Opérations et autorisations relatives aux compartiments Opérations et autorisations relatives aux objets Opérations et autorisations des points d'accès Opérations et autorisations du point d'accès Lambda Object Opérations et autorisations des points d'accès multirégionaux Opérations et autorisations relatives aux tâches par lots Opérations et autorisations de configuration de S3 Storage Lens S3 Storage Lens regroupe les opérations et les autorisations Opérations du compte et autorisations

Autorisations requises pour les API opérations Amazon S3

Note

Cette page concerne les actions politiques d'Amazon S3 pour les compartiments à usage général. Pour en savoir plus sur les actions politiques d'Amazon S3 relatives aux compartiments d'annuaire, consultezActions pour les compartiments de répertoire.

Pour effectuer une API opération S3, vous devez disposer des autorisations appropriées. Cette page associe API les opérations S3 aux autorisations requises. Pour accorder des autorisations permettant d'effectuer une API opération S3, vous devez élaborer une politique valide (telle qu'une politique de compartiment S3 ou une politique IAM basée sur l'identité) et spécifier les actions correspondantes dans l'Actionélément de la stratégie. Ces actions sont appelées actions politiques. Toutes les API opérations S3 ne sont pas représentées par une autorisation unique (une seule action de politique), et certaines autorisations (certaines actions de stratégie) sont requises pour de nombreuses API opérations différentes.

Lorsque vous rédigez des politiques, vous devez spécifier l'Resourceélément en fonction du type de ressource approprié requis par les actions de politique Amazon S3 correspondantes. Cette page classe les autorisations relatives aux API opérations S3 en fonction des types de ressources. Pour plus d'informations sur les types de ressources, consultez la section Types de ressources définis par Amazon S3 dans le Service Authorization Reference. Pour obtenir la liste complète des actions politiques, des ressources et des clés de condition d'Amazon S3 à utiliser dans les politiques, consultez la section Actions, ressources et clés de condition pour Amazon S3 dans la référence d'autorisation de service. Pour obtenir la liste complète des API opérations Amazon S3, consultez la section APIActions Amazon S3 dans le manuel Amazon Simple Storage Service API Reference.

Rubriques

Opérations et autorisations relatives aux compartiments
Opérations et autorisations relatives aux objets
Opérations et autorisations des points d'accès
Opérations et autorisations du point d'accès Lambda Object
Opérations et autorisations des points d'accès multirégionaux
Opérations et autorisations relatives aux tâches par lots
Opérations et autorisations de configuration de S3 Storage Lens
S3 Storage Lens regroupe les opérations et les autorisations
Opérations du compte et autorisations

Les opérations de compartiment sont API des opérations S3 qui opèrent sur le type de ressource de compartiment. Vous devez spécifier les actions de politique S3 pour les opérations de compartiment dans les politiques de compartiment ou les politiques IAM basées sur l'identité.

Dans les politiques, l'Resourceélément doit être le bucket Amazon Resource Name (ARN). Pour plus d'informations sur le format des Resource éléments et des exemples de politiques, consultezOpérations de compartiment.

Note

Pour accorder des autorisations aux opérations de compartiment dans les politiques de point d'accès, notez ce qui suit :

Les autorisations accordées pour les opérations de bucket dans une politique de point d'accès ne sont effectives que si le bucket sous-jacent autorise les mêmes autorisations. Lorsque vous utilisez un point d'accès, vous devez déléguer le contrôle d'accès du bucket au point d'accès ou ajouter les mêmes autorisations dans la politique du point d'accès à la politique du bucket sous-jacent.
Dans les politiques de point d'accès qui accordent des autorisations pour les opérations de compartiment, l'Resourceélément doit être le accesspointARN. Pour plus d'informations sur le format des Resource éléments et des exemples de politiques, consultezOpérations relatives aux compartiments dans les politiques de point d'accès. Pour plus d'informations sur les politiques relatives aux points d'accès, consultezConfiguration des IAM politiques d'utilisation des points d'accès.
Les opérations de compartiment ne sont pas toutes prises en charge par les points d'accès. Pour de plus amples informations, veuillez consulter Compatibilité des points d'accès avec les opérations S3.

Vous trouverez ci-dessous le mappage des opérations du bucket et des actions politiques requises.

APIopérations	Actions de politique	Description des actions politiques
CreateBucket	(Obligatoire) `s3:CreateBucket`	Nécessaire pour créer un nouveau compartiment s3.
	(Obligatoire conditionnel) `s3:PutBucketAcl`	Obligatoire si vous souhaitez utiliser la liste de contrôle d'accès (ACL) pour spécifier les autorisations sur un bucket lorsque vous faites une `CreateBucket` demande.
	(Nécessaire sous certaines conditions)`s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`	Obligatoire si vous souhaitez activer Object Lock lorsque vous créez un bucket.
	(Obligatoire conditionnel) `s3:PutBucketOwnershipControls`	Obligatoire si vous souhaitez spécifier la propriété de l'objet S3 lors de la création d'un compartiment.
DeleteBucket	(Obligatoire) `s3:DeleteBucket`	Nécessaire pour supprimer un compartiment S3.
DeleteBucketAnalyticsConfiguration	(Obligatoire) `s3:PutAnalyticsConfiguration`	Nécessaire pour supprimer une configuration d'analyse S3 d'un compartiment S3.
DeleteBucketCors	(Obligatoire) `s3:PutBucketCORS`	Nécessaire pour supprimer la configuration de partage de ressources entre origines CORS multiples () d'un compartiment.
DeleteBucketEncryption	(Obligatoire) `s3:PutEncryptionConfiguration`	Nécessaire pour réinitialiser la configuration de chiffrement par défaut d'un compartiment S3 en tant que chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).
DeleteBucketIntelligentTieringConfiguration	(Obligatoire) `s3:PutIntelligentTieringConfiguration`	Nécessaire pour supprimer la configuration S3 Intelligent-Tiering existante d'un compartiment S3.
DeleteBucketInventoryConfiguration	(Obligatoire) `s3:PutInventoryConfiguration`	Nécessaire pour supprimer une configuration d'inventaire S3 d'un compartiment S3.
DeleteBucketLifecycle	(Obligatoire) `s3:PutLifecycleConfiguration`	Nécessaire pour supprimer la configuration du cycle de vie S3 d'un compartiment S3.
DeleteBucketMetricsConfiguration	(Obligatoire) `s3:PutMetricsConfiguration`	Nécessaire pour supprimer une configuration de métriques pour les métriques de CloudWatch demande Amazon d'un compartiment S3.
DeleteBucketOwnershipControls	(Obligatoire) `s3:PutBucketOwnershipControls`	Nécessaire pour supprimer le paramètre de propriété de l'objet pour un compartiment S3. Après la suppression, le paramètre de propriété de l'objet devient`Object writer`.
DeleteBucketPolicy	(Obligatoire) `s3:DeleteBucketPolicy`	Nécessaire pour supprimer la politique d'un compartiment S3.
DeleteBucketReplication	(Obligatoire) `s3:PutReplicationConfiguration`	Nécessaire pour supprimer la configuration de réplication d'un compartiment S3.
DeleteBucketTagging	(Obligatoire) `s3:PutBucketTagging`	Nécessaire pour supprimer des balises d'un compartiment S3.
DeleteBucketWebsite	(Obligatoire) `s3:DeleteBucketWebsite`	Nécessaire pour supprimer la configuration du site Web pour un compartiment S3.
DeletePublicAccessBlock(Au niveau du seau)	(Obligatoire) `s3:PutBucketPublicAccessBlock`	Nécessaire pour supprimer la configuration de blocage de l'accès public pour un compartiment S3.
GetBucketAccelerateConfiguration	(Obligatoire) `s3:GetAccelerateConfiguration`	Nécessaire pour utiliser la sous-ressource accelerate afin de renvoyer l'état Amazon S3 Transfer Acceleration d'un bucket, qui est activé ou suspendu.
GetBucketAcl	(Obligatoire) `s3:GetBucketAcl`	Nécessaire pour renvoyer la liste de contrôle d'accès (ACL) d'un compartiment S3.
GetBucketAnalyticsConfiguration	(Obligatoire) `s3:GetAnalyticsConfiguration`	Nécessaire pour renvoyer une configuration d'analyse identifiée par l'ID de configuration d'analyse d'un compartiment S3.
GetBucketCors	(Obligatoire) `s3:GetBucketCORS`	Nécessaire pour renvoyer la configuration de partage de ressources entre origines (CORS) pour un compartiment S3.
GetBucketEncryption	(Obligatoire) `s3:GetEncryptionConfiguration`	Obligatoire pour renvoyer la configuration de chiffrement par défaut pour un compartiment S3.
GetBucketIntelligentTieringConfiguration	(Obligatoire) `s3:GetIntelligentTieringConfiguration`	Nécessaire pour obtenir la configuration S3 Intelligent-Tiering d'un compartiment S3.
GetBucketInventoryConfiguration	(Obligatoire) `s3:GetInventoryConfiguration`	Nécessaire pour renvoyer une configuration d'inventaire identifiée par l'ID de configuration d'inventaire du compartiment.
GetBucketLifecycle	(Obligatoire) `s3:GetLifecycleConfiguration`	Nécessaire pour renvoyer la configuration du cycle de vie S3 du compartiment.
GetBucketLocation	(Obligatoire) `s3:GetBucketLocation`	Nécessaire pour renvoyer Région AWS le compartiment dans lequel réside un compartiment S3.
GetBucketLogging	(Obligatoire) `s3:GetBucketLogging`	Nécessaire pour renvoyer l'état de journalisation d'un compartiment S3 et les autorisations dont disposent les utilisateurs pour consulter et modifier cet état.
GetBucketMetricsConfiguration	(Obligatoire) `s3:GetMetricsConfiguration`	Nécessaire pour obtenir une configuration des métriques spécifiée par l'ID de configuration des métriques du bucket.
GetBucketNotificationConfiguration	(Obligatoire) `s3:GetBucketNotification`	Nécessaire pour renvoyer la configuration des notifications d'un compartiment S3.
GetBucketOwnershipControls	(Obligatoire) `s3:GetBucketOwnershipControls`	Nécessaire pour récupérer le paramètre de propriété de l'objet pour un compartiment S3.
GetBucketPolicy	(Obligatoire) `s3:GetBucketPolicy`	Nécessaire pour renvoyer la politique d'un compartiment S3.
GetBucketPolicyStatus	(Obligatoire) `s3:GetBucketPolicyStatus`	Nécessaire pour récupérer l'état de la politique d'un compartiment S3, indiquant si le compartiment est public.
GetBucketReplication	(Obligatoire) `s3:GetReplicationConfiguration`	Nécessaire pour renvoyer la configuration de réplication d'un compartiment S3.
GetBucketRequestPayment	(Obligatoire) `s3:GetBucketRequestPayment`	Obligatoire pour renvoyer la configuration de paiement de la demande pour un compartiment S3.
GetBucketVersioning	(Obligatoire) `s3:GetBucketVersioning`	Obligatoire pour renvoyer l'état de version d'un compartiment S3.
GetBucketTagging	(Obligatoire) `s3:GetBucketTagging`	Obligatoire pour renvoyer le jeu de balises associé à un compartiment S3.
GetBucketWebsite	(Obligatoire) `s3:GetBucketWebsite`	Nécessaire pour renvoyer la configuration du site Web pour un compartiment S3.
GetObjectLockConfiguration	(Obligatoire) `s3:GetBucketObjectLockConfiguration`	Nécessaire pour obtenir la configuration Object Lock pour un compartiment S3.
GetPublicAccessBlock(Au niveau du seau)	(Obligatoire) `s3:GetBucketPublicAccessBlock`	Nécessaire pour récupérer la configuration d'accès public par blocs pour un compartiment S3.
HeadBucket	(Obligatoire) `s3:ListBucket`	Nécessaire pour déterminer si un bucket existe et si vous êtes autorisé à y accéder.
ListBucketAnalyticsConfigurations	(Obligatoire) `s3:GetAnalyticsConfiguration`	Obligatoire pour répertorier les configurations d'analyse pour un compartiment S3.
ListBucketIntelligentTieringConfigurations	(Obligatoire) `s3:GetIntelligentTieringConfiguration`	Obligatoire pour répertorier les configurations de hiérarchisation intelligente S3 d'un compartiment S3.
ListBucketInventoryConfigurations	(Obligatoire) `s3:GetInventoryConfiguration`	Obligatoire pour renvoyer une liste des configurations d'inventaire pour un compartiment S3.
ListBucketMetricsConfigurations	(Obligatoire) `s3:GetMetricsConfiguration`	Obligatoire pour répertorier les configurations de métriques pour un compartiment S3.
ListObjects	(Obligatoire) `s3:ListBucket`	Nécessaire pour répertorier une partie ou la totalité (jusqu'à 1 000) des objets d'un compartiment S3.
	(Obligatoire conditionnel) `s3:GetObjectAcl`	Obligatoire si vous souhaitez afficher les informations relatives au propriétaire de l'objet.
ListObjectsV2	(Obligatoire) `s3:ListBucket`	Nécessaire pour répertorier une partie ou la totalité (jusqu'à 1 000) des objets d'un compartiment S3.
	(Obligatoire conditionnel) `s3:GetObjectAcl`	Obligatoire si vous souhaitez afficher les informations relatives au propriétaire de l'objet.
ListObjectVersions	(Obligatoire) `s3:ListBucketVersions`	Nécessaire pour obtenir des métadonnées relatives à toutes les versions des objets d'un compartiment S3.
PutBucketAccelerateConfiguration	(Obligatoire) `s3:PutAccelerateConfiguration`	Nécessaire pour définir la configuration accélérée d'un bucket existant.
PutBucketAcl	(Obligatoire) `s3:PutBucketAcl`	Nécessaire pour utiliser des listes de contrôle d'accès (ACLs) pour définir les autorisations sur un bucket existant.
PutBucketAnalyticsConfiguration	(Obligatoire) `s3:PutAnalyticsConfiguration`	Nécessaire pour définir une configuration d'analyse pour un compartiment S3.
PutBucketCors	(Obligatoire) `s3:PutBucketCORS`	Nécessaire pour définir la configuration du partage de ressources entre origines (CORS) pour un compartiment S3.
PutBucketEncryption	(Obligatoire) `s3:PutEncryptionConfiguration`	Nécessaire pour configurer le chiffrement par défaut pour un compartiment S3.
PutBucketIntelligentTieringConfiguration	(Obligatoire) `s3:PutIntelligentTieringConfiguration`	Nécessaire pour placer la configuration S3 Intelligent-Tiering dans un compartiment S3.
PutBucketInventoryConfiguration	(Obligatoire) `s3:PutInventoryConfiguration`	Nécessaire pour ajouter une configuration d'inventaire à un compartiment S3.
PutBucketLifecycle	(Obligatoire) `s3:PutLifecycleConfiguration`	Nécessaire pour créer une nouvelle configuration de cycle de vie S3 ou pour remplacer une configuration de cycle de vie existante pour un compartiment S3.
PutBucketLogging	(Obligatoire) `s3:PutBucketLogging`	Nécessaire pour définir les paramètres de journalisation d'un compartiment S3 et spécifier les autorisations permettant de consulter et de modifier les paramètres de journalisation.
PutBucketMetricsConfiguration	(Obligatoire) `s3:PutMetricsConfiguration`	Nécessaire pour définir ou mettre à jour une configuration de métriques pour les métriques de CloudWatch demande Amazon d'un compartiment S3.
PutBucketNotificationConfiguration	(Obligatoire) `s3:PutBucketNotification`	Nécessaire pour activer les notifications d'événements spécifiques pour un compartiment S3.
PutBucketOwnershipControls	(Obligatoire) `s3:PutBucketOwnershipControls`	Nécessaire pour créer ou modifier le paramètre de propriété de l'objet pour un compartiment S3.
PutBucketPolicy	(Obligatoire) `s3:PutBucketPolicy`	Nécessaire pour appliquer une politique de compartiment S3 à un compartiment.
PutBucketReplication	(Obligatoire) `s3:PutReplicationConfiguration`	Nécessaire pour créer une nouvelle configuration de réplication ou remplacer une configuration existante pour un compartiment S3.
PutBucketRequestPayment	(Obligatoire) `s3:PutBucketRequestPayment`	Nécessaire pour définir la configuration du paiement des demandes pour un bucket.
PutBucketTagging	(Obligatoire) `s3:PutBucketTagging`	Nécessaire pour ajouter un ensemble de balises à un compartiment S3.
PutBucketVersioning	(Obligatoire) `s3:PutBucketVersioning`	Nécessaire pour définir l'état de version d'un compartiment S3.
PutBucketWebsite	(Obligatoire) `s3:PutBucketWebsite`	Nécessaire pour configurer un bucket en tant que site Web et définir la configuration du site Web.
PutObjectLockConfiguration	(Obligatoire) `s3:PutBucketObjectLockConfiguration`	Nécessaire pour placer la configuration Object Lock sur un compartiment S3.
PutPublicAccessBlock(Au niveau du seau)	(Obligatoire) `s3:PutBucketPublicAccessBlock`	Nécessaire pour créer ou modifier la configuration d'accès public par blocs pour un compartiment S3.

Les opérations d'objet sont API des opérations S3 qui opèrent sur le type de ressource d'objet. Vous devez spécifier les actions de politique S3 pour les opérations sur les objets dans les politiques basées sur les ressources (telles que les politiques de compartiment, les politiques de point d'accès, les politiques de point d'accès multirégional, les politiques de point d'accès, les politiques de point d'accès) ou VPC IAM les politiques basées sur l'identité.

Dans les politiques, l'Resourceélément doit être l'objetARN. Pour plus d'informations sur le format des Resource éléments et des exemples de politiques, consultezOpérations sur les objets.

Note

AWS KMS les actions politiques (kms:GenerateDataKeyetkms:Decrypt) ne s'appliquent qu'au type de AWS KMS ressource et doivent être spécifiées dans les politiques basées sur l'IAMidentité et les politiques basées sur les AWS KMS ressources (politiques clés)AWS KMS . Vous ne pouvez pas spécifier d'actions AWS KMS politiques dans les politiques basées sur les ressources S3, telles que les politiques de compartiment S3.
Lorsque vous utilisez des points d'accès pour contrôler l'accès aux opérations sur les objets, vous pouvez utiliser des politiques relatives aux points d'accès. Pour accorder des autorisations aux opérations d'objets dans les politiques de point d'accès, notez ce qui suit :
- Dans les politiques de point d'accès qui accordent des autorisations pour les opérations sur les objets, l'Resourceélément doit être celui ARNs destiné aux objets accessibles via un point d'accès. Pour plus d'informations sur le format des Resource éléments et des exemples de politiques, consultezOpérations sur les objets dans les politiques de point d'accès.
- Les opérations sur les objets ne sont pas toutes prises en charge par les points d'accès. Pour de plus amples informations, veuillez consulter Compatibilité des points d'accès avec les opérations S3.
Les opérations sur les objets ne sont pas toutes prises en charge par les points d'accès multirégionaux. Pour de plus amples informations, veuillez consulter Compatibilité du point d'accès multi-régions avec les opérations S3.

Vous trouverez ci-dessous le mappage des opérations sur les objets et des actions politiques requises.

APIopérations	Actions de politique	Description des actions politiques
AbortMultipartUpload	(Obligatoire) `s3:AbortMultipartUpload`	Nécessaire pour annuler un téléchargement partitionné.
CompleteMultipartUpload	(Obligatoire) `s3:PutObject`	Nécessaire pour effectuer un téléchargement en plusieurs parties.
	(Obligatoire conditionnel) `kms:Decrypt`	Obligatoire si vous souhaitez effectuer un téléchargement en plusieurs parties pour un objet chiffré par clé géré par le AWS KMS client.
CopyObject	Pour l'objet source :	Pour l'objet source :
	(Obligatoire) L'un `s3:GetObject` ou l'autre `s3:GetObjectVersion`	`s3:GetObject`— Obligatoire si vous souhaitez copier un objet depuis le compartiment source sans le préciser `versionId` dans la demande. `s3:GetObjectVersion`— Obligatoire si vous souhaitez copier une version spécifique d'un objet depuis le compartiment source en le spécifiant `versionId` dans la demande.
	(Obligatoire conditionnel) `kms:Decrypt`	Obligatoire si vous souhaitez copier un objet chiffré par clé géré par le AWS KMS client depuis le compartiment source.
	Pour l'objet de destination :	Pour l'objet de destination :
	(Obligatoire) `s3:PutObject`	Nécessaire pour placer l'objet copié dans le compartiment de destination.
	(Obligatoire conditionnel) `s3:PutObjectAcl`	Obligatoire si vous souhaitez placer l'objet copié avec la liste de contrôle d'accès aux objets (ACL) dans le compartiment de destination lorsque vous faites une `CopyObject` demande.
	(Obligatoire conditionnel) `s3:PutObjectTagging`	Obligatoire si vous souhaitez placer l'objet copié avec le balisage d'objet dans le compartiment de destination lorsque vous faites une `CopyObject` demande.
	(Obligatoire conditionnel) `kms:GenerateDataKey`	Obligatoire si vous souhaitez chiffrer l'objet copié avec une clé gérée par le AWS KMS client et le placer dans le compartiment de destination.
	(Obligatoire conditionnel) `s3:PutObjectRetention`	Obligatoire si vous souhaitez définir une configuration de rétention Object Lock pour le nouvel objet.
	(Obligatoire conditionnel) `s3:PutObjectLegalHold`	Obligatoire si vous souhaitez placer un blocage légal sur le nouvel objet par Object Lock.
CreateMultipartUpload	(Obligatoire) `s3:PutObject`	Nécessaire pour créer un téléchargement partitionné.
	(Obligatoire conditionnel) `s3:PutObjectAcl`	Obligatoire si vous souhaitez définir les autorisations de la liste de contrôle d'accès aux objets (ACL) pour l'objet chargé.
	(Obligatoire conditionnel) `s3:PutObjectTagging`	Obligatoire si vous souhaitez ajouter des balises d'objet à l'objet chargé.
	(Obligatoire conditionnel) `kms:GenerateDataKey`	Obligatoire si vous souhaitez utiliser une clé gérée par le AWS KMS client pour chiffrer un objet lorsque vous lancez un téléchargement partitionné.
	(Obligatoire conditionnel) `s3:PutObjectRetention`	Obligatoire si vous souhaitez définir une configuration de rétention Object Lock pour l'objet chargé.
	(Obligatoire conditionnel) `s3:PutObjectLegalHold`	Obligatoire si vous souhaitez appliquer un blocage légal à l'objet chargé par Object Lock.
DeleteObject	(Obligatoire) L'un `s3:DeleteObject` ou l'autre `s3:DeleteObjectVersion`	`s3:DeleteObject`— Obligatoire si vous souhaitez supprimer un objet sans le préciser `versionId` dans la demande. `s3:DeleteObjectVersion`— Obligatoire si vous souhaitez supprimer une version spécifique d'un objet en le spécifiant `versionId` dans la demande.
	(Obligatoire conditionnel) `s3:BypassGovernanceRetention`	Obligatoire si vous souhaitez supprimer un objet protégé par le mode de gouvernance pour la conservation d'Object Lock.
DeleteObjects	(Obligatoire) L'un `s3:DeleteObject` ou l'autre `s3:DeleteObjectVersion`	`s3:DeleteObject`— Obligatoire si vous souhaitez supprimer un objet sans le préciser `versionId` dans la demande. `s3:DeleteObjectVersion`— Obligatoire si vous souhaitez supprimer une version spécifique d'un objet en le spécifiant `versionId` dans la demande.
	(Obligatoire conditionnel) `s3:BypassGovernanceRetention`	Obligatoire si vous souhaitez supprimer des objets protégés par le mode de gouvernance pour la conservation d'Object Lock.
DeleteObjectTagging	(Obligatoire) L'un `s3:DeleteObjectTagging` ou l'autre `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging`— Obligatoire si vous souhaitez supprimer l'ensemble de balises complet d'un objet sans le préciser `versionId` dans la demande. `s3:DeleteObjectVersionTagging`— Obligatoire si vous souhaitez supprimer les balises d'une version d'objet spécifique en le spécifiant `versionId` dans la demande.
GetObject	(Obligatoire) L'un `s3:GetObject` ou l'autre `s3:GetObjectVersion`	`s3:GetObject`— Obligatoire si vous souhaitez obtenir un objet sans le spécifier `versionId` dans la demande. `s3:GetObjectVersion`— Obligatoire si vous souhaitez obtenir une version spécifique d'un objet en le spécifiant `versionId` dans la demande.
	(Obligatoire conditionnel) `kms:Decrypt`	Obligatoire si vous souhaitez obtenir et déchiffrer un objet chiffré par clé géré par le AWS KMS client.
	(Obligatoire conditionnel) `s3:GetObjectTagging`	Obligatoire si vous souhaitez obtenir le jeu de balises d'un objet lorsque vous faites une `GetObject` demande.
	(Obligatoire conditionnel) `s3:GetObjectLegalHold`	Obligatoire si vous souhaitez obtenir le statut de conservation légale actuel d'un objet Object Lock.
	(Obligatoire conditionnel) `s3:GetObjectRetention`	Obligatoire si vous souhaitez récupérer les paramètres de rétention Object Lock pour un objet.
GetObjectAcl	(Obligatoire) L'un `s3:GetObjectAcl` ou l'autre `s3:GetObjectVersionAcl`	`s3:GetObjectAcl`— Obligatoire si vous souhaitez obtenir la liste de contrôle d'accès (ACL) d'un objet sans le préciser `versionId` dans la demande. `s3:GetObjectVersionAcl`— Obligatoire si vous souhaitez obtenir la liste de contrôle d'accès (ACL) d'un objet en le spécifiant `versionId` dans la demande.
GetObjectAttributes	(Obligatoire) L'un `s3:GetObject` ou l'autre `s3:GetObjectVersion`	`s3:GetObject`— Obligatoire si vous souhaitez récupérer les attributs associés à un objet sans les spécifier `versionId` dans la demande. `s3:GetObjectVersion`— Obligatoire si vous souhaitez récupérer les attributs liés à une version d'objet spécifique en les spécifiant `versionId` dans la demande.
	(Obligatoire conditionnel) `kms:Decrypt`	Obligatoire si vous souhaitez récupérer les attributs associés à un objet chiffré par clé géré par le AWS KMS client.
GetObjectLegalHold	(Obligatoire) `s3:GetObjectLegalHold`	Nécessaire pour obtenir le statut de conservation légale actuel d'un objet Object Lock.
GetObjectRetention	(Obligatoire) `s3:GetObjectRetention`	Nécessaire pour récupérer les paramètres de rétention Object Lock d'un objet.
GetObjectTagging	(Obligatoire) L'un `s3:GetObjectTagging` ou l'autre `s3:GetObjectVersionTagging`	`s3:GetObjectTagging`— Obligatoire si vous souhaitez obtenir le jeu de balises d'un objet sans le spécifier `versionId` dans la demande. `s3:GetObjectVersionTagging`— Obligatoire si vous souhaitez obtenir les balises d'une version d'objet spécifique en les spécifiant `versionId` dans la demande.
GetObjectTorrent	(Obligatoire) `s3:GetObject`	Nécessaire pour renvoyer les fichiers torrent d'un objet.
HeadObject	(Obligatoire) `s3:GetObject`	Nécessaire pour récupérer les métadonnées d'un objet sans renvoyer l'objet lui-même.
	(Obligatoire conditionnel) `s3:GetObjectLegalHold`	Obligatoire si vous souhaitez obtenir le statut de conservation légale actuel d'un objet Object Lock.
	(Obligatoire conditionnel) `s3:GetObjectRetention`	Obligatoire si vous souhaitez récupérer les paramètres de rétention Object Lock pour un objet.
ListMultipartUploads	(Obligatoire) `s3:ListBucketMultipartUploads`	Obligatoire pour répertorier les téléchargements partitionnés en cours dans un bucket.
ListParts	(Obligatoire) `s3:ListMultipartUploadParts`	Obligatoire pour répertorier les pièces qui ont été téléchargées pour un téléchargement partitionné spécifique.
	(Obligatoire conditionnel) `kms:Decrypt`	Obligatoire si vous souhaitez répertorier les parties d'un téléchargement en plusieurs parties chiffré par clé gérée par le AWS KMS client.
PutObject	(Obligatoire) `s3:PutObject`	Nécessaire pour placer un objet.
	(Obligatoire conditionnel) `s3:PutObjectAcl`	Obligatoire si vous souhaitez placer la liste de contrôle d'accès aux objets (ACL) lorsque vous faites une `PutObject` demande.
	(Obligatoire conditionnel) `s3:PutObjectTagging`	Obligatoire si vous souhaitez étiqueter un objet lorsque vous faites une `PutObject` demande.
	(Obligatoire conditionnel) `kms:GenerateDataKey`	Obligatoire si vous souhaitez chiffrer un objet avec une clé gérée par AWS KMS le client.
	(Obligatoire conditionnel) `s3:PutObjectRetention`	Obligatoire si vous souhaitez définir une configuration de rétention Object Lock sur un objet.
	(Obligatoire conditionnel) `s3:PutObjectLegalHold`	Obligatoire si vous souhaitez appliquer une configuration de blocage légal d'Object Lock à un objet spécifié.
PutObjectAcl	(Obligatoire) L'un `s3:PutObjectAcl` ou l'autre `s3:PutObjectVersionAcl`	`s3:PutObjectAcl`— Obligatoire si vous souhaitez définir les autorisations de la liste de contrôle d'accès (ACL) pour un objet nouveau ou existant sans le spécifier `versionId` dans la demande. `s3:PutObjectVersionAcl`— Obligatoire si vous souhaitez définir les autorisations de la liste de contrôle d'accès (ACL) pour un objet nouveau ou existant en les spécifiant `versionId` dans la demande.
PutObjectLegalHold	(Obligatoire) `s3:PutObjectLegalHold`	Nécessaire pour appliquer une configuration de conservation légale d'Object Lock à un objet.
PutObjectRetention	(Obligatoire) `s3:PutObjectRetention`	Nécessaire pour appliquer une configuration de rétention Object Lock à un objet.
	(Obligatoire conditionnel) `s3:BypassGovernanceRetention`	Obligatoire si vous souhaitez contourner le mode de gouvernance d'une configuration de rétention Object Lock.
PutObjectTagging	(Obligatoire) L'un `s3:PutObjectTagging` ou l'autre `s3:PutObjectVersionTagging`	`s3:PutObjectTagging`— Obligatoire si vous souhaitez attribuer au jeu de balises fourni un objet qui existe déjà dans un bucket sans le spécifier `versionId` dans la demande. `s3:PutObjectVersionTagging`— Obligatoire si vous souhaitez attribuer au jeu de balises fourni un objet qui existe déjà dans un bucket en le spécifiant `versionId` dans la demande.
RestoreObject	(Obligatoire) `s3:RestoreObject`	Nécessaire pour restaurer une copie d'un objet archivé.
SelectObjectContent	(Obligatoire) `s3:GetObject`	Nécessaire pour filtrer le contenu d'un objet S3 en fonction d'une instruction simple en langage de requête structuré (SQL).
	(Obligatoire conditionnel) `kms:Decrypt`	Obligatoire si vous souhaitez filtrer le contenu d'un objet S3 chiffré à l'aide d'une clé gérée par AWS KMS le client.
UploadPart	(Obligatoire) `s3:PutObject`	Nécessaire pour charger une partie dans le cadre d'un téléchargement en plusieurs parties.
	(Obligatoire conditionnel) `kms:GenerateDataKey`	Obligatoire si vous souhaitez ajouter une partie de téléchargement et la chiffrer à l'aide d'une clé gérée par AWS KMS le client.
UploadPartCopy	Pour l'objet source :	Pour l'objet source :
	(Obligatoire) L'un `s3:GetObject` ou l'autre `s3:GetObjectVersion`	`s3:GetObject`— Obligatoire si vous souhaitez copier un objet depuis le compartiment source sans le préciser `versionId` dans la demande. `s3:GetObjectVersion`— Obligatoire si vous souhaitez copier une version spécifique d'un objet depuis le compartiment source en le spécifiant `versionId` dans la demande.
	(Obligatoire conditionnel) `kms:Decrypt`	Obligatoire si vous souhaitez copier un objet chiffré par clé géré par le AWS KMS client depuis le compartiment source.
	Pour la partie destination :	Pour la partie destination :
	(Obligatoire) `s3:PutObject`	Nécessaire pour charger une partie du téléchargement partitionné dans le compartiment de destination.
	(Obligatoire conditionnel) `kms:GenerateDataKey`	Obligatoire si vous souhaitez chiffrer une pièce à l'aide d'une clé gérée par le AWS KMS client lorsque vous la chargez dans le compartiment de destination.

Les opérations de point d'accès sont API des opérations S3 qui opèrent sur le type de accesspoint ressource. Vous devez spécifier les actions de politique S3 pour les opérations de point d'accès dans les politiques IAM basées sur l'identité, et non dans les politiques de compartiment ou les politiques de point d'accès.

Dans les politiques, l'Resourceélément doit être le accesspointARN. Pour plus d'informations sur le format des Resource éléments et des exemples de politiques, consultezOpérations des points d'accès.

Note

Si vous souhaitez utiliser des points d'accès pour contrôler l'accès aux opérations sur les compartiments ou les objets, notez ce qui suit :

Pour utiliser des points d'accès pour contrôler l'accès aux opérations du bucket, voirOpérations relatives aux compartiments dans les politiques de point d'accès.
Pour utiliser des points d'accès pour contrôler l'accès aux opérations sur les objets, voirOpérations sur les objets dans les politiques de point d'accès.
Pour plus d'informations sur la configuration des politiques de point d'accès, consultezConfiguration des IAM politiques d'utilisation des points d'accès.

Vous trouverez ci-dessous le mappage des opérations des points d'accès et des actions politiques requises.

APIopérations	Actions de politique	Description des actions politiques
CreateAccessPoint	(Obligatoire) `s3:CreateAccessPoint`	Nécessaire pour créer un point d'accès associé à un compartiment S3.
DeleteAccessPoint	(Obligatoire) `s3:DeleteAccessPoint`	Nécessaire pour supprimer un point d'accès.
DeleteAccessPointPolicy	(Obligatoire) `s3:DeleteAccessPointPolicy`	Nécessaire pour supprimer une politique de point d'accès.
GetAccessPointPolicy	(Obligatoire) `s3:GetAccessPointPolicy`	Nécessaire pour récupérer une politique de point d'accès.
GetAccessPointPolicyStatus	(Obligatoire) `s3:GetAccessPointPolicyStatus`	Nécessaire pour récupérer les informations indiquant si le point d'accès spécifié dispose actuellement d'une politique autorisant l'accès public.
PutAccessPointPolicy	(Obligatoire) `s3:PutAccessPointPolicy`	Nécessaire pour mettre en place une politique de point d'accès.

Les opérations Object Lambda Access Point sont des API opérations S3 qui opèrent sur le type de objectlambdaaccesspoint ressource. Pour plus d'informations sur la façon de configurer les politiques pour les opérations du point d'accès Object Lambda, consultez. Configuration des IAM politiques pour les points d'accès Object Lambda

Voici le mappage des opérations du point d'accès Object Lambda et des actions politiques requises.

APIopérations	Actions de politique	Description des actions politiques
CreateAccessPointForObjectLambda	(Obligatoire) `s3:CreateAccessPointForObjectLambda`	Nécessaire pour créer un point d'accès Object Lambda.
DeleteAccessPointForObjectLambda	(Obligatoire) `s3:DeleteAccessPointForObjectLambda`	Nécessaire pour supprimer un point d'accès Object Lambda spécifié.
DeleteAccessPointPolicyForObjectLambda	(Obligatoire) `s3:DeleteAccessPointPolicyForObjectLambda`	Nécessaire pour supprimer la politique sur un point d'accès Object Lambda spécifié.
GetAccessPointConfigurationForObjectLambda	(Obligatoire) `s3:GetAccessPointConfigurationForObjectLambda`	Nécessaire pour récupérer la configuration du point d'accès Object Lambda.
GetAccessPointForObjectLambda	(Obligatoire) `s3:GetAccessPointForObjectLambda`	Nécessaire pour récupérer des informations sur le point d'accès Object Lambda.
GetAccessPointPolicyForObjectLambda	(Obligatoire) `s3:GetAccessPointPolicyForObjectLambda`	Obligatoire pour renvoyer la politique de point d'accès associée au point d'accès Object Lambda spécifié.
GetAccessPointPolicyStatusForObjectLambda	(Obligatoire) `s3:GetAccessPointPolicyStatusForObjectLambda`	Nécessaire pour renvoyer l'état de la politique pour une politique de point d'accès Object Lambda spécifique.
PutAccessPointConfigurationForObjectLambda	(Obligatoire) `s3:PutAccessPointConfigurationForObjectLambda`	Nécessaire pour définir la configuration du point d'accès Object Lambda.
PutAccessPointPolicyForObjectLambda	(Obligatoire) `s3:PutAccessPointPolicyForObjectLambda`	Nécessaire pour associer une politique d'accès à un point d'accès Object Lambda spécifié.

Les opérations de point d'accès multirégional sont API des opérations S3 qui opèrent sur le type de multiregionaccesspoint ressource. Pour plus d'informations sur la façon de configurer des politiques pour les opérations de points d'accès multirégionaux, consultezExemples de politique de point d'accès multi-régions.

Vous trouverez ci-dessous le mappage des opérations des points d'accès multirégionaux et des actions politiques requises.

APIopérations	Actions de politique	Description des actions politiques
CreateMultiRegionAccessPoint	(Obligatoire) `s3:CreateMultiRegionAccessPoint`	Nécessaire pour créer un point d'accès multirégional et l'associer à des compartiments S3.
DeleteMultiRegionAccessPoint	(Obligatoire) `s3:DeleteMultiRegionAccessPoint`	Nécessaire pour supprimer un point d'accès multirégional.
DescribeMultiRegionAccessPointOperation	(Obligatoire) `s3:DescribeMultiRegionAccessPointOperation`	Nécessaire pour récupérer l'état d'une demande asynchrone de gestion d'un point d'accès multirégional.
GetMultiRegionAccessPoint	(Obligatoire) `s3:GetMultiRegionAccessPoint`	Obligatoire pour renvoyer les informations de configuration relatives au point d'accès multirégional spécifié.
GetMultiRegionAccessPointPolicy	(Obligatoire) `s3:GetMultiRegionAccessPointPolicy`	Nécessaire pour renvoyer la politique de contrôle d'accès du point d'accès multirégional spécifié.
GetMultiRegionAccessPointPolicyStatus	(Obligatoire) `s3:GetMultiRegionAccessPointPolicyStatus`	Nécessaire pour renvoyer l'état de la politique d'un point d'accès multirégional spécifique indiquant si le point d'accès multirégional spécifié dispose d'une politique de contrôle d'accès autorisant l'accès public.
GetMultiRegionAccessPointRoutes	(Obligatoire) `s3:GetMultiRegionAccessPointRoutes`	Nécessaire pour renvoyer la configuration de routage pour un point d'accès multirégional.
PutMultiRegionAccessPointPolicy	(Obligatoire) `s3:PutMultiRegionAccessPointPolicy`	Nécessaire pour mettre à jour la politique de contrôle d'accès du point d'accès multirégional spécifié.
SubmitMultiRegionAccessPointRoutes	(Obligatoire) `s3:SubmitMultiRegionAccessPointRoutes`	Nécessaire pour soumettre une configuration de route mise à jour pour un point d'accès multirégional.

Les opérations de travail (Batch Operations) sont API des opérations S3 qui opèrent sur le type de job ressource. Vous devez spécifier les actions de politique S3 pour les opérations de travail dans des politiques IAM basées sur l'identité, et non dans des politiques de compartiment.

Dans les politiques, l'Resourceélément doit être le jobARN. Pour plus d'informations sur le format des Resource éléments et des exemples de politiques, consultezOpérations de tâches par lots.

Vous trouverez ci-dessous le mappage des opérations de traitement par lots et des actions politiques requises.

APIopérations	Actions de politique	Description des actions politiques
DeleteJobTagging	(Obligatoire) `s3:DeleteJobTagging`	Nécessaire pour supprimer les balises d'une tâche S3 Batch Operations existante.
DescribeJob	(Obligatoire) `s3:DescribeJob`	Nécessaire pour récupérer les paramètres de configuration et le statut d'une tâche Batch Operations.
GetJobTagging	(Obligatoire) `s3:GetJobTagging`	Nécessaire pour renvoyer le jeu de balises d'une tâche S3 Batch Operations existante.
PutJobTagging	(Obligatoire) `s3:PutJobTagging`	Nécessaire pour placer ou remplacer des balises sur une tâche S3 Batch Operations existante.
UpdateJobPriority	(Obligatoire) `s3:UpdateJobPriority`	Nécessaire pour mettre à jour la priorité d'une tâche existante.
UpdateJobStatus	(Obligatoire) `s3:UpdateJobStatus`	Nécessaire pour mettre à jour le statut de la tâche spécifiée.

Les opérations de configuration de S3 Storage Lens sont API des opérations S3 qui opèrent sur le type de storagelensconfiguration ressource. Pour plus d'informations sur la configuration des opérations de configuration de S3 Storage Lens, consultezConfiguration des autorisations Amazon S3 Storage Lens.

Voici le mappage des opérations de configuration de S3 Storage Lens et des actions politiques requises.

APIopérations	Actions de politique	Description des actions politiques
DeleteStorageLensConfiguration	(Obligatoire) `s3:DeleteStorageLensConfiguration`	Nécessaire pour supprimer la configuration S3 Storage Lens.
DeleteStorageLensConfigurationTagging	(Obligatoire) `s3:DeleteStorageLensConfigurationTagging`	Nécessaire pour supprimer les balises de configuration S3 Storage Lens.
GetStorageLensConfiguration	(Obligatoire) `s3:GetStorageLensConfiguration`	Nécessaire pour obtenir la configuration de S3 Storage Lens.
GetStorageLensConfigurationTagging	(Obligatoire) `s3:GetStorageLensConfigurationTagging`	Nécessaire pour obtenir les balises de configuration de S3 Storage Lens.
PutStorageLensConfigurationTagging	(Obligatoire) `s3:PutStorageLensConfigurationTagging`	Nécessaire pour placer ou remplacer des balises sur une configuration S3 Storage Lens existante.

Les opérations des groupes S3 Storage Lens sont API des opérations S3 qui opèrent sur le type de storagelensgroup ressource. Pour plus d'informations sur la façon de configurer les autorisations des groupes S3 Storage Lens, consultezAutorisations pour les groupes Storage Lens.

Voici le mappage des opérations des groupes S3 Storage Lens et des actions politiques requises.

APIopérations	Actions de politique	Description des actions politiques
DeleteStorageLensGroup	(Obligatoire) `s3:DeleteStorageLensGroup`	Nécessaire pour supprimer un groupe S3 Storage Lens existant.
GetStorageLensGroup	(Obligatoire) `s3:GetStorageLensGroup`	Nécessaire pour récupérer les détails de configuration du groupe S3 Storage Lens.
UpdateStorageLensGroup	(Obligatoire) `s3:UpdateStorageLensGroup`	Nécessaire pour mettre à jour le groupe S3 Storage Lens existant.

Les opérations de compte sont API des opérations S3 qui s'opèrent au niveau du compte. Le compte n'est pas un type de ressource défini par Amazon S3. Vous devez spécifier les actions de politique S3 pour les opérations de compte dans les politiques IAM basées sur l'identité, et non dans les politiques de compartiment.

Dans les politiques, l'Resourceélément doit être"*". Pour plus d'informations sur les exemples de politiques, consultezOpérations du compte.

Vous trouverez ci-dessous le mappage des opérations du compte et des mesures politiques requises.

APIopérations	Actions de politique	Description des actions politiques
CreateJob	(Obligatoire) `s3:CreateJob`	Nécessaire pour créer une nouvelle tâche S3 Batch Operations.
CreateStorageLensGroup	(Obligatoire) `s3:CreateStorageLensGroup`	Nécessaire pour créer un nouveau groupe S3 Storage Lens et l'associer à l' Compte AWS ID spécifié.
	(Obligatoire conditionnel) `s3:TagResource`	Obligatoire si vous souhaitez créer un groupe S3 Storage Lens avec AWS des balises de ressources.
DeletePublicAccessBlock(Au niveau du compte)	(Obligatoire) `s3:PutAccountPublicAccessBlock`	Nécessaire pour supprimer la configuration de blocage de l'accès public d'un Compte AWS.
GetAccessPoint	(Obligatoire) `s3:GetAccessPoint`	Nécessaire pour récupérer les informations de configuration relatives au point d'accès spécifié.
GetAccessPointPolicy(Au niveau du compte)	(Obligatoire) `s3:GetAccountPublicAccessBlock`	Nécessaire pour récupérer la configuration de blocage de l'accès public pour un Compte AWS.
ListAccessPoints	(Obligatoire) `s3:ListAccessPoints`	Obligatoire pour répertorier les points d'accès d'un compartiment S3 appartenant à un Compte AWS.
ListAccessPointsForObjectLambda	(Obligatoire) `s3:ListAccessPointsForObjectLambda`	Obligatoire pour répertorier les points d'accès Object Lambda.
ListBuckets	(Obligatoire) `s3:ListAllMyBuckets`	Obligatoire pour renvoyer une liste de tous les buckets appartenant à l'expéditeur authentifié de la demande.
ListJobs	(Obligatoire) `s3:ListJobs`	Obligatoire pour répertorier les emplois en cours et ceux qui ont pris fin récemment.
ListMultiRegionAccessPoints	(Obligatoire) `s3:ListMultiRegionAccessPoints`	Obligatoire pour renvoyer une liste des points d'accès multirégionaux actuellement associés au point spécifié Compte AWS.
ListStorageLensConfigurations	(Obligatoire) `s3:ListStorageLensConfigurations`	Nécessaire pour obtenir une liste des configurations S3 Storage Lens pour un Compte AWS.
ListStorageLensGroups	(Obligatoire) `s3:ListStorageLensGroups`	Obligatoire pour répertorier tous les groupes S3 Storage Lens de la maison spécifiée Région AWS.
PutPublicAccessBlock(Au niveau du compte)	(Obligatoire) `s3:PutAccountPublicAccessBlock`	Nécessaire pour créer ou modifier la configuration de blocage de l'accès public pour un Compte AWS.
PutStorageLensConfiguration	(Obligatoire) `s3:PutStorageLensConfiguration`	Nécessaire pour configurer une lentille de stockage S3.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Pour une opération sur les objets

Politiques et autorisations