Permisos y operaciones de bucket Permisos y operaciones de objetos Operaciones y permisos de punto de acceso Operaciones y permisos de punto de acceso del objeto Lambda Operaciones y permisos de punto de acceso de varias regiones Operaciones y permisos de trabajos por lotes Operaciones y permisos de configuración de lente de almacenamiento de S3 Operaciones y permisos de grupos de lentes de almacenamiento de S3 Permisos y operaciones de la cuenta

Permisos necesarios para las operaciones de la API de Amazon S3

nota

En esta página, se describen las acciones de las políticas de Amazon S3 para buckets de uso general. Para obtener más información acerca de las acciones de las políticas de Amazon S3 para buckets de directorios, consulte Acciones para S3 Express One Zone.

Para realizar una operación de la API de S3, debe tener los permisos correctos. Esta página asigna las operaciones de la API de S3 a los permisos necesarios. Para conceder permisos para realizar una operación de la API de S3, debe crear una política válida (por ejemplo, una política de bucket de S3 o una política basada en identidad de IAM) y especificar las acciones correspondientes en el elemento Action de la política. Estas acciones se denominan acciones de políticas. No todas las operaciones de la API de S3 están representadas por un solo permiso (una sola acción de política), y algunos permisos (algunas acciones de política) son necesarios para muchas operaciones de API diferentes.

Al crear las políticas, debe especificar el elemento Resource en función del tipo de recurso correcto que necesitan las acciones de políticas de Amazon S3 correspondientes. En esta página, se clasifican los permisos para las operaciones de la API de S3 por tipos de recursos. Para obtener más información sobre los tipos de recursos, consulte Resource types defined by Amazon S3 en la Referencia de autorizaciones de servicio. Para obtener una lista completa de las acciones, recursos y claves de condición de las políticas de Amazon S3 que se pueden utilizar en las políticas, consulte Actions, resources, and condition keys for Amazon S3 en la Referencia de autorización de servicios. Para obtener una lista de operaciones de la API de Amazon S3, consulte Amazon S3 API Actions en la Referencia de la API de Amazon Simple Storage Service.

Temas

Permisos y operaciones de bucket
Permisos y operaciones de objetos
Operaciones y permisos de punto de acceso
Operaciones y permisos de punto de acceso del objeto Lambda
Operaciones y permisos de punto de acceso de varias regiones
Operaciones y permisos de trabajos por lotes
Operaciones y permisos de configuración de lente de almacenamiento de S3
Operaciones y permisos de grupos de lentes de almacenamiento de S3
Permisos y operaciones de la cuenta

Las operaciones de buckets son operaciones de la API de S3 que funcionan en el tipo de recurso de bucket. Debe especificar las acciones de políticas de S3 para las operaciones de bucket en políticas de bucket o políticas de IAM basadas en identidades de IAM.

En las políticas, el elemento Resource debe ser el nombre de recurso de Amazon (ARN) del bucket. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones con buckets.

nota

Para conceder permisos a las operaciones de bucket en las políticas de puntos de acceso, tenga en cuenta lo siguiente:

Los permisos concedidos para operaciones de bucket en una política de puntos de acceso solo se aplican si el bucket subyacente permite los mismos permisos. Cuando utilice un punto de acceso, debe delegar el control de acceso del bucket al punto de acceso o agregar los mismos permisos en la política del punto de acceso a la política del bucket subyacente.
En las políticas de puntos de acceso que conceden permisos a las operaciones del bucket, el elemento Resource debe ser el ARN de accesspoint. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones de buckets en políticas de puntos de acceso. Para obtener más información sobre las políticas de punto de acceso, consulte Configurar las políticas de IAM para el uso de puntos de acceso.
Los puntos de acceso no admiten todas las operaciones de bucket. Para obtener más información, consulte Compatibilidad de los puntos de acceso con las operaciones de S3.

A continuación, se muestra la asignación de las operaciones de los buckets y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateBucket	(Obligatorio) `s3:CreateBucket`	Obligatorio para crear un nuevo bucket de S3.
	(Obligatorio condicionalmente) `s3:PutBucketAcl`	Es obligatorio si desea utilizar la lista de control de acceso (ACL) para especificar los permisos en un bucket al realizar una solicitud de `CreateBucket`.
	(Obligatorio condicionalmente) `s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`	Obligatorio si desea habilitar el bloqueo de objetos al crear un bucket.
	(Obligatorio condicionalmente) `s3:PutBucketOwnershipControls`	Obligatorio si desea especificar la propiedad de objetos de S3 al crear un bucket.
DeleteBucket	(Obligatorio) `s3:DeleteBucket`	Obligatorio para eliminar un bucket de S3.
DeleteBucketAnalyticsConfiguration	(Obligatorio) `s3:PutAnalyticsConfiguration`	Obligatorio para eliminar una configuración de análisis de S3 de un bucket de S3.
DeleteBucketCors	(Obligatorio) `s3:PutBucketCORS`	Obligatorio para eliminar la configuración de uso compartido de recursos entre orígenes (CORS) para un bucket.
DeleteBucketEncryption	(Obligatorio) `s3:PutEncryptionConfiguration`	Obligatorio para restablecer la configuración de cifrado predeterminada para un bucket de S3 como cifrado del servidor con claves administradas por Amazon S3 (SSE-S3).
DeleteBucketIntelligentTieringConfiguration	(Obligatorio) `s3:PutIntelligentTieringConfiguration`	Obligatorio para eliminar la configuración de capas avanzadas de S3 existente de un bucket de S3.
DeleteBucketInventoryConfiguration	(Obligatorio) `s3:PutInventoryConfiguration`	Obligatorio para eliminar una configuración de inventario de S3 de un bucket de S3.
DeleteBucketLifecycle	(Obligatorio) `s3:PutLifecycleConfiguration`	Obligatorio para eliminar la configuración del S3 Lifecycle de un bucket de S3.
DeleteBucketMetricsConfiguration	(Obligatorio) `s3:PutMetricsConfiguration`	Obligatorio para eliminar una configuración de métricas para las métricas para las métricas de solicitudes de Amazon CloudWatch desde un bucket de S3.
DeleteBucketOwnershipControls	(Obligatorio) `s3:PutBucketOwnershipControls`	Obligatorio para eliminar la configuración de propiedad de objetos de un bucket de S3. Tras la eliminación, la configuración de propiedad del objeto pasa a ser `Object writer`.
DeleteBucketPolicy	(Obligatorio) `s3:DeleteBucketPolicy`	Obligatorio para eliminar la política de un bucket de S3.
DeleteBucketReplication	(Obligatorio) `s3:PutReplicationConfiguration`	Obligatorio para eliminar la configuración de replicación de un bucket de S3.
DeleteBucketTagging	(Obligatorio) `s3:PutBucketTagging`	Obligatorio para eliminar etiquetas de un bucket de S3.
DeleteBucketWebsite	(Obligatorio) `s3:DeleteBucketWebsite`	Obligatorio para eliminar la configuración del sitio web de un bucket de S3.
DeletePublicAccessBlock (nivel de bucket)	(Obligatorio) `s3:PutBucketPublicAccessBlock`	Obligatorio para eliminar la configuración de bloqueo de acceso público para un bucket de S3.
GetBucketAccelerateConfiguration	(Obligatorio) `s3:GetAccelerateConfiguration`	Obligatorio para usar el subrecurso de aceleración para volver al estado de aceleración de transferencia de Amazon S3 de un bucket, que puede estar habilitado o suspendido.
GetBucketAcl	(Obligatorio) `s3:GetBucketAcl`	Obligatorio para devolver la lista de control de acceso (ACL) de un bucket de S3.
GetBucketAnalyticsConfiguration	(Obligatorio) `s3:GetAnalyticsConfiguration`	Obligatorio para devolver una configuración de análisis identificada por el ID de configuración de análisis de un bucket de S3.
GetBucketCors	(Obligatorio) `s3:GetBucketCORS`	Obligatorio para devolver la configuración de uso compartido de recursos entre orígenes (CORS) para un bucket de S3.
GetBucketEncryption	(Obligatorio) `s3:GetEncryptionConfiguration`	Obligatorio para devolver la configuración de cifrado predeterminada para un bucket de S3.
GetBucketIntelligentTieringConfiguration	(Obligatorio) `s3:GetIntelligentTieringConfiguration`	Obligatorio para obtener la configuración de capas avanzadas de S3 de un bucket de S3.
GetBucketInventoryConfiguration	(Obligatorio) `s3:GetInventoryConfiguration`	Obligatorio para devolver una configuración de inventario identificada por el ID de configuración de inventario del bucket.
GetBucketLifecycle	(Obligatorio) `s3:GetLifecycleConfiguration`	Obligatorio para devolver la configuración del S3 Lifecycle del bucket.
GetBucketLocation	(Obligatorio) `s3:GetBucketLocation`	Obligatorio para devolver la Región de AWS en la que reside un bucket de S3.
GetBucketLogging	(Obligatorio) `s3:GetBucketLogging`	Obligatorio para devolver el estado de registro de un bucket de S3 y los permisos que los usuarios tienen para ver y modificar dicho estado.
GetBucketMetricsConfiguration	(Obligatorio) `s3:GetMetricsConfiguration`	Obligatorio para obtener una configuración para las métricas especificada por el ID de configuración de métricas desde el bucket.
GetBucketNotificationConfiguration	(Obligatorio) `s3:GetBucketNotification`	Obligatorio para devolver la configuración de notificación de un bucket de S3.
GetBucketOwnershipControls	(Obligatorio) `s3:GetBucketOwnershipControls`	Obligatorio para recuperar la configuración de propiedad de objetos de un bucket de S3.
GetBucketPolicy	(Obligatorio) `s3:GetBucketPolicy`	Obligatorio para devolver la política de un bucket de S3.
GetBucketPolicyStatus	(Obligatorio) `s3:GetBucketPolicyStatus`	Obligatorio para recuperar el estado de política de un bucket de S3, que indica si el bucket es público.
GetBucketReplication	(Obligatorio) `s3:GetReplicationConfiguration`	Obligatorio para devolver la configuración de replicación de un bucket de S3.
GetBucketRequestPayment	(Obligatorio) `s3:GetBucketRequestPayment`	Obligatorio para devolver la configuración de pagos de solicitudes de un bucket de S3.
GetBucketVersioning	(Obligatorio) `s3:GetBucketVersioning`	Obligatorio para devolver el estado de control de versiones de un bucket de S3.
GetBucketTagging	(Obligatorio) `s3:GetBucketTagging`	Obligatorio para devolver el conjunto de etiquetas asociado a un bucket de S3.
GetBucketWebsite	(Obligatorio) `s3:GetBucketWebsite`	Obligatorio para devolver la configuración del sitio web de un bucket de S3.
GetObjectLockConfiguration	(Obligatorio) `s3:GetBucketObjectLockConfiguration`	Obligatorio para obtener la configuración de bloqueo de objetos de un bucket de S3.
GetPublicAccessBlock (nivel de bucket)	(Obligatorio) `s3:GetBucketPublicAccessBlock`	Obligatorio para recuperar la configuración de bloqueo de acceso público para un bucket de S3.
HeadBucket	(Obligatorio) `s3:ListBucket`	Obligatorio para determinar si existe un bucket y si tiene permiso para acceder a él.
ListBucketAnalyticsConfigurations	(Obligatorio) `s3:GetAnalyticsConfiguration`	Obligatorio para mostrar las configuraciones de análisis de un bucket de S3.
ListBucketIntelligentTieringConfigurations	(Obligatorio) `s3:GetIntelligentTieringConfiguration`	Obligatorio para mostrar las configuraciones de capas avanzadas de S3 de un bucket de S3.
ListBucketInventoryConfigurations	(Obligatorio) `s3:GetInventoryConfiguration`	Obligatorio para devolver una lista de las configuraciones de inventario de un bucket de S3.
ListBucketMetricsConfigurations	(Obligatorio) `s3:GetMetricsConfiguration`	Obligatorio para mostrar las configuraciones de métricas de un bucket de S3.
ListObjects	(Obligatorio) `s3:ListBucket`	Obligatorio para mostrar algunos o todos los objetos (hasta 1000) de un bucket de S3.
	(Obligatorio condicionalmente) `s3:GetObjectAcl`	Obligatorio si quiere mostrar la información del propietario del objeto.
ListObjectsV2	(Obligatorio) `s3:ListBucket`	Obligatorio para mostrar algunos o todos los objetos (hasta 1000) de un bucket de S3.
	(Obligatorio condicionalmente) `s3:GetObjectAcl`	Obligatorio si quiere mostrar la información del propietario del objeto.
ListObjectVersions	(Obligatorio) `s3:ListBucketVersions`	Obligatorio para obtener metadatos sobre todas las versiones de objetos en un bucket de S3.
PutBucketAccelerateConfiguration	(Obligatorio) `s3:PutAccelerateConfiguration`	Obligatorio para establecer la configuración acelerada de un bucket existente.
PutBucketAcl	(Obligatorio) `s3:PutBucketAcl`	Obligatorio para usar listas de control de acceso (ACL) para establecer los permisos en un bucket existente.
PutBucketAnalyticsConfiguration	(Obligatorio) `s3:PutAnalyticsConfiguration`	Obligatorio para establecer una configuración de análisis para un bucket de S3.
PutBucketCors	(Obligatorio) `s3:PutBucketCORS`	Obligatorio para establecer la configuración de uso compartido de recursos entre orígenes (CORS) para un bucket de S3.
PutBucketEncryption	(Obligatorio) `s3:PutEncryptionConfiguration`	Obligatorio para configurar el cifrado predeterminado para un bucket de S3.
PutBucketIntelligentTieringConfiguration	(Obligatorio) `s3:PutIntelligentTieringConfiguration`	Obligatorio para poner la configuración de capas avanzadas de S3 en un bucket de S3.
PutBucketInventoryConfiguration	(Obligatorio) `s3:PutInventoryConfiguration`	Obligatorio para agregar una configuración de inventario a un bucket de S3.
PutBucketLifecycle	(Obligatorio) `s3:PutLifecycleConfiguration`	Obligatorio para crear una nueva una configuración de S3 Lifecycle o sustituir una configuración de ciclo de vida existente por un bucket de S3.
PutBucketLogging	(Obligatorio) `s3:PutBucketLogging`	Obligatorio para establecer los parámetros de registro de un bucket de S3 y especificar los permisos para ver y modificar los parámetros de registro.
PutBucketMetricsConfiguration	(Obligatorio) `s3:PutMetricsConfiguration`	Obligatorio para establecer o actualizar una configuración de métricas para las métricas de solicitudes de Amazon CloudWatch de un bucket de S3.
PutBucketNotificationConfiguration	(Obligatorio) `s3:PutBucketNotification`	Obligatorio para habilitar notificaciones de eventos específicos para un bucket de S3.
PutBucketOwnershipControls	(Obligatorio) `s3:PutBucketOwnershipControls`	Obligatorio para crear o modificar la configuración de propiedad de objetos de un bucket de S3.
PutBucketPolicy	(Obligatorio) `s3:PutBucketPolicy`	Obligatorio para aplicar una política de bucket de S3 a un bucket.
PutBucketReplication	(Obligatorio) `s3:PutReplicationConfiguration`	Obligatorio para crear una nueva configuración de replicación o reemplazar una existente para un bucket de S3.
PutBucketRequestPayment	(Obligatorio) `s3:PutBucketRequestPayment`	Obligatorio para establecer la configuración de pagos de solicitudes de un bucket.
PutBucketTagging	(Obligatorio) `s3:PutBucketTagging`	Obligatorio para agregar un conjunto de etiquetas a un bucket de S3.
PutBucketVersioning	(Obligatorio) `s3:PutBucketVersioning`	Obligatorio para establecer el estado de control de versiones de un bucket de S3.
PutBucketWebsite	(Obligatorio) `s3:PutBucketWebsite`	Obligatorio para configurar un bucket como un sitio web y establecer la configuración del sitio web.
PutObjectLockConfiguration	(Obligatorio) `s3:PutBucketObjectLockConfiguration`	Obligatorio para poner la configuración del bloqueo de objetos en un bucket de S3.
PutPublicAccessBlock (nivel de bucket)	(Obligatorio) `s3:PutBucketPublicAccessBlock`	Obligatorio para crear o modificar la configuración de bloqueo de acceso público para un bucket de S3.

Las operaciones de objetos son operaciones de la API de S3 que actúan en función del tipo de recurso del objeto. Debe especificar las acciones de política de S3 para las operaciones de objetos en políticas basadas en recursos (como políticas de bucket, políticas de puntos de acceso, políticas de puntos de acceso de varias regiones, políticas de puntos de conexión de VPC) o políticas basadas en identidades de IAM.

En las políticas, el elemento Resource debe ser el ARN del objeto. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones con objetos.

nota

Las acciones de la política de AWS KMS (kms:GenerateDataKey y kms:Decrypt) solo se aplican al tipo de recurso de AWS KMS y se deben especificar en las políticas de IAM basadas en identidades y en las políticas basadas en recursos de AWS KMS (políticas de claves de AWS KMS). No puede especificar acciones de políticas de AWS KMS en las políticas basadas en recursos de S3, como las políticas de bucket de S3.
Cuando utilice puntos de acceso para controlar el acceso a las operaciones de los objetos, puede utilizar políticas de puntos de acceso. Para conceder permisos a las operaciones de objetos en las políticas de puntos de acceso, tenga en cuenta lo siguiente:
- En las políticas de puntos de acceso que otorgan permisos a las operaciones de objetos, el elemento Resource deben ser los ARN de los objetos a los que se accede a través de un punto de acceso. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones de objetos en políticas de puntos de acceso.
- Los puntos de acceso no admiten todas las operaciones de objetos. Para obtener más información, consulte Compatibilidad de los puntos de acceso con las operaciones de S3.
Los puntos de acceso de varias regiones no admiten todas las operaciones de objetos. Para obtener más información, consulte Compatibilidad de punto de acceso de varias regiones con operaciones de S3.

A continuación, se muestra la asignación de las operaciones de los objetos y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
AbortMultipartUpload	(Obligatorio) `s3:AbortMultipartUpload`	Obligatorio para cancelar una carga multiparte.
CompleteMultipartUpload	(Obligatorio) `s3:PutObject`	Obligatorio para completar una carga multiparte.
	(Obligatorio condicionalmente) `kms:Decrypt`	Obligatorio si desea completar una carga multiparte de un objeto cifrado con clave administrado por un cliente de AWS KMS.
CopyObject	Para el objeto de origen:	Para el objeto de origen:
	(Obligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject`: obligatorio si quiere copiar un objeto del bucket de origen sin especificar `versionId` en la solicitud. `s3:GetObjectVersion`: obligatorio si quiere copiar una versión específica de un objeto del bucket de origen mediante la especificación de `versionId` en la solicitud.
	(Obligatorio condicionalmente) `kms:Decrypt`	Es obligatorio si desea copiar un objeto cifrado con clave administrada por el cliente de AWS KMS del bucket de origen.
	Para el objeto de destino:	Para el objeto de destino:
	(Obligatorio) `s3:PutObject`	Obligatorio para poner el objeto copiado en el bucket de destino.
	(Obligatorio condicionalmente) `s3:PutObjectAcl`	Obligatorio si desea poner el objeto copiado con la lista de control de acceso (ACL) de objetos en el bucket de destino al realizar una solicitud de `CopyObject`.
	(Obligatorio condicionalmente) `s3:PutObjectTagging`	Obligatorio si desea poner el objeto copiado con el etiquetado de objetos en el bucket de destino al realizar una solicitud de `CopyObject`.
	(Obligatorio condicionalmente) `kms:GenerateDataKey`	Obligatorio si desea cifrar el objeto copiado con una clave administrada por el cliente de AWS KMS y ponerlo en el bucket de destino.
	(Obligatorio condicionalmente) `s3:PutObjectRetention`	Obligatorio si desea establecer una configuración de retención de bloqueo de objetos para el nuevo objeto.
	(Obligatorio condicionalmente) `s3:PutObjectLegalHold`	Obligatorio si desea colocar una retención legal de bloqueo de objetos en el objeto nuevo.
CreateMultipartUpload	(Obligatorio) `s3:PutObject`	Obligatorio para crear una carga multiparte.
	(Obligatorio condicionalmente) `s3:PutObjectAcl`	Obligatorio si desea establecer los permisos de la lista de control de acceso (ACL) del objeto para el objeto cargado.
	(Obligatorio condicionalmente) `s3:PutObjectTagging`	Obligatorio si desea agregar etiquetado de objetos al objeto cargado.
	(Obligatorio condicionalmente) `kms:GenerateDataKey`	Obligatorio si desea utilizar una clave administrada por el cliente de AWS KMS para cifrar un objeto al iniciar una carga multiparte.
	(Obligatorio condicionalmente) `s3:PutObjectRetention`	Obligatorio si desea establecer una configuración de retención de bloqueo de objetos para el objeto cargado.
	(Obligatorio condicionalmente) `s3:PutObjectLegalHold`	Obligatorio si desea aplicar una retención legal de bloqueo de objetos en el objeto cargado.
DeleteObject	(Obligatorio) `s3:DeleteObject` o `s3:DeleteObjectVersion`	`s3:DeleteObject`: obligatorio si quiere eliminar un objeto sin especificar `versionId` en la solicitud. `s3:DeleteObjectVersion`: obligatorio si quiere eliminar una versión específica de un objeto mediante la especificación del `versionId` en la solicitud.
	(Obligatorio condicionalmente) `s3:BypassGovernanceRetention`	Obligatorio si desea eliminar un objeto que está protegido por el modo de gobierno para la retención del bloqueo de objetos.
DeleteObjects	(Obligatorio) `s3:DeleteObject` o `s3:DeleteObjectVersion`	`s3:DeleteObject`: obligatorio si quiere eliminar un objeto sin especificar `versionId` en la solicitud. `s3:DeleteObjectVersion`: obligatorio si quiere eliminar una versión específica de un objeto mediante la especificación del `versionId` en la solicitud.
	(Obligatorio condicionalmente) `s3:BypassGovernanceRetention`	Obligatorio si desea eliminar objetos que están protegidos por el modo de gobierno para la retención del bloqueo de objetos.
DeleteObjectTagging	(Obligatorio) `s3:DeleteObjectTagging` o `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging`: obligatorio si quiere eliminar todo el conjunto de etiquetas de un objeto sin especificar `versionId` en la solicitud. `s3:DeleteObjectVersionTagging`: obligatorio si quiere eliminar etiquetas de una versión del objeto específica mediante la especificación del `versionId` en la solicitud.
GetObject	(Obligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject`: obligatorio si quiere obtener un objeto sin especificar `versionId` en la solicitud. `s3:GetObjectVersion`: obligatorio si quiere obtener una versión específica de un objeto mediante la especificación del `versionId` en la solicitud.
	(Obligatorio condicionalmente) `kms:Decrypt`	Obligatorio si desea obtener y descifrar un objeto cifrado con clave administrada por el cliente de AWS KMS.
	(Obligatorio condicionalmente) `s3:GetObjectTagging`	Obligatorio si desea obtener el conjunto de etiquetas de un objeto al realizar una solicitud de `GetObject`.
	(Obligatorio condicionalmente) `s3:GetObjectLegalHold`	Obligatorio si desea obtener el estado actual de retención legal de bloqueo de objetos.
	(Obligatorio condicionalmente) `s3:GetObjectRetention`	Obligatorio si desea recuperar la configuración de retención de bloqueo de objetos para un objeto.
GetObjectAcl	(Obligatorio) `s3:GetObjectAcl` o `s3:GetObjectVersionAcl`	`s3:GetObjectAcl`: obligatorio si quiere obtener la lista de control de acceso (ACL) de un objeto sin especificar `versionId` en la solicitud. `s3:GetObjectVersionAcl`: obligatorio si quiere obtener la lista de control de acceso (ACL) de un objeto mediante la especificación de `versionId` en la solicitud.
GetObjectAttributes	(Obligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject`: obligatorio si quiere recuperar atributos relacionados con un objeto sin especificar `versionId` en la solicitud. `s3:GetObjectVersion`: obligatorio si quiere recuperar atributos relacionados con una versión del objeto específica mediante la especificación de `versionId` en la solicitud.
	(Obligatorio condicionalmente) `kms:Decrypt`	Obligatorio si desea recuperar los atributos relacionados con un objeto cifrado con clave administrado por el cliente de AWS KMS.
GetObjectLegalHold	(Obligatorio) `s3:GetObjectLegalHold`	Obligatorio para obtener el estado actual de retención legal de bloqueo de objetos.
GetObjectRetention	(Obligatorio) `s3:GetObjectRetention`	Obligatorio para recuperar la configuración de retención de bloqueo de objetos para un objeto.
GetObjectTagging	(Obligatorio) `s3:GetObjectTagging` o `s3:GetObjectVersionTagging`	`s3:GetObjectTagging`: obligatorio si quiere obtener el conjunto de etiquetas de un objeto sin especificar `versionId` en la solicitud. `s3:GetObjectVersionTagging`: obligatorio si quiere obtener las etiquetas de una versión del objeto específica mediante la especificación del `versionId` en la solicitud.
GetObjectTorrent	(Obligatorio) `s3:GetObject`	Obligatorio para devolver los archivos torrent de un objeto.
HeadObject	(Obligatorio) `s3:GetObject`	Obligatorio para recuperar metadatos de un objeto sin devolver el objeto en sí.
	(Obligatorio condicionalmente) `s3:GetObjectLegalHold`	Obligatorio si desea obtener el estado actual de retención legal de bloqueo de objetos.
	(Obligatorio condicionalmente) `s3:GetObjectRetention`	Obligatorio si desea recuperar la configuración de retención de bloqueo de objetos para un objeto.
ListMultipartUploads	(Obligatorio) `s3:ListBucketMultipartUploads`	Obligatorio para mostrar las cargas multiparte en curso en un bucket.
ListParts	(Obligatorio) `s3:ListMultipartUploadParts`	Obligatorio para mostrar las partes que se han cargado para una carga multiparte específica.
	(Obligatorio condicionalmente) `kms:Decrypt`	Obligatorio si desea mostrar las partes de una carga multiparte cifrada con clave administrada por un cliente de AWS KMS.
PutObject	(Obligatorio) `s3:PutObject`	Obligatorio para poner un objeto.
	(Obligatorio condicionalmente) `s3:PutObjectAcl`	Obligatorio si desea poner la lista de control de acceso (ACL) del objeto cuando haga una solicitud de `PutObject`.
	(Obligatorio condicionalmente) `s3:PutObjectTagging`	Obligatorio si desea poner etiquetas de objetos cuando haga una solicitud de `PutObject`.
	(Obligatorio condicionalmente) `kms:GenerateDataKey`	Obligatorio si desea cifrar un objeto con clave administrada por el cliente de AWS KMS.
	(Obligatorio condicionalmente) `s3:PutObjectRetention`	Obligatorio si desea establecer una configuración de retención de bloqueo de objetos en un objeto.
	(Obligatorio condicionalmente) `s3:PutObjectLegalHold`	Obligatorio si desea aplicar una configuración de retención legal de bloqueo de objetos en un objeto especificado.
PutObjectAcl	(Obligatorio) `s3:PutObjectAcl` o `s3:PutObjectVersionAcl`	`s3:PutObjectAcl`: obligatorio si quiere establecer los permisos de la lista de control de acceso (ACL) de un objeto nuevo o existente sin especificar `versionId` en la solicitud. `s3:PutObjectVersionAcl`: obligatorio si quiere establecer los permisos de la lista de control de acceso (ACL) de un objeto nuevo o existente mediante la especificación de `versionId` en la solicitud.
PutObjectLegalHold	(Obligatorio) `s3:PutObjectLegalHold`	Obligatorio para aplicar una configuración de retención legal de bloqueo de objetos a un objeto.
PutObjectRetention	(Obligatorio) `s3:PutObjectRetention`	Obligatorio para aplicar una configuración de retención de bloqueo de objetos a un objeto.
	(Obligatorio condicionalmente) `s3:BypassGovernanceRetention`	Obligatorio si quiere omitir el modo de gobierno de una configuración de retención de bloqueo de objetos.
PutObjectTagging	(Obligatorio) `s3:PutObjectTagging` o `s3:PutObjectVersionTagging`	`s3:PutObjectTagging`: obligatorio si desea establecer el conjunto de etiquetas suministrado en un objeto que ya existe en un bucket sin especificar `versionId` en la solicitud. `s3:PutObjectVersionTagging`: obligatorio si desea establecer el conjunto de etiquetas suministrado en un objeto que ya existe en un bucket mediante la especificación de `versionId` en la solicitud.
RestoreObject	(Obligatorio) `s3:RestoreObject`	Obligatorio para restaurar una copia de un objeto archivado.
SelectObjectContent	(Obligatorio) `s3:GetObject`	Obligatorio para filtrar el contenido de un objeto de S3 en función de una instrucción de lenguaje de consulta estructurado (SQL) simple.
	(Obligatorio condicionalmente) `kms:Decrypt`	Obligatorio si desea filtrar el contenido de un objeto de S3 cifrado con una clave administrada por el cliente de AWS KMS.
UploadPart	(Obligatorio) `s3:PutObject`	Obligatorio para cargar una parte en una carga multiparte.
	(Obligatorio condicionalmente) `kms:GenerateDataKey`	Obligatorio si quiere poner una parte de la carga y cifrarla con una clave administrada por el cliente de AWS KMS.
UploadPartCopy	Para el objeto de origen:	Para el objeto de origen:
	(Obligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject`: obligatorio si quiere copiar un objeto del bucket de origen sin especificar `versionId` en la solicitud. `s3:GetObjectVersion`: obligatorio si quiere copiar una versión específica de un objeto del bucket de origen mediante la especificación de `versionId` en la solicitud.
	(Obligatorio condicionalmente) `kms:Decrypt`	Es obligatorio si desea copiar un objeto cifrado con clave administrada por el cliente de AWS KMS del bucket de origen.
	Para la parte de destino:	Para la parte de destino:
	(Obligatorio) `s3:PutObject`	Obligatorio para cargar una parte de carga multiparte en el bucket de destino.
	(Obligatorio condicionalmente) `kms:GenerateDataKey`	Obligatorio si desea cifrar una parte con una clave administrada por el cliente de AWS KMS al cargar la parte en el bucket de destino.

Las operaciones de puntos de acceso son operaciones de la API de S3 que funcionan en el tipo de recurso accesspoint. Debe especificar las acciones de políticas de S3 para las operaciones de punto de acceso en las políticas de IAM basadas en identidades, no en las políticas de buckets ni en las de puntos de acceso.

En las políticas, el elemento Resource debe ser el ARN de accesspoint. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones de puntos de acceso.

nota

Si desea utilizar puntos de acceso para controlar el acceso a las operaciones de los buckets o los objetos, tenga en cuenta lo siguiente:

Para obtener información sobre el uso de puntos de acceso para controlar el acceso a las operaciones del bucket, consulte Operaciones de buckets en políticas de puntos de acceso.
Para obtener información sobre el uso de puntos de acceso para controlar el acceso a las operaciones del objeto, consulte Operaciones de objetos en políticas de puntos de acceso.
Para obtener más información acerca de cómo configurar políticas de punto de acceso, consulte Configurar las políticas de IAM para el uso de puntos de acceso.

A continuación, se muestra la asignación de las operaciones de los puntos de acceso y las acciones de la política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateAccessPoint	(Obligatorio) `s3:CreateAccessPoint`	Obligatorio para crear un punto de acceso asociado a un bucket de S3.
DeleteAccessPoint	(Obligatorio) `s3:DeleteAccessPoint`	Obligatorio para eliminar un punto de acceso.
DeleteAccessPointPolicy	(Obligatorio) `s3:DeleteAccessPointPolicy`	Obligatorio para eliminar una política de punto de acceso.
GetAccessPointPolicy	(Obligatorio) `s3:GetAccessPointPolicy`	Obligatorio para recuperar una política de punto de acceso.
GetAccessPointPolicyStatus	(Obligatorio) `s3:GetAccessPointPolicyStatus`	Obligatorio para recuperar la información sobre si el punto de acceso especificado tiene actualmente una política que permite el acceso público.
PutAccessPointPolicy	(Obligatorio) `s3:PutAccessPointPolicy`	Obligatorio para poner una política de punto de acceso.

Las operaciones de puntos de acceso del objeto Lambda son operaciones de la API de S3 que funcionan en el tipo de recurso objectlambdaaccesspoint. Para obtener más información sobre cómo configurar políticas para operaciones de puntos de acceso de Object Lambda, consulte Configuración de las políticas de IAM para puntos de acceso de Object Lambda.

A continuación, se muestra la asignación de las operaciones de los puntos de acceso de objeto Lambda y las acciones de la política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateAccessPointForObjectLambda	(Obligatorio) `s3:CreateAccessPointForObjectLambda`	Obligatorio para crear un punto de acceso de objeto Lambda.
DeleteAccessPointForObjectLambda	(Obligatorio) `s3:DeleteAccessPointForObjectLambda`	Obligatorio para eliminar un punto de acceso de objeto Lambda especificado.
DeleteAccessPointPolicyForObjectLambda	(Obligatorio) `s3:DeleteAccessPointPolicyForObjectLambda`	Obligatorio para eliminar la política en un punto de acceso de objeto Lambda especificado.
GetAccessPointConfigurationForObjectLambda	(Obligatorio) `s3:GetAccessPointConfigurationForObjectLambda`	Obligatorio para recuperar la configuración del punto de acceso de objeto Lambda.
GetAccessPointForObjectLambda	(Obligatorio) `s3:GetAccessPointForObjectLambda`	Obligatorio para recuperar información sobre el punto de acceso de objeto Lambda.
GetAccessPointPolicyForObjectLambda	(Obligatorio) `s3:GetAccessPointPolicyForObjectLambda`	Obligatorio para devolver la política del punto de acceso asociada al punto de acceso de objeto Lambda especificado.
GetAccessPointPolicyStatusForObjectLambda	(Obligatorio) `s3:GetAccessPointPolicyStatusForObjectLambda`	Obligatorio para devolver el estado de la política para un punto de acceso específico del objeto Lambda.
PutAccessPointConfigurationForObjectLambda	(Obligatorio) `s3:PutAccessPointConfigurationForObjectLambda`	Obligatorio para establecer la configuración del punto de acceso de objeto Lambda.
PutAccessPointPolicyForObjectLambda	(Obligatorio) `s3:PutAccessPointPolicyForObjectLambda`	Obligatorio para asociar una política de acceso a un punto de acceso de objeto Lambda especificado.

Las operaciones de puntos de acceso de varias regiones son operaciones de la API de S3 que funcionan en el tipo de recurso multiregionaccesspoint. Para obtener más información sobre cómo configurar políticas para operaciones de puntos de acceso multiregionales, consulte Ejemplos de política de punto de acceso multirregional.

A continuación, se muestra la asignación de las operaciones de los puntos de acceso de varias regiones y las acciones de la política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateMultiRegionAccessPoint	(Obligatorio) `s3:CreateMultiRegionAccessPoint`	Obligatorio para crear un punto de acceso de varias regiones y asociarlo con buckets de S3.
DeleteMultiRegionAccessPoint	(Obligatorio) `s3:DeleteMultiRegionAccessPoint`	Obligatorio para eliminar un punto de acceso de varias regiones.
DescribeMultiRegionAccessPointOperation	(Obligatorio) `s3:DescribeMultiRegionAccessPointOperation`	Obligatorio para recuperar el estado de una solicitud asincrónica para administrar un punto de acceso de varias regiones.
GetMultiRegionAccessPoint	(Obligatorio) `s3:GetMultiRegionAccessPoint`	Obligatorio para devolver información de la configuración sobre el punto de acceso de varias regiones especificado.
GetMultiRegionAccessPointPolicy	(Obligatorio) `s3:GetMultiRegionAccessPointPolicy`	Obligatorio para devolver la política de control de acceso del punto de acceso de varias regiones especificado.
GetMultiRegionAccessPointPolicyStatus	(Obligatorio) `s3:GetMultiRegionAccessPointPolicyStatus`	Obligatorio para devolver el estado de la política para un punto de acceso de varias regiones específico sobre si el punto de acceso de varias regiones especificado tiene una política de control de acceso que permite el acceso público.
GetMultiRegionAccessPointRoutes	(Obligatorio) `s3:GetMultiRegionAccessPointRoutes`	Obligatorio para devolver la configuración de enrutamiento de un punto de acceso de varias regiones.
PutMultiRegionAccessPointPolicy	(Obligatorio) `s3:PutMultiRegionAccessPointPolicy`	Obligatorio para actualizar la política de control de acceso del punto de acceso de varias regiones especificado.
SubmitMultiRegionAccessPointRoutes	(Obligatorio) `s3:SubmitMultiRegionAccessPointRoutes`	Obligatorio para enviar una actualización de la configuración de la ruta para un punto de acceso de varias regiones.

(Operaciones por lotes) Las operaciones de trabajos son operaciones de la API de S3 que funcionan en el tipo de recurso de job. Debe especificar las acciones de políticas de S3 para las operaciones de trabajo en políticas de IAM basadas en identidades, no en políticas de bucket.

En las políticas, el elemento Resource debe ser el ARN de job. Para obtener más información sobre el formato del elemento Resource y las políticas de ejemplo, consulte Operaciones de trabajos por lotes.

A continuación, se muestra la asignación de las operaciones de trabajo por lotes y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
DeleteJobTagging	(Obligatorio) `s3:DeleteJobTagging`	Obligatorio para eliminar etiquetas en un trabajo de operaciones por lotes de S3 existente.
DescribeJob	(Obligatorio) `s3:DescribeJob`	Obligatorio para recuperar los parámetros de configuración y el estado de un trabajo de operaciones por lotes.
GetJobTagging	(Obligatorio) `s3:GetJobTagging`	Obligatorio para devolver el conjunto de etiquetas de un trabajo de operaciones por lotes de S3 existente.
PutJobTagging	(Obligatorio) `s3:PutJobTagging`	Obligatorio para poner o reemplazar etiquetas en un trabajo de Operaciones por lotes de S3 existente.
UpdateJobPriority	(Obligatorio) `s3:UpdateJobPriority`	Obligatorio para actualizar la prioridad de un trabajo existente.
UpdateJobStatus	(Obligatorio) `s3:UpdateJobStatus`	Obligatorio para actualizar el estado del trabajo especificado.

Las operaciones de configuración de lente de almacenamiento de S3 son operaciones de la API de S3 que funcionan en el tipo de recurso de storagelensconfiguration. Para obtener más información acerca de cómo configurar las operaciones de configuración de S3 Storage Lens, consulte Configuración de permisos de Lente de almacenamiento de Amazon S3.

A continuación, se muestra la asignación de las operaciones de configuración de lente de almacenamiento de S3 y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
DeleteStorageLensConfiguration	(Obligatorio) `s3:DeleteStorageLensConfiguration`	Obligatorio para eliminar la configuración de lente de almacenamiento de S3.
DeleteStorageLensConfigurationTagging	(Obligatorio) `s3:DeleteStorageLensConfigurationTagging`	Obligatorio para eliminar las etiquetas de configuración de lente de almacenamiento de S3.
GetStorageLensConfiguration	(Obligatorio) `s3:GetStorageLensConfiguration`	Obligatorio para obtener la configuración de lente de almacenamiento de S3.
GetStorageLensConfigurationTagging	(Obligatorio) `s3:GetStorageLensConfigurationTagging`	Obligatorio para obtener las etiquetas de configuración de lente de almacenamiento de S3.
PutStorageLensConfigurationTagging	(Obligatorio) `s3:PutStorageLensConfigurationTagging`	Obligatorio para poner o reemplazar etiquetas en una configuración de lente de almacenamiento de S3 existente.

Las operaciones de grupos de lente de almacenamiento de S3 son operaciones de la API de S3 que funcionan en el tipo de recurso de storagelensgroup. Para obtener más información acerca de cómo configurar los permisos de los grupos de lentes de almacenamiento de S3, consulte Permisos de grupos de Storage Lens.

A continuación, se muestra la asignación de las operaciones de grupos de lentes de almacenamiento de S3 y las acciones de política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
DeleteStorageLensGroup	(Obligatorio) `s3:DeleteStorageLensGroup`	Obligatorio para eliminar un grupo de lentes de almacenamiento de S3 existente.
GetStorageLensGroup	(Obligatorio) `s3:GetStorageLensGroup`	Obligatorio para recuperar los detalles de la configuración del grupo de lentes de almacenamiento de S3.
UpdateStorageLensGroup	(Obligatorio) `s3:UpdateStorageLensGroup`	Obligatorio para actualizar el grupo de lentes de almacenamiento de S3 existente.

Las operaciones de cuentas son operaciones de la API de S3 que funcionan en el nivel de la cuenta. La cuenta no es un tipo de recurso definido por Amazon S3. Debe especificar las acciones de políticas de S3 para las operaciones de cuenta en políticas de IAM basadas en identidades, no en políticas de bucket.

En las políticas, el elemento Resource debe ser "*". Para obtener más información acerca de las políticas de ejemplo, consulte Operaciones de cuentas.

A continuación, se muestra la asignación de las operaciones de la cuenta y las acciones de la política requeridas.

Operaciones de la API	Acciones de políticas	Descripción de las acciones de política
CreateJob	(Obligatorio) `s3:CreateJob`	Obligatorio para crear un nuevo trabajo de operaciones por lotes de S3.
CreateStorageLensGroup	(Obligatorio) `s3:CreateStorageLensGroup`	Obligatorio para crear un nuevo grupo de lentes de almacenamiento de S3 y asociarlo al ID de la Cuenta de AWS especificado.
	(Obligatorio condicionalmente) `s3:TagResource`	Obligatorio si desea crear un grupo de lentes de almacenamiento de S3 con etiquetas de recursos de AWS.
DeletePublicAccessBlock (Nivel de cuenta)	(Obligatorio) `s3:PutAccountPublicAccessBlock`	Obligatorio para eliminar la configuración de bloqueo de acceso público de una Cuenta de AWS.
GetAccessPoint	(Obligatorio) `s3:GetAccessPoint`	Obligatorio para recuperar información de la configuración sobre el punto de acceso especificado.
GetAccessPointPolicy (Nivel de cuenta)	(Obligatorio) `s3:GetAccountPublicAccessBlock`	Obligatorio para recuperar la configuración de bloqueo de acceso público para una Cuenta de AWS.
ListAccessPoints	(Obligatorio) `s3:ListAccessPoints`	Obligatorio para mostrar los puntos de acceso de un bucket de S3 que son propiedad de una Cuenta de AWS.
ListAccessPointsForObjectLambda	(Obligatorio) `s3:ListAccessPointsForObjectLambda`	Obligatorio para mostrar los puntos de acceso de objeto Lambda.
ListBuckets	(Obligatorio) `s3:ListAllMyBuckets`	Obligatorio para devolver una lista de todos los buckets pertenecientes al remitente autenticado de la solicitud.
ListJobs	(Obligatorio) `s3:ListJobs`	Obligatorio para mostrar los trabajos actuales y los trabajos que han finalizado recientemente.
ListMultiRegionAccessPoints	(Obligatorio) `s3:ListMultiRegionAccessPoints`	Obligatorio para devolver una lista de los puntos de acceso de varias regiones que están actualmente asociados a la Cuenta de AWS especificada.
ListStorageLensConfigurations	(Obligatorio) `s3:ListStorageLensConfigurations`	Obligatorio para obtener una lista de las configuraciones de lente de almacenamiento de S3 para una Cuenta de AWS.
ListStorageLensGroups	(Obligatorio) `s3:ListStorageLensGroups`	Obligatorio para mostrar todos los grupos de lentes de almacenamiento de S3 de la Región de AWS de inicio especificada.
PutPublicAccessBlock (Nivel de cuenta)	(Obligatorio) `s3:PutAccountPublicAccessBlock`	Obligatorio para crear o modificar la configuración de bloqueo de acceso público para una Cuenta de AWS.
PutStorageLensConfiguration	(Obligatorio) `s3:PutStorageLensConfiguration`	Obligatorio para poner una configuración de lente de almacenamiento de S3.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Para una operación con objetos

Políticas y permisos