `sso:DescribeInstance` y `sso:DescribeApplication` Para los usuarios del directorio: `identitystore:DescribeUser`
DeleteAccessGrant	(Obligatorio) `s3:DeleteAccessGrant`	Necesario para eliminar una concesión de acceso individual (recurso `accessgrant`) de la instancia de Concesiones de acceso de S3.
GetAccessGrant	(Obligatorio) `s3:GetAccessGrant`	Necesario para obtener los detalles de una concesión de acceso individual en la instancia de Concesiones de acceso de S3.
ListAccessGrants	(Obligatorio) `s3:ListAccessGrants`	Necesario para devolver una lista de concesiones de acceso individuales en la instancia de Concesiones de acceso de S3.
ListCallerAccessGrants	(Obligatorio) `s3:ListCallerAccessGrants`	Necesario para obtener una lista de las concesiones de acceso que otorgan al solicitante acceso a los datos de Amazon S3 mediante Concesiones de acceso de S3.

Las operaciones de cuentas son operaciones de la API de S3 que funcionan en el nivel de la cuenta. La cuenta no es un tipo de recurso definido por Amazon S3. Debe especificar las acciones de políticas de S3 para las operaciones de cuenta en políticas de IAM basadas en identidades, no en políticas de bucket.

En las políticas, el elemento Resource debe ser "*". Para obtener más información acerca de las políticas de ejemplo, consulte Operaciones de cuentas.

A continuación, se muestra la asignación de las operaciones de la cuenta y las acciones de la política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateJob	(Obligatorio) `s3:CreateJob`	Obligatorio para crear un nuevo trabajo de operaciones por lotes de S3.
CreateStorageLensGroup	(Obligatorio) `s3:CreateStorageLensGroup`	Obligatorio para crear un nuevo grupo de lentes de almacenamiento de S3 y asociarlo al ID de la Cuenta de AWS especificado.
	(Obligatorio condicionalmente) `s3:TagResource`	Obligatorio si desea crear un grupo de lentes de almacenamiento de S3 con etiquetas de recursos de AWS.
DeletePublicAccessBlock (Nivel de cuenta)	(Obligatorio) `s3:PutAccountPublicAccessBlock`	Obligatorio para eliminar la configuración de bloqueo de acceso público de una Cuenta de AWS.
GetAccessPoint	(Obligatorio) `s3:GetAccessPoint`	Obligatorio para recuperar información de la configuración sobre el punto de acceso especificado.
GetAccessPointPolicy (Nivel de cuenta)	(Obligatorio) `s3:GetAccountPublicAccessBlock`	Obligatorio para recuperar la configuración de bloqueo de acceso público para una Cuenta de AWS.
ListAccessPoints	(Obligatorio) `s3:ListAccessPoints`	Obligatorio para mostrar los puntos de acceso de un bucket de S3 que son propiedad de una Cuenta de AWS.
ListAccessPointsForObjectLambda	(Obligatorio) `s3:ListAccessPointsForObjectLambda`	Obligatorio para mostrar los puntos de acceso de objeto Lambda.
ListBuckets	(Obligatorio) `s3:ListAllMyBuckets`	Obligatorio para devolver una lista de todos los buckets pertenecientes al remitente autenticado de la solicitud.
ListJobs	(Obligatorio) `s3:ListJobs`	Obligatorio para mostrar los trabajos actuales y los trabajos que han finalizado recientemente.
ListMultiRegionAccessPoints	(Obligatorio) `s3:ListMultiRegionAccessPoints`	Obligatorio para devolver una lista de los puntos de acceso multirregionales que están actualmente asociados a la Cuenta de AWS especificada.
ListStorageLensConfigurations	(Obligatorio) `s3:ListStorageLensConfigurations`	Obligatorio para obtener una lista de las configuraciones de lente de almacenamiento de S3 para una Cuenta de AWS.
ListStorageLensGroups	(Obligatorio) `s3:ListStorageLensGroups`	Obligatorio para mostrar todos los grupos de lentes de almacenamiento de S3 de la Región de AWS de inicio especificada.
PutPublicAccessBlock (Nivel de cuenta)	(Obligatorio) `s3:PutAccountPublicAccessBlock`	Obligatorio para crear o modificar la configuración de bloqueo de acceso público para una Cuenta de AWS.
PutStorageLensConfiguration	(Obligatorio) `s3:PutStorageLensConfiguration`	Obligatorio para poner una configuración de lente de almacenamiento de S3.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Para una operación con objetos

Políticas y permisos

Tema siguiente:

Políticas y permisos

Tema anterior:

Para una operación con objetos

¿Necesita ayuda?

En esta página

Seleccione sus preferencias de cookies

Personalizar preferencias de cookies

Esenciales

De rendimiento

Funcionales

De publicidad

No se pueden guardar las preferencias de cookies

Permisos necesarios para las operaciones de la API de Amazon S3

nota

Temas

nota

nota

nota

nota

Tema siguiente:

Tema anterior:

¿Necesita ayuda?

En esta página

Related resources

¿Le ha servido de ayuda esta página?

Related resources

Seleccione sus preferencias de cookies

Permisos necesarios para las operaciones de la API de Amazon S3

nota

Temas

Permisos y operaciones de bucket

nota

Permisos y operaciones de objetos

nota

Punto de acceso para operaciones y permisos de buckets de propósito general

nota

Operaciones y permisos de punto de acceso para buckets de directorio

nota

Operaciones y permisos de punto de acceso del objeto Lambda

Operaciones y permisos de punto de acceso multirregionales

Operaciones y permisos de trabajos por lotes

Operaciones y permisos de configuración de lente de almacenamiento de S3

Operaciones y permisos de grupos de lentes de almacenamiento de S3

Operaciones y permisos de instancias de Concesiones de acceso de S3

Operaciones y permisos de ubicación de Concesiones de acceso de S3

Operaciones y permisos de concesión de Concesiones de acceso de S3

Permisos y operaciones de la cuenta

Tema siguiente:

Tema anterior:

¿Necesita ayuda?

En esta página

Related resources

¿Le ha servido de ayuda esta página?

Related resources