Acciones, recursos y claves de condición para Amazon S3
Amazon S3 (prefijo de servicio: s3) proporciona las siguientes claves de contexto de condición, acciones y recursos específicas del servicio para su uso en las políticas de permisos de IAM.
Referencias:
-
Obtenga información para configurar este servicio.
-
Vea una lista de las operaciones de API disponibles para este servicio.
-
Obtenga información sobre cómo proteger este servicio y sus recursos mediante las políticas de permisos de IAM.
Temas
Acciones definidas por Amazon S3
Puede especificar las siguientes acciones en el elemento Action de una declaración de política de IAM. Utilice políticas para conceder permisos para realizar una operación en AWS. Cuando utiliza una acción en una política, normalmente permite o deniega el acceso a la operación de la API o comandos de la CLI con el mismo nombre. No obstante, en algunos casos, una sola acción controla el acceso a más de una operación. Asimismo, algunas operaciones requieren varias acciones diferentes.
La columna Tipos de recurso de la tabla de Acción indica si cada acción admite permisos de nivel de recursos. Si no hay ningún valor para esta columna, debe especificar todos los recursos ("*") a los que aplica la política en el elemento Resource de la instrucción de su política. Si la columna incluye un tipo de recurso, puede especificar un ARN de ese tipo en una instrucción con dicha acción. Si la acción tiene uno o más recursos necesarios, la persona que llama debe tener permiso para usar la acción con esos recursos. Los recursos necesarios se indican en la tabla con un asterisco (*). Si limita el acceso a los recursos con el elemento Resource de una política de IAM, debe incluir un ARN o patrón para cada tipo de recurso requerido. Algunas acciones admiten varios tipos de recursos. Si el tipo de recurso es opcional (no se indica como obligatorio), puede elegir utilizar uno de los tipos de recursos opcionales.
La columna Claves de condición de la tabla Acciones incluye claves que puede especificar en el elemento Condition de la instrucción de una política. Para obtener más información sobre las claves de condición asociadas a los recursos del servicio, consulte la columna Claves de condición de la tabla Tipos de recursos.
nota
Las claves de condición de recursos se enumeran en la tabla Tipos de recursos. Encontrará un enlace al tipo de recurso que se aplica a una acción en la columna Tipos de recursos (*obligatorio) de la tabla Acciones. El tipo de recurso de la tabla Tipos de recursos incluye la columna Claves de condición, que son las claves de condición del recurso que se aplican a una acción de la tabla Acciones.
Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Acciones.
| Acciones | Descripción | Nivel de acceso | Tipos de recursos (*necesarios) | Claves de condición | Acciones dependientes |
|---|---|---|---|---|---|
| AbortMultipartUpload | Concede permiso para anular una carga multiparte | Escritura | |||
| AssociateAccessGrantsIdentityCenter | Concede permiso para asociar el centro de identidad de Concesiones de acceso | Escritura | |||
| BypassGovernanceRetention | Concede permiso para permitir configurar la retención de objetos en modo de gobierno | Administración de permisos | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| CreateAccessGrant | Concede permiso para crear concesiones de acceso | Escritura | |||
| CreateAccessGrantsInstance | Concede permiso para crear una instancia de Concesiones de acceso | Escritura | |||
| CreateAccessGrantsLocation | Concede permiso para crear una ubicación de Concesiones de acceso | Escritura | |||
| CreateAccessPoint | Otorga permiso para crear una aplicación nueva. | Write | |||
| CreateAccessPointForObjectLambda | Otorga permiso para crear un punto de acceso habilitado por el objeto lambda | Write | |||
| CreateBucket | Concede permiso para crear un nuevo bucket | Write | |||
| CreateJob | Concede permiso para crear un nuevo trabajo de operaciones por lotes de Amazon S3 | Escritura |
iam:PassRole |
||
| CreateMultiRegionAccessPoint | Otorga permiso para crear un nuevo punto de acceso de múltiples regiones | Escritura | |||
| CreateStorageLensGroup | Concede permiso para crear un grupo de Lente de almacenamiento de Amazon S3 | Escritura | |||
| DeleteAccessGrant | Concede permiso para eliminar la concesión de acceso | Escritura | |||
| DeleteAccessGrantsInstance | Concede permiso para eliminar una instancia de Concesiones de acceso | Escritura | |||
| DeleteAccessGrantsInstanceResourcePolicy | Concede permiso para leer la política de recursos de la instancia de Concesiones de acceso | Escritura | |||
| DeleteAccessGrantsLocation | Concede permiso para eliminar una ubicación de Concesiones de acceso | Escritura | |||
| DeleteAccessPoint | Concede permiso para eliminar el punto de acceso nombrado en el URI | Write | |||
| DeleteAccessPointForObjectLambda | Concede permiso para eliminar el punto de acceso habilitado por el objeto lambda nombrado en el URI | Write | |||
| DeleteAccessPointPolicy | Concede permiso para eliminar la política en un punto de acceso especificado | Permissions management | |||
| DeleteAccessPointPolicyForObjectLambda | Concede permiso para eliminar la política en un punto de acceso específico habilitado por el objeto lambda | Permissions management | |||
| DeleteBucket | Concede permiso para eliminar el bucket nombrado en el URI | Write | |||
| DeleteBucketPolicy | Concede permiso para eliminar la política en un bucket especificado | Permissions management | |||
| DeleteBucketWebsite | Concede permiso para quitar la configuración del sitio web de un bucket | Write | |||
| DeleteJobTagging | Concede permiso para eliminar etiquetas de un trabajo existente de Amazon S3 Batch Operations | Etiquetado | |||
| DeleteMultiRegionAccessPoint | Otorga permiso para eliminar el punto de acceso de múltiples regiones nombrado en el URI | Escritura | |||
| DeleteObject | Concede permiso para quitar la versión nula de un objeto e insertar un marcador de eliminación, que se convierte en la versión actual del objeto | Write | |||
| DeleteObjectTagging | Concede permiso para utilizar el subrecurso de etiquetado para quitar todo el conjunto de etiquetas del objeto especificado | Etiquetado | |||
| DeleteObjectVersion | Concede permiso para quitar una versión específica de un objeto | Write | |||
| DeleteObjectVersionTagging | Concede permiso para quitar todo el conjunto de etiquetas para una versión específica del objeto | Etiquetado | |||
| DeleteStorageLensConfiguration | Concede permiso para eliminar una configuración existente de Lente de almacenamiento de Amazon S3 | Write | |||
| DeleteStorageLensConfigurationTagging | Concede permiso para eliminar etiquetas de un trabajo existente de Lente de almacenamiento de Amazon S3 | Etiquetado | |||
| DeleteStorageLensGroup | Concede permiso para eliminar un grupo de S3 Storage Lens existente | Escritura | |||
| DescribeJob | Concede permiso para recuperar los parámetros de configuración y el estado de un trabajo de operaciones por lotes | Leer | |||
| DescribeMultiRegionAccessPointOperation | Otorga permiso para recuperar las configuraciones de un punto de acceso de múltiples regiones | Leer | |||
| DissociateAccessGrantsIdentityCenter | Concede permiso para disociar el centro de identidad de Concesiones de acceso | Escritura | |||
| GetAccelerateConfiguration | Concede permiso para utilizar el subrecurso de aceleración para volver al estado de aceleración de transferencia de un bucket, que puede estar habilitado o suspendido | Leer | |||
| GetAccessGrant | Concede permiso para leer una concesión de acceso | Leer | |||
| GetAccessGrantsInstance | Concede permiso para leer una instancia de Concesiones de acceso | Leer | |||
| GetAccessGrantsInstanceForPrefix | Concede permiso para leer la instancia de Concesiones de acceso mediante prefijo | Leer | |||
| GetAccessGrantsInstanceResourcePolicy | Concede permiso para leer la política de recursos de la instancia de Concesiones de acceso | Leer | |||
| GetAccessGrantsLocation | Concede permiso para leer la ubicación de Concesiones de acceso | Leer | |||
| GetAccessPoint | Concede permiso para devolver información acerca de la configuración especificada | Read | |||
| GetAccessPointConfigurationForObjectLambda | Concede permiso para recuperar la configuración del punto de acceso habilitado por el objeto lambda | Read | |||
| GetAccessPointForObjectLambda | Otorga permiso para crear un punto de acceso habilitado por el objeto lambda | Read | |||
| GetAccessPointPolicy | Concede permiso para devolver la política de acceso asociada al punto de acceso especificado | Read | |||
| GetAccessPointPolicyForObjectLambda | Concede permiso para devolver la política del punto de acceso asociada al punto de acceso específico habilitado por el objeto lambda | Read | |||
| GetAccessPointPolicyStatus | Concede permiso para devolver el estado a una política de punto de acceso específica | Read | |||
| GetAccessPointPolicyStatusForObjectLambda | Concede permiso para devolver el estado de una política para un punto de acceso específico del objeto lambda | Read | |||
| GetAccountPublicAccessBlock | Concede permiso para recuperar la configuración de PublicAccessBlock de una Cuenta de AWS | Read | |||
| GetAnalyticsConfiguration | Concede permiso para obtener una configuración de análisis de un bucket de Amazon S3, identificado por el ID de configuración de análisis | Read | |||
| GetBucketAcl | Concede permiso para utilizar el subrecurso ACL para devolver la lista de control de acceso (ACL) de un bucket de Amazon S3 | Read | |||
| GetBucketCORS | Concede permiso para devolver el conjunto de información de configuración CORS para un bucket de Amazon S3 | Read | |||
| GetBucketLocation | Concede permiso para devolver la región en la que reside un bucket de Amazon S3 | Read | |||
| GetBucketLogging | Concede permiso para devolver el estado de registro de un bucket de Amazon S3 y los permisos que tienen los usuarios para ver o modificar ese estado | Read | |||
| GetBucketNotification | Concede permiso para obtener la configuración de notificaciones de un bucket de Amazon S3 | Read | |||
| GetBucketObjectLockConfiguration | Concede permiso para obtener la configuración de bloqueo de objetos de un bucket de Amazon S3 | Read | |||
| GetBucketOwnershipControls | Concede permiso para recuperar los controles de propiedad de un bucket | Read | |||
| GetBucketPolicy | Concede permiso para devolver la política del bucket especificado | Read | |||
| GetBucketPolicyStatus | Concede permiso para recuperar el estado de la política de un bucket específico de Amazon S3, lo que indica si el bucket es público | Read | |||
| GetBucketPublicAccessBlock | Concede permiso para recuperar la configuración de PublicAccessBlock para un bucket de Amazon S3 | Read | |||
| GetBucketRequestPayment | Concede permiso para devolver la configuración de pago de solicitud para un bucket de Amazon S3 | Read | |||
| GetBucketTagging | Concede permiso para devolver el conjunto de etiquetas asociado a un bucket de Amazon S3 | Read | |||
| GetBucketVersioning | Concede permiso para devolver el estado de control de versiones de un bucket de Amazon S3 | Read | |||
| GetBucketWebsite | Concede permiso para devolver la configuración del sitio web para un bucket de Amazon S3 | Leer | |||
| GetDataAccess | Concede permiso para obtener acceso | Leer | |||
| GetEncryptionConfiguration | Concede permiso para devolver la configuración de cifrado predeterminada de un bucket de Amazon S3 | Read | |||
| GetIntelligentTieringConfiguration | Concede permiso para obtener una configuración de Amazon S3 Intelligent-Tiering de un bucket de S3 o enumerarla de forma completa | Read | |||
| GetInventoryConfiguration | Concede permiso para devolver una configuración de inventario desde un bucket de Amazon S3, identificado por el ID de configuración de inventario | Read | |||
| GetJobTagging | Concede permiso para devolver el conjunto de etiquetas de un trabajo existente de Amazon S3 Batch Operations | Read | |||
| GetLifecycleConfiguration | Concede permiso para devolver la información de configuración del ciclo de vida establecida en un bucket de Amazon S3 | Read | |||
| GetMetricsConfiguration | Concede permiso para obtener una configuración de métricas de un bucket de Amazon S3 | Leer | |||
| GetMultiRegionAccessPoint | Otorga permiso para devolver información de la configuración sobre el punto de acceso de múltiples regiones especificado | Leer | |||
| GetMultiRegionAccessPointPolicy | Otorga permiso para devolver la política de punto de acceso asociada al punto de acceso de múltiples regiones especificado | Leer | |||
| GetMultiRegionAccessPointPolicyStatus | Otorga permiso para devolver el estado de una política de punto de acceso de múltiples regiones específica | Leer | |||
| GetMultiRegionAccessPointRoutes | Otorga permiso para devolver la configuración de la ruta de un punto de acceso de múltiples regiones | Leer | |||
| GetObject | Concede permiso para recuperar objetos de Amazon S3 | Read | |||
| GetObjectAcl | Concede permiso para devolver la lista de control de acceso (ACL) de un objeto | Leer | |||
| GetObjectAttributes | Concede permisos para recuperar atributos relacionados con un objeto específico | Leer | |||
| GetObjectLegalHold | Concede permiso para obtener el estado actual de retención legal de un objeto | Read | |||
| GetObjectRetention | Concede permiso para recuperar la configuración de retención de un objeto | Read | |||
| GetObjectTagging | Concede permiso para devolver el conjunto de etiquetas de un objeto | Read | |||
| GetObjectTorrent | Concede permiso para devolver archivos torrent desde un bucket de Amazon S3 | Read | |||
| GetObjectVersion | Concede permiso para recuperar una versión específica de un objeto | Read | |||
| GetObjectVersionAcl | Concede permiso para devolver la lista de control de acceso (ACL) de una versión de objeto específica | Leer | |||
| GetObjectVersionAttributes | Concede permiso para recuperar atributos relacionados con una versión específica de un objeto | Leer | |||
| GetObjectVersionForReplication | Concede permiso para replicar objetos no cifrados y objetos cifrados con SSE-S3 o SSE-KMS | Read | |||
| GetObjectVersionTagging | Concede permiso para devolver el conjunto de etiquetas para una versión específica del objeto | Read | |||
| GetObjectVersionTorrent | Concede permiso para obtener archivos Torrent sobre una versión diferente utilizando el subrecurso versionId | Read | |||
| GetReplicationConfiguration | Concede permiso para obtener la información de configuración de replicación establecida en un bucket de Amazon S3 | Read | |||
| GetStorageLensConfiguration | Concede permiso para obtener una configuración de Lente de almacenamiento de Amazon S3 | Read | |||
| GetStorageLensConfigurationTagging | Concede permiso para obtener el conjunto de etiquetas de una configuración existente de Lente de almacenamiento de Amazon S3 | Read | |||
| GetStorageLensDashboard | Concede permiso para obtener un panel de Lente de almacenamiento de Amazon S3 | Leer | |||
| GetStorageLensGroup | Concede permiso para obtener un grupo de Lente de almacenamiento de Amazon S3 | Leer | |||
| InitiateReplication [solo permiso] | Concede permiso para iniciar el proceso de replicación estableciendo el estado de replicación de un objeto como pendiente | Escritura | |||
| ListAccessGrants | Concede permiso para enumerar la concesión de acceso | Enumeración | |||
| ListAccessGrantsInstances | Concede permiso para enumerar las instancias de Concesión de acceso | Enumeración | |||
| ListAccessGrantsLocations | Concede permiso para enumerar las ubicaciones de Concesiones de acceso | Enumeración | |||
| ListAccessPoints | Concede permiso para enumerar puntos de acceso | Enumeración | |||
| ListAccessPointsForObjectLambda | Concede permiso para enumerar los puntos de acceso habilitados por el objeto lambda | Enumeración | |||
| ListAllMyBuckets | Concede permiso para enumerar todos los buckets propiedad del remitente autenticado de la solicitud | List | |||
| ListBucket | Concede permiso para enumerar algunos o todos los objetos de un bucket de Amazon S3 (hasta 1000) | List | |||
| ListBucketMultipartUploads | Concede permiso para publicar cargas multiparte en curso | List | |||
| ListBucketVersions | Concede permiso para enumerar metadatos sobre todas las versiones de objetos en un bucket de Amazon S3 | Enumeración | |||
| ListCallerAccessGrants | Concede permiso para enumerar la concesión de acceso de la persona que llama | Enumeración | |||
| ListJobs | Concede permiso para enumerar los trabajos actuales y los trabajos que han finalizado recientemente | Enumeración | |||
| ListMultiRegionAccessPoints | Otorga permiso para enumerar puntos de acceso de múltiples regiones | Enumeración | |||
| ListMultipartUploadParts | Concede permiso para enumerar las piezas que se han cargado para una carga multiparte específica | List | |||
| ListStorageLensConfigurations | Concede permiso para enumerar configuraciones de Lente de almacenamiento de Amazon S3 | Enumeración | |||
| ListStorageLensGroups | Concede permiso para enumerar grupos de S3 Storage Lens | Enumeración | |||
| ListTagsForResource | Concede permiso para enumerar las etiquetas adjuntas al recurso especificado | Enumeración | |||
| ObjectOwnerOverrideToBucketOwner | Conceder permiso para cambiar al propietario de la réplica | Administración de permisos | |||
| PauseReplication [solo permiso] | Concede permiso para pausar la replicación de S3 desde los buckets de origen de destino a los buckets destinatarios | Escritura |
S3:GetReplicationConfiguration S3:PutReplicationConfiguration |
||
| PutAccelerateConfiguration | Concede permiso para utilizar el subrecurso de aceleración para establecer el estado de aceleración de transferencia de un bucket de S3 existente | Escritura | |||
| PutAccessGrantsInstanceResourcePolicy | Concede permiso para colocar la política de recursos de la instancia de Concesiones de acceso | Escritura | |||
| PutAccessPointConfigurationForObjectLambda | Concede permiso para establecer la configuración del punto de acceso habilitado por el objeto lambda | Write | |||
| PutAccessPointPolicy | Concede permiso para asociar una política de acceso a un punto de acceso especificado | Permissions management | |||
| PutAccessPointPolicyForObjectLambda | Concede permiso para asociar una política de acceso a un punto de acceso específico habilitado por el objeto lambda | Administración de permisos | |||
| PutAccessPointPublicAccessBlock | Concede permiso para asociar las configuraciones de bloques de acceso público a un punto de acceso especificado, al mismo tiempo que crea un punto de acceso | Administración de permisos | |||
| PutAccountPublicAccessBlock | Concede permiso para crear o modificar la configuración de PublicAccessBlock de una Cuenta de AWS | Permissions management | |||
| PutAnalyticsConfiguration | Concede permiso para establecer una configuración de análisis para el bucket, especificada por el ID de configuración de análisis | Write | |||
| PutBucketAcl | Establece los permisos en un bucket existente con listas de control de acceso (ACL) | Permissions management | |||
| PutBucketCORS | Concede permiso para establecer la configuración CORS para un bucket de Amazon S3 | Write | |||
| PutBucketLogging | Concede permiso para establecer los parámetros de registro para un bucket de Amazon S3 | Write | |||
| PutBucketNotification | Concede permiso para recibir notificaciones cuando se producen ciertos eventos en un bucket de Amazon S3 | Write | |||
| PutBucketObjectLockConfiguration | Concede permiso para colocar la configuración de bloqueo de objetos en un bucket específico | Escritura | |||
| PutBucketOwnershipControls | Concede permiso para agregar, reemplazar o eliminar los controles de propiedad de un bucket | Escritura | |||
| PutBucketPolicy | Concede permiso para agregar o reemplazar una política de bucket | Permissions management | |||
| PutBucketPublicAccessBlock | Concede permiso para crear o modificar la configuración de PublicAccessBlock para un bucket específico de Amazon S3 | Permissions management | |||
| PutBucketRequestPayment | Concede permiso para establecer la configuración de pago de solicitud de un bucket | Write | |||
| PutBucketTagging | Concede permiso para agregar un conjunto de etiquetas a un bucket existente de Amazon S3 | Etiquetado | |||
| PutBucketVersioning | Concede permiso para establecer el estado de control de versiones de un bucket de Amazon S3 existente | Write | |||
| PutBucketWebsite | Establece la configuración del sitio web que está especificado en el subrecurso del sitio web. | Write | |||
| PutEncryptionConfiguration | Concede permiso para establecer la configuración de cifrado para un bucket de Amazon S3 | Write | |||
| PutIntelligentTieringConfiguration | Concede permiso para crear una nueva configuración de Amazon S3 Intelligent Tiering o actualizar o eliminar una existente | Write | |||
| PutInventoryConfiguration | Concede permiso para agregar una configuración de inventario al bucket, identificada por el identificador de inventario | Write | |||
| PutJobTagging | Concede permiso para reemplazar etiquetas en un trabajo existente de Amazon S3 Batch Operations | Etiquetado | |||
| PutLifecycleConfiguration | Concede permiso para crear una nueva configuración de ciclo de vida para el bucket o reemplazar una configuración de ciclo de vida existente | Write | |||
| PutMetricsConfiguration | Concede permiso para establecer o actualizar una configuración de métricas para las métricas de solicitud de CloudWatch desde un bucket de Amazon S3 | Escritura | |||
| PutMultiRegionAccessPointPolicy | Otorga permiso para asociar una política de acceso con un punto de acceso especificado de múltiples regiones | Administración de permisos | |||
| PutObject | Concede permiso para agregar un objeto a un bucket | Escritura | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| PutObjectAcl | Concede permiso para establecer los permisos de la lista de control de acceso (ACL) para los objetos nuevos o que ya existen en un bucket de S3 | Administración de permisos | |||
| PutObjectLegalHold | Concede permiso para aplicar una configuración de retención legal al objeto especificado | Write | |||
| PutObjectRetention | Concede permiso para colocar una configuración de retención de objetos en un objeto | Write | |||
| PutObjectTagging | Concede permiso para establecer el conjunto de etiquetas suministrado en un objeto que ya existe en un bucket | Etiquetado | |||
| PutObjectVersionAcl | Concede permiso para utilizar el subrecurso para establecer los permisos de lista de control de acceso (ACL) para un objeto que ya existe en un bucket | Permissions management | |||
| PutObjectVersionTagging | Concede permiso para establecer el conjunto de etiquetas suministrado para una versión específica de un objeto | Etiquetado | |||
| PutReplicationConfiguration | Concede permiso para crear una nueva configuración de replicación o reemplazar una existente | Write |
iam:PassRole |
||
| PutStorageLensConfiguration | Concede permiso para crear o actualizar una configuración de Lente de almacenamiento de Amazon S3 | Write | |||
| PutStorageLensConfigurationTagging | Concede permiso para colocar o reemplazar etiquetas en una configuración existente de Lente de almacenamiento de Amazon S3 | Etiquetado | |||
| ReplicateDelete | Concede permiso para replicar marcadores de eliminación en el bucket de destino | Write | |||
| ReplicateObject | Concede permiso para replicar objetos y etiquetas de objeto en el bucket de destino | Write | |||
|
s3:x-amz-server-side-encryption |
|||||
| ReplicateTags | Concede permiso para replicar etiquetas de objeto en el bucket de destino | Etiquetado | |||
| RestoreObject | Concede permiso para restaurar una copia archivada de un objeto en Amazon S3 | Escritura | |||
| SubmitMultiRegionAccessPointRoutes | Otorga permiso para enviar una actualización de la configuración de la ruta para un punto de acceso de múltiples regiones | Escritura | |||
| TagResource | Otorga permiso para agregar etiquetas al recurso especificado | Etiquetado | |||
| UntagResource | Concede permiso para eliminar etiquetas del recurso especificado | Etiquetado | |||
| UpdateAccessGrantsLocation | Concede permiso para actualizar una ubicación de Concesiones de acceso | Escritura | |||
| UpdateJobPriority | Concede permiso para actualizar la prioridad de un trabajo existente | Write | |||
| UpdateJobStatus | Concede permiso para actualizar el estado del trabajo especificado | Escritura | |||
| UpdateStorageLensGroup | Concede permiso para actualizar un grupo de S3 Storage Lens existente | Escritura | |||
Tipos de recurso definidos por Amazon S3
Los siguientes tipos de recurso están definidos por este servicio y se pueden utilizar en el elemento Resource de las instrucciones de política de permisos de IAM. Cada acción de la tabla Acciones identifica los tipos de recursos que se pueden especificar con dicha acción. Un tipo de recurso también puede definir qué claves de condición se pueden incluir en una política. Estas claves se muestran en la última columna de la tabla Tipos de recursos. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla Tipos de recurso.
| Tipos de recurso | ARN | Claves de condición |
|---|---|---|
| accesspoint |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| object |
arn:${Partition}:s3:::${BucketName}/${ObjectName}
|
|
| job |
arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
|
|
| storagelensconfiguration |
arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}
|
|
| storagelensgroup |
arn:${Partition}:s3:${Region}:${Account}:storage-lens-group/${Name}
|
|
| objectlambdaaccesspoint |
arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| multiregionaccesspoint |
arn:${Partition}:s3::${Account}:accesspoint/${AccessPointAlias}
|
|
| multiregionaccesspointrequestarn |
arn:${Partition}:s3:us-west-2:${Account}:async-request/mrap/${Operation}/${Token}
|
|
| accessgrantsinstance |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default
|
|
| accessgrantslocation |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/location/${Token}
|
|
| accessgrant |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/grant/${Token}
|
Claves de condición de Amazon S3
Amazon S3 define las siguientes claves de condiciones que se pueden utilizar en el elemento Condition de una política de IAM. Puede utilizar estas claves para ajustar más las condiciones en las que se aplica la instrucción de política. Para obtener información detallada sobre las columnas de la siguiente tabla, consulte Tabla de Claves de condición.
Para ver las claves de condición globales que están disponibles para todos los servicios, consulte Claves de condición globales disponibles.
| Claves de condición | Descripción | Tipo |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtra el acceso por las etiquetas que se pasan en la solicitud | Cadena |
| aws:ResourceTag/${TagKey} | Filtra el acceso por las etiquetas asociadas al recurso | Cadena |
| aws:TagKeys | Filtra el acceso por las claves de etiquetas que se pasan en la solicitud | ArrayOfString |
| s3:AccessGrantsInstanceArn | Filtra el acceso por ARN de instancia de concesión de acceso | ARN |
| s3:AccessPointNetworkOrigin | Filtra el acceso por el origen de la red (Internet o VPC) | Cadena |
| s3:DataAccessPointAccount | Filtra el acceso por el ID de cuenta de AWS que posee el punto de acceso | Cadena |
| s3:DataAccessPointArn | Filtra el acceso por un punto de acceso Nombre de recurso de Amazon (ARN) | ARN |
| s3:ExistingJobOperation | Filtra el acceso a la actualización de la prioridad de trabajo en función de la operación | Cadena |
| s3:ExistingJobPriority | Filtra el acceso a la cancelación de trabajos existentes en función del rango de prioridad | Numérico |
| s3:ExistingObjectTag/<key> | Filtra el acceso por clave y valor de etiqueta de objeto existentes | Cadena |
| s3:InventoryAccessibleOptionalFields | Para filtrar el acceso, restringe los campos de metadatos opcionales que un usuario puede agregar al configurar los informes de inventario de S3 | ArrayOfString |
| s3:JobSuspendedCause | Filtra el acceso a la cancelación de trabajos suspendidos en función de una causa de suspensión de trabajo específica (por ejemplo, AWAITING_CONFIRMATION [confirmación en espera]) | Cadena |
| s3:RequestJobOperation | Filtra el acceso a la creación de trabajos en función de la operación | Cadena |
| s3:RequestJobPriority | Filtra el acceso a la creación de nuevos trabajos en función del rango de prioridad | Numérico |
| s3:RequestObjectTag/<key> | Filtra el acceso por claves y valores de etiqueta que se agregarán a los objetos | Cadena |
| s3:RequestObjectTagKeys | Filtra el acceso por claves de etiqueta que se agregarán a los objetos | ArrayOfString |
| s3:ResourceAccount | Filtra el acceso por el ID de la Cuenta de AWS del propietario del recurso | Cadena |
| s3:TlsVersion | Filtra el acceso por la versión de TLS utilizada por el cliente | Numérico |
| s3:authType | Filtra el acceso por método de autenticación | Cadena |
| s3:delimiter | Filtra el acceso por parámetro delimitador | Cadena |
| s3:destinationRegion | Filtra el acceso mediante una región de destino de replicación específica para los buckets destinatarios de la acción FIS de AWS aws:s3:bucket-pause-replication | Cadena |
| s3:isReplicationPauseRequest | Filtra el acceso mediante una solicitud realizada a través de la acción FIS de AWS aws:s3:bucket-pause-replication | Bool |
| s3:locationconstraint | Filtra el acceso por una región específica | Cadena |
| s3:max-keys | Filtra el acceso por el número máximo de claves devueltas en una solicitud ListBucket | Numérico |
| s3:object-lock-legal-hold | Filtra el acceso por estado de retención legal del objeto | Cadena |
| s3:object-lock-mode | Filtra el acceso por modo de retención de objetos (CONFORMIDAD o GOBIERNO) | Cadena |
| s3:object-lock-remaining-retention-days | Filtra el acceso por días de retención de objetos restantes | Numérico |
| s3:object-lock-retain-until-date | Filtra el acceso por retención de objetos-hasta la fecha | Date |
| s3:prefix | Filtra el acceso por prefijo de nombre de clave | Cadena |
| s3:signatureAge | Filtra el acceso por la antigüedad en milisegundos de la firma de la solicitud | Numérico |
| s3:signatureversion | Filtra el acceso por la versión de AWS Signature utilizada en la solicitud | Cadena |
| s3:versionid | Filtra el acceso por una versión de objeto específica. | Cadena |
| s3:x-amz-acl | Filtra el acceso por ACL predefinida en el encabezado x-amz-acl de la solicitud | Cadena |
| s3:x-amz-content-sha256 | Filtra el acceso en función del contenido sin firmar en el bucket | Cadena |
| s3:x-amz-copy-source | Filtra el acceso en función del bucket fuente de copia, el prefijo u objeto en la solicitud de objeto de copia | Cadena |
| s3:x-amz-grant-full-control | Filtra el acceso en función de la cabecera x-amz-grant-full-control (control total) | Cadena |
| s3:x-amz-grant-read | Filtra el acceso en función de la cabecera x-amz-grant-read (acceso de lectura) | Cadena |
| s3:x-amz-grant-read-acp | Filtra el acceso en función de la cabecera x-amz-grant-read-acp (permisos de lectura para la ACL) | Cadena |
| s3:x-amz-grant-write | Filtra el acceso en función de la cabecera x-amz-grant-write (acceso de escritura) | Cadena |
| s3:x-amz-grant-write-acp | Filtra el acceso en función de la cabecera x-amz-grant-write-acp (permisos de escritura para la ACL) | Cadena |
| s3:x-amz-metadata-directive | Filtra el acceso por el comportamiento de metadatos de objeto (COPIAR o REEMPLAZAR) cuando se copian objetos | Cadena |
| s3:x-amz-object-ownership | Filtra el acceso por propiedad de objetos. | Cadena |
| s3:x-amz-server-side-encryption | Filtra el acceso por cifrado en el lado del servidor | Cadena |
| s3:x-amz-server-side-encryption-aws-kms-key-id | Filtra el acceso según la CMK administrada por el cliente de AWS KMS para el cifrado del lado del servidor | ARN |
| s3:x-amz-server-side-encryption-customer-algorithm | Filtra el acceso según el algoritmo especificado por el cliente para el cifrado del lado del servidor | Cadena |
| s3:x-amz-storage-class | Filtra el acceso por clase de almacenamiento. | Cadena |
| s3:x-amz-website-redirect-location | Filtra el acceso por una ubicación de redirección de sitios web específica para los bucket configurados como sitios web estáticos | Cadena |
