Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Actions, ressources et clés de condition pour Amazon S3
Amazon S3 (préfixe de service :s3) fournit les ressources, actions et clés de contexte de condition spécifiques au service suivantes à utiliser dans IAM les politiques d'autorisation.
Références :
-
Découvrez comment configurer ce service.
-
Consultez la liste des APIopérations disponibles pour ce service.
-
Découvrez comment sécuriser ce service et ses ressources à l'aide de politiques IAM d'autorisation.
Rubriques
Actions définies par Amazon S3
Vous pouvez spécifier les actions suivantes dans l'Actionélément d'une déclaration de IAM politique. Utilisez des politiques pour accorder des autorisations permettant d'effectuer une opération dans AWS. Lorsque vous utilisez une action dans une politique, vous autorisez ou refusez généralement l'accès à l'APIopération ou à la CLI commande portant le même nom. Toutefois, dans certains cas, une seule action contrôle l'accès à plusieurs opérations. D'autres opérations, quant à elles, requièrent plusieurs actions différentes.
La colonne Types de ressources indique si chaque action prend en charge les autorisations au niveau des ressources. S'il n'y a pas de valeur pour cette colonne, vous devez indiquer toutes les ressources (« * ») dans l'élément Resource de votre déclaration de politique. Si la colonne inclut un type de ressource, vous pouvez spécifier un type ARN de ressource de ce type dans une instruction comportant cette action. Si l'action comporte une ou plusieurs ressources requises, l'appelant doit être autorisé à utiliser l'action avec ces ressources. Les ressources requises sont indiquées dans le tableau par un astérisque (*). Si vous limitez l'accès aux ressources avec l'Resourceélément d'une IAM politique, vous devez inclure un modèle ARN ou pour chaque type de ressource requis. Certaines actions prennent en charge plusieurs types de ressources. Si le type de ressource est facultatif (non indiqué comme obligatoire), vous pouvez choisir d'utiliser l'un, mais pas l'autre.
La colonne Clés de condition inclut des clés que vous pouvez spécifier dans l'élément Condition d'une déclaration de politique. Pour plus d'informations sur les clés de condition associées aux ressources du service, consultez la colonne Clés de condition du tableau des types de ressources.
Note
Les clés de condition des ressources sont répertoriées dans le tableau Types de ressources. Vous pouvez trouver un lien vers le type de ressource qui s'applique à une action dans la colonne Types de ressources (* obligatoire) du tableau Actions. Le type de ressource indiqué dans le tableau Types de ressources inclut la colonne Clés de condition, qui contient les clés de condition de ressource qui s'appliquent à une action dans le tableau Actions.
Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Actions.
| Actions | Description | Niveau d'accès | Types de ressources (*obligatoire) | Clés de condition | Actions dépendantes |
|---|---|---|---|---|---|
| AbortMultipartUpload | Accorde l'autorisation d'abandonner un téléchargement en plusieurs parties | Écrire | |||
| AssociateAccessGrantsIdentityCenter | Octroie l'autorisation d'associer le centre d'identité des autorisations d'accès. | Écrire | |||
| BypassGovernanceRetention | Accorde l'autorisation de contourner des paramètres de rétention d'objets en mode gouvernance | Gestion des autorisations | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| CreateAccessGrant | Octroie l'autorisation de créer une autorisation d'accès. | Écrire | |||
| CreateAccessGrantsInstance | Octroie l'autorisation de créer une instance d'autorisations d'accès. | Écrire | |||
| CreateAccessGrantsLocation | Octroie l'autorisation de créer un emplacement d'autorisations d'accès. | Écrire | |||
| CreateAccessPoint | Accorde l'autorisation de créer un nouveau point d'accès | Écriture | |||
| CreateAccessPointForObjectLambda | Accorde l'autorisation de créer un point d'accès activé Object Lambda | Écriture | |||
| CreateBucket | Accorde l'autorisation de créer un nouveau compartiment | Écriture | |||
| CreateJob | Accorde l'autorisation de créer une tâche d'opérations par lots Amazon S3 | Écrire |
iam:PassRole |
||
| CreateMultiRegionAccessPoint | Accorde l'autorisation de créer un point d'accès multirégion | Écrire | |||
| CreateStorageLensGroup | Accorde l'autorisation de créer un groupe Amazon S3 Storage Lens | Écrire | |||
| DeleteAccessGrant | Octroie l'autorisation de supprimer une autorisation d'accès. | Écrire | |||
| DeleteAccessGrantsInstance | Octroie l'autorisation de supprimer une instance d'autorisations d'accès. | Écrire | |||
| DeleteAccessGrantsInstanceResourcePolicy | Octroie l'autorisation de lire une politique de ressource d'instance d'autorisations d'accès. | Écrire | |||
| DeleteAccessGrantsLocation | Octroie l'autorisation de supprimer un emplacement d'autorisations d'accès. | Écrire | |||
| DeleteAccessPoint | Accorde l'autorisation de supprimer le point d'accès nommé dans URI | Écrire | |||
| DeleteAccessPointForObjectLambda | Accorde l'autorisation de supprimer le point d'accès activé par lambda à l'objet nommé dans URI | Écrire | |||
| DeleteAccessPointPolicy | Accorde l'autorisation de supprimer la politique sur un point d'accès spécifié | Gestion des autorisations | |||
| DeleteAccessPointPolicyForObjectLambda | Accorde l'autorisation de supprimer la politique sur un point d'accès spécifié activé Object Lambda | Gestion des autorisations | |||
| DeleteBucket | Accorde l'autorisation de supprimer le compartiment nommé dans URI | Écrire | |||
| DeleteBucketPolicy | Accorde l'autorisation de supprimer la politique sur un compartiment spécifié | Gestion des autorisations | |||
| DeleteBucketWebsite | Accorde l'autorisation de supprimer la configuration du site web pour un compartiment | Écriture | |||
| DeleteJobTagging | Accorde l'autorisation de supprimer des identifications d'une tâche d'opérations par lots Amazon S3 existante | Balisage | |||
| DeleteMultiRegionAccessPoint | Accorde l'autorisation de supprimer le point d'accès multirégional nommé dans URI | Écrire | |||
| DeleteObject | Accorde l'autorisation de supprimer la version nulle d'un objet et d'insérer un marqueur de suppression, qui devient la version actuelle de l'objet | Écriture | |||
| DeleteObjectTagging | Accorde l'autorisation d'utiliser la sous-ressource de balisage pour supprimer l'ensemble de identifications de l'objet spécifié | Balisage | |||
| DeleteObjectVersion | Accorde l'autorisation de supprimer une version spécifique d'un objet | Écriture | |||
| DeleteObjectVersionTagging | Accorde l'autorisation de supprimer l'ensemble de identifications pour une version spécifique de l'objet | Balisage | |||
| DeleteStorageLensConfiguration | Accorde l'autorisation de supprimer une configuration Amazon S3 Storage Lens existante | Écriture | |||
| DeleteStorageLensConfigurationTagging | Accorde l'autorisation de supprimer des identifications d'une configuration Amazon S3 Storage Lens existante | Identification | |||
| DeleteStorageLensGroup | Accorde l'autorisation de supprimer un groupe de cadre de stockage S3 existant | Écrire | |||
| DescribeJob | Accorde l'autorisation de récupérer les paramètres de configuration et l'état d'une tâche d'opérations par lots | Lecture | |||
| DescribeMultiRegionAccessPointOperation | Accorde l'autorisation de récupérer les configurations pour un point d'accès multirégion | Lecture | |||
| DissociateAccessGrantsIdentityCenter | Octroie l'autorisation de dissocier le centre d'identité des autorisations d'accès. | Écrire | |||
| GetAccelerateConfiguration | Accorde l'autorisation d'utiliser la sous-ressource d'accélération pour renvoyer l'état Transfer Acceleration d'un compartiment, qui est Activé ou Suspendu | Lecture | |||
| GetAccessGrant | Octroie l'autorisation de lire une autorisation d'accès. | Lecture | |||
| GetAccessGrantsInstance | Octroie l'autorisation de lire une instance d'autorisations d'accès. | Lecture | |||
| GetAccessGrantsInstanceForPrefix | Octroie l'autorisation de lire une instance d'autorisations d'accès par préfixe. | Lecture | |||
| GetAccessGrantsInstanceResourcePolicy | Octroie l'autorisation de lire une politique de ressource d'instance d'autorisations d'accès. | Lecture | |||
| GetAccessGrantsLocation | Octroie l'autorisation de lire un emplacement d'autorisations d'accès. | Lecture | |||
| GetAccessPoint | Accorde l'autorisation de renvoyer des informations sur la configuration spécifiée. | Lecture | |||
| GetAccessPointConfigurationForObjectLambda | Accorde l'autorisation de récupérer la configuration du point d'accès activé Object Lambda | Lecture | |||
| GetAccessPointForObjectLambda | Accorde l'autorisation de créer un point d'accès activé Object Lambda | Lecture | |||
| GetAccessPointPolicy | Accorde l'autorisation de renvoyer la politique de point d'accès associée au point d'accès spécifié | Lecture | |||
| GetAccessPointPolicyForObjectLambda | Accorde l'autorisation de renvoyer la politique de point d'accès associée à l'objet spécifié (point d'accès activé par lambda) | Lecture | |||
| GetAccessPointPolicyStatus | Accorde l'autorisation de renvoyer l'état de la politique pour une politique de point d'accès spécifique | Lecture | |||
| GetAccessPointPolicyStatusForObjectLambda | Accorde l'autorisation de renvoyer le statut de la politique pour une politique de point d'accès Object Lambda spécifique | Lecture | |||
| GetAccountPublicAccessBlock | Accorde l'autorisation de récupérer la PublicAccessBlock configuration d'un Compte AWS | Lecture | |||
| GetAnalyticsConfiguration | Accorde l'autorisation d'obtenir une configuration analytique à partir d'un compartiment Amazon S3, identifié par l'ID de configuration analytique | Lecture | |||
| GetBucketAcl | Accorde l'autorisation d'utiliser la sous-ressource acl pour renvoyer la liste de contrôle d'accès (ACL) d'un compartiment Amazon S3 | Lecture | |||
| GetBucketCORS | Accorde l'autorisation de renvoyer l'ensemble d'informations de CORS configuration pour un compartiment Amazon S3 | Lecture | |||
| GetBucketLocation | Accorde l'autorisation de renvoyer la Région dans laquelle réside un compartiment Amazon S3 | Lecture | |||
| GetBucketLogging | Accorde l'autorisation de renvoyer l'état de journalisation d'un compartiment Amazon S3 et les autorisations dont disposent les utilisateurs pour afficher ou modifier cet état | Lecture | |||
| GetBucketNotification | Accorde l'autorisation d'obtenir la configuration de notification d'un compartiment Amazon S3 | Lecture | |||
| GetBucketObjectLockConfiguration | Accorde l'autorisation d'obtenir la configuration de verrouillage d'objet d'un compartiment Amazon S3 | Lecture | |||
| GetBucketOwnershipControls | Accorde l'autorisation de récupérer les contrôles de propriété sur un compartiment | Lecture | |||
| GetBucketPolicy | Accorde l'autorisation de renvoyer la politique du compartiment spécifié | Lecture | |||
| GetBucketPolicyStatus | Accorde l'autorisation de récupérer l'état de la politique pour un compartiment Amazon S3 spécifique, ce qui indique si le compartiment est public | Lecture | |||
| GetBucketPublicAccessBlock | Accorde l'autorisation de récupérer la PublicAccessBlock configuration d'un compartiment Amazon S3 | Lecture | |||
| GetBucketRequestPayment | Accorde l'autorisation de renvoyer la configuration de la demande de paiement pour un compartiment Amazon S3 | Lecture | |||
| GetBucketTagging | Accorde l'autorisation de renvoyer le jeu de identifications associé à un compartiment Amazon S3 | Lecture | |||
| GetBucketVersioning | Accorde l'autorisation de renvoyer l'état de contrôle de version d'un compartiment Amazon S3 | Lecture | |||
| GetBucketWebsite | Accorde l'autorisation de renvoyer la configuration du site web pour un compartiment Amazon S3 | Lecture | |||
| GetDataAccess | Octroie l'autorisation d'obtenir un accès. | Lecture | |||
| GetEncryptionConfiguration | Accorde l'autorisation de renvoyer la configuration de chiffrement par défaut pour un compartiment Amazon S3 | Lecture | |||
| GetIntelligentTieringConfiguration | Accorde l'autorisation d'obtenir ou de répertorier toute la configuration d'Amazon S3 Intelligent Tiering dans un compartiment S3 | Lecture | |||
| GetInventoryConfiguration | Accorde l'autorisation de renvoyer une configuration de stock à partir d'un compartiment Amazon S3, identifié par l'ID de configuration de stock | Lecture | |||
| GetJobTagging | Accorde l'autorisation de renvoyer le jeu de identifications d'une tâche d'opérations par lots Amazon S3 existante | Lecture | |||
| GetLifecycleConfiguration | Accorde l'autorisation de renvoyer les informations de configuration du cycle de vie définies sur un compartiment Amazon S3 | Lecture | |||
| GetMetricsConfiguration | Accorde l'autorisation d'obtenir une configuration de métriques à partir d'un compartiment Amazon S3 | Lecture | |||
| GetMultiRegionAccessPoint | Accorde l'autorisation de renvoyer des informations sur le point d'accès multirégion spécifié | Lecture | |||
| GetMultiRegionAccessPointPolicy | Accorde l'autorisation de renvoyer la politique de point d'accès associée au point d'accès multirégional spécifié | Lecture | |||
| GetMultiRegionAccessPointPolicyStatus | Accorde l'autorisation de renvoyer le statut de la politique pour une politique de point d'accès multirégion spécifique | Lecture | |||
| GetMultiRegionAccessPointRoutes | Accorde l'autorisation de renvoyer la configuration de route pour un point d'accès multirégion | Lecture | |||
| GetObject | Accorde l'autorisation de récupérer des objets à partir d'Amazon S3 | Lecture | |||
| GetObjectAcl | Accorde l'autorisation de renvoyer la liste de contrôle d'accès (ACL) d'un objet | Lecture | |||
| GetObjectAttributes | Accorde l'autorisation de récupérer les attributs associés à un objet spécifique. | Lecture | |||
| GetObjectLegalHold | Accorde l'autorisation d'obtenir le statut de blocage légal actuel d'un objet | Lecture | |||
| GetObjectRetention | Accorde l'autorisation de récupérer les paramètres de conservation d'un objet | Lecture | |||
| GetObjectTagging | Accorde l'autorisation de renvoyer le jeu de identifications d'un objet | Lecture | |||
| GetObjectTorrent | Accorde l'autorisation de renvoyer des fichiers torrent à partir d'un compartiment Amazon S3 | Lecture | |||
| GetObjectVersion | Accorde l'autorisation de récupérer une version spécifique d'un objet | Lecture | |||
| GetObjectVersionAcl | Accorde l'autorisation de renvoyer la liste de contrôle d'accès (ACL) d'une version d'objet spécifique | Lecture | |||
| GetObjectVersionAttributes | Accorde l'autorisation de récupérer les attributs associés à une version spécifique d'un objet. | Lecture | |||
| GetObjectVersionForReplication | Accorde l'autorisation de répliquer à la fois des objets non chiffrés et des objets chiffrés avec SSE -S3 ou - SSE KMS | Lecture | |||
| GetObjectVersionTagging | Accorde l'autorisation de renvoyer le jeu de identifications pour une version spécifique de l'objet | Read | |||
| GetObjectVersionTorrent | Accorde l'autorisation d'obtenir des fichiers Torrent relatifs à une version différente à l'aide de la versionId sous-ressource | Read | |||
| GetReplicationConfiguration | Accorde l'autorisation d'obtenir les informations de configuration de réplication définies sur un compartiment Amazon S3 | Lecture | |||
| GetStorageLensConfiguration | Accorde l'autorisation d'obtenir une configuration Amazon S3 Storage Lens | Lecture | |||
| GetStorageLensConfigurationTagging | Accorde l'autorisation d'obtenir un jeu de identifications d'une configuration Amazon S3 Storage Lens existante | Lecture | |||
| GetStorageLensDashboard | Accorde l'autorisation d'obtenir un tableau de bord Amazon S3 Storage Lens | Lecture | |||
| GetStorageLensGroup | Accorde l'autorisation d’obtenir un groupe Amazon S3 Storage Lens | Lecture | |||
| InitiateReplication [autorisation uniquement] | Accorde l'autorisation de lancer le processus de réplication en définissant l'état de réplication d'un objet sur En attente | Écrire | |||
| ListAccessGrants | Octroie l'autorisation de répertorier des autorisations d'accès. | Liste | |||
| ListAccessGrantsInstances | Octroie l'autorisation de répertorier des instances d'autorisations d'accès. | Liste | |||
| ListAccessGrantsLocations | Octroie l'autorisation de répertorier des emplacements d'autorisations d'accès. | Liste | |||
| ListAccessPoints | Accorde l'autorisation de répertorier les points d'accès | Liste | |||
| ListAccessPointsForObjectLambda | Accorde l'autorisation de répertorier des points d'accès activés Object Lambda | Liste | |||
| ListAllMyBuckets | Accorde l'autorisation de répertorier tous les compartiments appartenant à l'expéditeur authentifié de la demande | Liste | |||
| ListBucket | Accorde l'autorisation de répertorier tout ou partie des objets d'un compartiment Amazon S3 (jusqu'à 1 000) | Liste | |||
| ListBucketMultipartUploads | Accorde l'autorisation de répertorier les téléchargements en plusieurs parties en cours | Liste | |||
| ListBucketVersions | Accorde l'autorisation de répertorier les métadonnées sur toutes les versions d'objets d'un compartiment Amazon S3 | Liste | |||
| ListCallerAccessGrants | Accorde l'autorisation de répertorier l'autorisation d'accès de l'appelant | Liste | |||
| ListJobs | Accorde l'autorisation de répertorier les tâches en cours et les tâches terminées récemment | Liste | |||
| ListMultiRegionAccessPoints | Accorde l'autorisation de répertorier les points d'accès multirégion | Liste | |||
| ListMultipartUploadParts | Accorde l'autorisation de répertorier les articles qui ont été téléchargés pour un chargement en plusieurs parties spécifique | Liste | |||
| ListStorageLensConfigurations | Accorde l'autorisation de répertorier les configurations Amazon S3 Storage Lens | Liste | |||
| ListStorageLensGroups | Accorde l'autorisation de répertorier les groupes de cadre de stockage S3 | Liste | |||
| ListTagsForResource | Accorde l'autorisation de répertorier les balises qui sont attachées à la ressource spécifiée | Liste | |||
| ObjectOwnerOverrideToBucketOwner | Accorde l'autorisation de modifier la propriété de réplica | Gestion des autorisations | |||
| PauseReplication [autorisation uniquement] | Accorde l'autorisation de suspendre la réplication S3 des compartiments source cible vers les compartiments de destination | Écrire |
s3:GetReplicationConfiguration s3:PutReplicationConfiguration |
||
| PutAccelerateConfiguration | Accorde l'autorisation d'utiliser la sous-ressource d'accélération pour définir l'état Transfer Acceleration d'un compartiment S3 existant | Écrire | |||
| PutAccessGrantsInstanceResourcePolicy | Octroie l'autorisation de saisir une politique de ressource d'instance d'autorisations d'accès. | Écrire | |||
| PutAccessPointConfigurationForObjectLambda | Accorde l'autorisation de définir la configuration du point d'accès activé Object Lambda | Écriture | |||
| PutAccessPointPolicy | Accorde l'autorisation d'associer une politique d'accès à un point d'accès spécifié | Gestion des autorisations | |||
| PutAccessPointPolicyForObjectLambda | Accorde l'autorisation d'associer une politique d'accès à un point d'accès spécifié activé Object Lambda | Gestion des autorisations | |||
| PutAccessPointPublicAccessBlock | Accorde l'autorisation d'associer des configurations de blocs d'accès publics à un point d'accès spécifié, tout en créant un point d'accès | Gestion des autorisations | |||
| PutAccountPublicAccessBlock | Accorde l'autorisation de créer ou de modifier la PublicAccessBlock configuration d'un Compte AWS | Gestion des autorisations | |||
| PutAnalyticsConfiguration | Accorde l'autorisation de définir une configuration d'analyse pour le compartiment, spécifiée par l'ID de configuration d'analyse | Écrire | |||
| PutBucketAcl | Accorde l'autorisation de définir les autorisations sur un bucket existant à l'aide de listes de contrôle d'accès (ACLs) | Gestion des autorisations | |||
| PutBucketCORS | Accorde l'autorisation de définir la CORS configuration d'un compartiment Amazon S3 | Écrire | |||
| PutBucketLogging | Accorde l'autorisation de définir les paramètres de journalisation pour un compartiment Amazon S3 | Écriture | |||
| PutBucketNotification | Accorde l'autorisation de recevoir des notifications lorsque certains événements se produisent dans un compartiment Amazon S3 | Écriture | |||
| PutBucketObjectLockConfiguration | Accorde l'autorisation de placer la configuration de verrouillage d'objet sur un compartiment spécifique | Écrire | |||
| PutBucketOwnershipControls | Accorde l'autorisation d'ajouter, de remplacer ou de supprimer des contrôles de propriété sur un compartiment | Écrire | |||
| PutBucketPolicy | Accorde l'autorisation d'ajouter ou de remplacer une politique de compartiment sur un compartiment | Gestion des autorisations | |||
| PutBucketPublicAccessBlock | Accorde l'autorisation de créer ou de modifier la PublicAccessBlock configuration d'un compartiment Amazon S3 spécifique | Gestion des autorisations | |||
| PutBucketRequestPayment | Accorde l'autorisation de définir la configuration de demande de paiement d'un compartiment | Écriture | |||
| PutBucketTagging | Accorde l'autorisation d'ajouter un jeu de identifications à un compartiment Amazon S3 existant | Balisage | |||
| PutBucketVersioning | Accorde l'autorisation de définir l'état de contrôle de version d'un compartiment Amazon S3 existant | Écriture | |||
| PutBucketWebsite | Accorde l'autorisation de définir la configuration du site web qui est spécifié dans la sous-ressource website. | Écriture | |||
| PutEncryptionConfiguration | Accorde l'autorisation de définir la configuration de chiffrement pour un compartiment Amazon S3 | Écriture | |||
| PutIntelligentTieringConfiguration | Accorde l'autorisation de créer, de mettre à jour ou de supprimer une configuration existante d'Amazon S3 Intelligent Tiering | Écriture | |||
| PutInventoryConfiguration | Accorde l'autorisation d'ajouter une configuration de stock au compartiment, identifiée par l'ID de stock | Écriture | |||
| PutJobTagging | Accorde l'autorisation de remplacer des identifications sur une tâche d'opérations par lots Amazon S3 existante | Balisage | |||
| PutLifecycleConfiguration | Accorde l'autorisation de créer une nouvelle configuration de cycle de vie pour le compartiment ou de remplacer une configuration de cycle de vie existante | Écrire | |||
| PutMetricsConfiguration | Accorde l'autorisation de définir ou de mettre à jour une configuration de métriques pour les métriques de CloudWatch demande à partir d'un compartiment Amazon S3 | Écrire | |||
| PutMultiRegionAccessPointPolicy | Accorde l'autorisation d'associer une stratégie d'accès à un point d'accès multirégion spécifié | Gestion des autorisations | |||
| PutObject | Accorde l'autorisation d'ajouter un objet à un compartiment | Écrire | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| PutObjectAcl | Accorde l'autorisation de définir les autorisations de liste de contrôle d'accès (ACL) pour les objets nouveaux ou existants dans un compartiment S3 | Gestion des autorisations | |||
| PutObjectLegalHold | Accorde l'autorisation d'appliquer une configuration de blocage légal à l'objet spécifié | Écriture | |||
| PutObjectRetention | Accorde l'autorisation de placer une configuration de conservation d'objet sur un objet | Écriture | |||
| PutObjectTagging | Accorde l'autorisation de définir le jeu de identifications fourni sur un objet qui existe déjà dans un compartiment | Identification | |||
| PutObjectVersionAcl | Accorde l'autorisation d'utiliser la sous-ressource acl pour définir les autorisations de la liste de contrôle d'accès (ACL) pour un objet qui existe déjà dans un bucket | Gestion des autorisations | |||
| PutObjectVersionTagging | Accorde l'autorisation de définir le jeu de identifications fourni pour une version spécifique d'un objet | Balisage | |||
| PutReplicationConfiguration | Accorde l'autorisation de créer une nouvelle configuration de réplication ou de remplacer une configuration existante | Écriture |
iam:PassRole |
||
| PutStorageLensConfiguration | Accorde l'autorisation de créer ou de mettre à jour une configuration Amazon S3 Storage Lens | Écriture | |||
| PutStorageLensConfigurationTagging | Accorde l'autorisation de placer ou de remplacer des identifications sur une configuration Amazon S3 Storage Lens existante | Balisage | |||
| ReplicateDelete | Accorde l'autorisation de répliquer les marqueurs de suppression vers le compartiment de destination | Écriture | |||
| ReplicateObject | Accorde l'autorisation de répliquer des objets et des identifications d'objet vers le compartiment de destination | Écriture | |||
|
s3:x-amz-server-side-encryption |
|||||
| ReplicateTags | Accorde l'autorisation de répliquer les identifications d'objet vers le compartiment de destination | Balisage | |||
| RestoreObject | Accorde l'autorisation de restaurer une copie archivée d'un objet dans Amazon S3 | Écrire | |||
| SubmitMultiRegionAccessPointRoutes | Accorde l'autorisation de soumettre la mise à jour de la configuration de route pour un point d'accès multirégion | Écrire | |||
| TagResource | Accorde l'autorisation d'ajouter des balises à la ressource spécifiée | Identification | |||
| UntagResource | Accorde l'autorisation de supprimer les balises de la ressource spécifiée | Identification | |||
| UpdateAccessGrantsLocation | Octroie l'autorisation de mettre à jour un emplacement d'autorisations d'accès. | Écrire | |||
| UpdateJobPriority | Accorde l'autorisation de mettre à jour la priorité d'une tâche existante | Écriture | |||
| UpdateJobStatus | Accorde l'autorisation de mettre à jour l'état de la tâche spécifiée | Écrire | |||
| UpdateStorageLensGroup | Accorde l'autorisation de mettre à jour un groupe de cadre de stockage S3 existant | Écrire | |||
Types de ressources définis par Amazon S3
Les types de ressources suivants sont définis par ce service et peuvent être utilisés dans l'Resourceélément des déclarations de politique d'IAMautorisation. Chaque action du tableau Actions identifie les types de ressources pouvant être spécifiés avec cette action. Un type de ressource peut également définir les clés de condition que vous pouvez inclure dans une politique. Ces clés sont affichées dans la dernière colonne du tableau. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Types de ressources.
| Types de ressources | ARN | Clés de condition |
|---|---|---|
| accesspoint |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| object |
arn:${Partition}:s3:::${BucketName}/${ObjectName}
|
|
| job |
arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
|
|
| storagelensconfiguration |
arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}
|
|
| storagelensgroup |
arn:${Partition}:s3:${Region}:${Account}:storage-lens-group/${Name}
|
|
| objectlambdaaccesspoint |
arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| multiregionaccesspoint |
arn:${Partition}:s3::${Account}:accesspoint/${AccessPointAlias}
|
|
| multiregionaccesspointrequestarn |
arn:${Partition}:s3:us-west-2:${Account}:async-request/mrap/${Operation}/${Token}
|
|
| accessgrantsinstance |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default
|
|
| accessgrantslocation |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/location/${Token}
|
|
| accessgrant |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/grant/${Token}
|
Clés de condition pour Amazon S3
Amazon S3 définit les clés de condition suivantes qui peuvent être utilisées dans l'Conditionélément d'une IAM politique. Vous pouvez utiliser ces clés pour affiner les conditions d'application de la déclaration de politique. Pour plus de détails sur les colonnes du tableau suivant, veuillez consulter le tableau Clés de condition.
Pour afficher les clés de condition globales disponibles pour tous les services, consultez Clés de condition globales disponibles.
| Clés de condition | Description | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | Filtre l'accès en fonction des identifications transmises dans la demande | Chaîne |
| aws:ResourceTag/${TagKey} | Filtre l'accès en fonction des identifications associées à la ressource | Chaîne |
| aws:TagKeys | Filtre l'accès en fonction des clés d'identification qui sont transmises dans la demande | ArrayOfString |
| s3:AccessGrantsInstanceArn | Filtre l'accès par instance d'autorisations d'accès ARN | ARN |
| s3:AccessPointNetworkOrigin | Filtre l'accès en fonction de l'origine du réseau (Internet ouVPC) | Chaîne |
| s3:DataAccessPointAccount | Filtre l'accès en fonction de l'ID de AWS compte propriétaire du point d'accès | Chaîne |
| s3:DataAccessPointArn | Filtre l'accès par point d'accès Amazon Resource Name (ARN) | ARN |
| s3:ExistingJobOperation | Filtre l'accès en fonction de l'opération de mise à jour de la priorité de la tâche | Chaîne |
| s3:ExistingJobPriority | Filtre l'accès en fonction de la page de priorités pour l'annulation des tâches existantes | Numérique |
| s3:ExistingObjectTag/<key> | Filtre l'accès en fonction de la clé et de la valeur d'identification d'objet existantes | Chaîne |
| s3:InventoryAccessibleOptionalFields | Filtre l'accès en limitant les champs de métadonnées facultatifs qu'un utilisateur peut ajouter lors de la configuration des rapports d'inventaire S3 | ArrayOfString |
| s3:JobSuspendedCause | Filtre l'accès en fonction d'une cause spécifique de suspension d'une tâche (par exemple, AWAITING _CONFIRMATION) pour annuler une tâche suspendue | Chaîne |
| s3:ObjectCreationOperation | Filtre l'accès selon que l'opération crée ou non un objet | Booléen |
| s3:RequestJobOperation | Filtre l'accès en fonction de l'opération à la création de tâches | Chaîne |
| s3:RequestJobPriority | Filtre l'accès à la création de nouvelles tâches en fonction d'une plage de priorités | Numérique |
| s3:RequestObjectTag/<key> | Filtre l'accès en fonction des clés d'identification et des valeurs à ajouter aux objets | Chaîne |
| s3:RequestObjectTagKeys | Filtre l'accès en fonction des clés d'identification à ajouter aux objets | ArrayOfString |
| s3:ResourceAccount | Filtre l'accès en fonction de l' Compte AWS ID du propriétaire de la ressource | Chaîne |
| s3:TlsVersion | Filtre l'accès en fonction de la TLS version utilisée par le client | Numérique |
| s3:authType | Filtre l'accès en fonction de la méthode d'authentification | Chaîne |
| s3:delimiter | Filtre l'accès en fonction du paramètre de délimiteur | Chaîne |
| s3:destinationRegion | Filtre l'accès en fonction d'une région de destination de réplication spécifique pour les buckets ciblés de l' AWS FISaction aws:s3 : bucket-pause-replication | Chaîne |
| s3:if-match | Filtre l'accès en fonction de l'en-tête conditionnel « If-Match » de la demande | Chaîne |
| s3:if-none-match | Filtre l'accès en fonction de l'en-tête conditionnel « If-None-Match » de la demande | Chaîne |
| s3:isReplicationPauseRequest | Filtre l'accès en fonction des demandes effectuées via AWS FIS l'action aws:s3 : bucket-pause-replication | Booléen |
| s3:locationconstraint | Filtre l'accès en fonction d'une Région spécifique | Chaîne |
| s3:max-keys | Filtre l'accès en fonction du nombre maximum de clés renvoyées dans une ListBucket demande | Numérique |
| s3:object-lock-legal-hold | Filtre l'accès en fonction du statut de mise en suspens juridique de l'objet | Chaîne |
| s3:object-lock-mode | Filtre l'accès par mode de rétention des objets (COMPLIANCEouGOVERNANCE) | Chaîne |
| s3:object-lock-remaining-retention-days | Filtre l'accès en fonction du nombre de jours de conservation restants pour l'objet | Numérique |
| s3:object-lock-retain-until-date | Filtre l'accès en fonction de la date limite de conservation de l'objet | Date |
| s3:prefix | Filtre l'accès en fonction du préfixe de nom de clé | Chaîne |
| s3:signatureAge | Filtre l'accès en fonction de l'âge (en millisecondes) de la signature de la demande | Numérique |
| s3:signatureversion | Filtre l'accès en fonction de la version de AWS Signature utilisée dans la demande | Chaîne |
| s3:versionid | Filtre l'accès en fonction d'une version d'objet spécifique | Chaîne |
| s3:x-amz-acl | Filtre l'accès en le ACL scannant dans l' x-amz-aclen-tête de la demande | Chaîne |
| s3:x-amz-content-sha256 | Filtre l'accès au contenu non signé dans votre compartiment | Chaîne |
| s3:x-amz-copy-source | Filtre l'accès en fonction de la source de copie, du compartiment, du préfixe ou de l'objet dans les demandes de copie d'objet | Chaîne |
| s3:x-amz-grant-full-control | Filtre l'accès par x-amz-grant-full en-tête -control (contrôle total) | Chaîne |
| s3:x-amz-grant-read | Filtre l'accès par en-tête x-amz-grant-read (accès en lecture) | Chaîne |
| s3:x-amz-grant-read-acp | Filtre l'accès par l' x-amz-grant-readen-tête -acp (autorisations de lecture pour leACL) | Chaîne |
| s3:x-amz-grant-write | Filtre l'accès par l'en-tête x-amz-grant-write (accès en écriture) | Chaîne |
| s3:x-amz-grant-write-acp | Filtre l'accès par l' x-amz-grant-writeen-tête -acp (autorisations d'écriture pour leACL) | Chaîne |
| s3:x-amz-metadata-directive | Filtre l'accès en fonction du comportement des métadonnées des objets (COPYouREPLACE) lorsque des objets sont copiés | Chaîne |
| s3:x-amz-object-ownership | Filtre l'accès en fonction de la propriété de l'objet | Chaîne |
| s3:x-amz-server-side-encryption | Filtre l'accès en fonction du chiffrement côté serveur | Chaîne |
| s3:x-amz-server-side-encryption-aws-kms-key-id | Filtre l'accès par AWS KMS client géré CMK pour le chiffrement côté serveur | ARN |
| s3:x-amz-server-side-encryption-customer-algorithm | Filtre l'accès en fonction de l'algorithme spécifié par le client pour le chiffrement côté serveur | Chaîne |
| s3:x-amz-storage-class | Filtre l'accès en fonction de la classe de stockage. | Chaîne |
| s3:x-amz-website-redirect-location | Filtre l'accès en fonction de l'emplacement de redirection de site web spécifique pour les compartiments configurés en tant que sites web statiques | Chaîne |
