Operasi dan izin bucket Operasi dan izin objek Operasi dan izin titik akses Operasi dan izin Objek Lambda Access Point Operasi dan izin Jalur Akses Multi-Wilayah Operasi dan izin pekerjaan Batch Operasi dan izin konfigurasi Lensa Penyimpanan S3 S3 Storage Lens mengelompokkan operasi dan izin Operasi dan izin akun

Izin yang diperlukan untuk operasi Amazon API S3

catatan

Halaman ini berisi uraian tentang tindakan kebijakan Amazon S3 untuk bucket tujuan umum. Untuk mempelajari selengkapnya tentang tindakan kebijakan Amazon S3 untuk bucket direktori, lihat. Tindakan untuk ember direktori

Untuk melakukan API operasi S3, Anda harus memiliki izin yang tepat. Halaman ini memetakan API operasi S3 ke izin yang diperlukan. Untuk memberikan izin untuk melakukan API operasi S3, Anda harus membuat kebijakan yang valid (seperti kebijakan bucket S3 atau kebijakan IAM berbasis identitas), dan menentukan tindakan terkait dalam elemen kebijakan. Action Tindakan ini disebut tindakan kebijakan. Tidak setiap API operasi S3 diwakili oleh satu izin (satu tindakan kebijakan), dan beberapa izin (beberapa tindakan kebijakan) diperlukan untuk banyak operasi yang berbedaAPI.

Saat membuat kebijakan, Anda harus menentukan Resource elemen berdasarkan jenis sumber daya yang benar yang diperlukan oleh tindakan kebijakan Amazon S3 terkait. Halaman ini mengkategorikan izin untuk API operasi S3 berdasarkan jenis sumber daya. Untuk informasi selengkapnya tentang jenis sumber daya, lihat Jenis sumber daya yang ditentukan oleh Amazon S3 di Referensi Otorisasi Layanan. Untuk daftar lengkap tindakan kebijakan Amazon S3, sumber daya, dan kunci kondisi untuk digunakan dalam kebijakan, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon S3 di Referensi Otorisasi Layanan. Untuk daftar lengkap API operasi Amazon S3, lihat Tindakan Amazon API S3 di Referensi Layanan Penyimpanan Sederhana Amazon. API

Topik

Operasi dan izin bucket
Operasi dan izin objek
Operasi dan izin titik akses
Operasi dan izin Objek Lambda Access Point
Operasi dan izin Jalur Akses Multi-Wilayah
Operasi dan izin pekerjaan Batch
Operasi dan izin konfigurasi Lensa Penyimpanan S3
S3 Storage Lens mengelompokkan operasi dan izin
Operasi dan izin akun

Operasi bucket adalah operasi S3 API yang beroperasi pada tipe sumber daya bucket. Anda harus menentukan tindakan kebijakan S3 untuk operasi bucket dalam kebijakan bucket atau kebijakan IAM berbasis identitas.

Dalam kebijakan, Resource elemen harus berupa bucket Amazon Resource Name (ARN). Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi bucket.

catatan

Untuk memberikan izin ke operasi bucket dalam kebijakan jalur akses, perhatikan hal berikut:

Izin yang diberikan untuk operasi bucket dalam kebijakan jalur akses hanya efektif jika bucket yang mendasarinya mengizinkan izin yang sama. Saat menggunakan titik akses, Anda harus mendelegasikan kontrol akses dari bucket ke titik akses atau menambahkan izin yang sama dalam kebijakan titik akses ke kebijakan bucket yang mendasarinya.
Dalam kebijakan titik akses yang memberikan izin untuk operasi bucket, Resource elemen harus berupa. accesspoint ARN Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi bucket dalam kebijakan titik akses. Untuk informasi selengkapnya tentang kebijakan jalur akses, lihatMengkonfigurasi IAM kebijakan untuk menggunakan titik akses.
Tidak semua operasi bucket didukung oleh titik akses. Untuk informasi selengkapnya, lihat Kompatibilitas titik akses dengan operasi S3.

Berikut ini adalah pemetaan operasi bucket dan tindakan kebijakan yang diperlukan.

APIoperasi	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateBucket	(Diperlukan) `s3:CreateBucket`	Diperlukan untuk membuat bucket s3 baru.
	(Diperlukan secara kondisional) `s3:PutBucketAcl`	Diperlukan jika Anda ingin menggunakan access control list (ACL) untuk menentukan izin pada bucket saat Anda membuat `CreateBucket` permintaan.
	(Diperlukan secara kondisional)`s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`	Diperlukan jika Anda ingin mengaktifkan Object Lock saat membuat bucket.
	(Diperlukan secara kondisional) `s3:PutBucketOwnershipControls`	Diperlukan jika Anda ingin menentukan Kepemilikan Objek S3 saat Anda membuat bucket.
DeleteBucket	(Diperlukan) `s3:DeleteBucket`	Diperlukan untuk menghapus bucket S3.
DeleteBucketAnalyticsConfiguration	(Diperlukan) `s3:PutAnalyticsConfiguration`	Diperlukan untuk menghapus konfigurasi analitik S3 dari bucket S3.
DeleteBucketCors	(Diperlukan) `s3:PutBucketCORS`	Diperlukan untuk menghapus konfigurasi berbagi sumber daya lintas asal (CORS) untuk bucket.
DeleteBucketEncryption	(Diperlukan) `s3:PutEncryptionConfiguration`	Diperlukan untuk mengatur ulang konfigurasi enkripsi default untuk bucket S3 sebagai enkripsi sisi server dengan kunci terkelola Amazon S3 (-S3). SSE
DeleteBucketIntelligentTieringConfiguration	(Diperlukan) `s3:PutIntelligentTieringConfiguration`	Diperlukan untuk menghapus konfigurasi S3 Intelligent-Tiering yang ada dari bucket S3.
DeleteBucketInventoryConfiguration	(Diperlukan) `s3:PutInventoryConfiguration`	Diperlukan untuk menghapus konfigurasi S3 Inventory dari bucket S3.
DeleteBucketLifecycle	(Diperlukan) `s3:PutLifecycleConfiguration`	Diperlukan untuk menghapus konfigurasi Siklus Hidup S3 untuk bucket S3.
DeleteBucketMetricsConfiguration	(Diperlukan) `s3:PutMetricsConfiguration`	Diperlukan untuk menghapus konfigurasi metrik untuk metrik CloudWatch permintaan Amazon dari bucket S3.
DeleteBucketOwnershipControls	(Diperlukan) `s3:PutBucketOwnershipControls`	Diperlukan untuk menghapus pengaturan Object Ownership untuk bucket S3. Setelah penghapusan, pengaturan Object Ownership menjadi`Object writer`.
DeleteBucketPolicy	(Diperlukan) `s3:DeleteBucketPolicy`	Diperlukan untuk menghapus kebijakan bucket S3.
DeleteBucketReplication	(Diperlukan) `s3:PutReplicationConfiguration`	Diperlukan untuk menghapus konfigurasi replikasi bucket S3.
DeleteBucketTagging	(Diperlukan) `s3:PutBucketTagging`	Diperlukan untuk menghapus tag dari bucket S3.
DeleteBucketWebsite	(Diperlukan) `s3:DeleteBucketWebsite`	Diperlukan untuk menghapus konfigurasi situs web untuk bucket S3.
DeletePublicAccessBlock(Tingkat ember)	(Diperlukan) `s3:PutBucketPublicAccessBlock`	Diperlukan untuk menghapus konfigurasi blok akses publik untuk bucket S3.
GetBucketAccelerateConfiguration	(Diperlukan) `s3:GetAccelerateConfiguration`	Diperlukan untuk menggunakan subsumber daya akselerasi untuk mengembalikan status Amazon S3 Transfer Acceleration dari bucket, yang diaktifkan atau ditangguhkan.
GetBucketAcl	(Diperlukan) `s3:GetBucketAcl`	Diperlukan untuk mengembalikan daftar kontrol akses (ACL) bucket S3.
GetBucketAnalyticsConfiguration	(Diperlukan) `s3:GetAnalyticsConfiguration`	Diperlukan untuk mengembalikan konfigurasi analitik yang diidentifikasi oleh ID konfigurasi analitik dari bucket S3.
GetBucketCors	(Diperlukan) `s3:GetBucketCORS`	Diperlukan untuk mengembalikan konfigurasi berbagi sumber daya lintas asal (CORS) untuk bucket S3.
GetBucketEncryption	(Diperlukan) `s3:GetEncryptionConfiguration`	Diperlukan untuk mengembalikan konfigurasi enkripsi default untuk bucket S3.
GetBucketIntelligentTieringConfiguration	(Diperlukan) `s3:GetIntelligentTieringConfiguration`	Diperlukan untuk mendapatkan konfigurasi S3 Intelligent-Tiering dari bucket S3.
GetBucketInventoryConfiguration	(Diperlukan) `s3:GetInventoryConfiguration`	Diperlukan untuk mengembalikan konfigurasi inventaris yang diidentifikasi oleh ID konfigurasi inventaris dari bucket.
GetBucketLifecycle	(Diperlukan) `s3:GetLifecycleConfiguration`	Diperlukan untuk mengembalikan konfigurasi Siklus Hidup S3 bucket.
GetBucketLocation	(Diperlukan) `s3:GetBucketLocation`	Diperlukan untuk mengembalikan Wilayah AWS tempat ember S3 berada.
GetBucketLogging	(Diperlukan) `s3:GetBucketLogging`	Diperlukan untuk mengembalikan status logging bucket S3 dan izin yang dimiliki pengguna untuk melihat dan memodifikasi status tersebut.
GetBucketMetricsConfiguration	(Diperlukan) `s3:GetMetricsConfiguration`	Diperlukan untuk mendapatkan konfigurasi metrik yang ditentukan oleh ID konfigurasi metrik dari bucket.
GetBucketNotificationConfiguration	(Diperlukan) `s3:GetBucketNotification`	Diperlukan untuk mengembalikan konfigurasi notifikasi bucket S3.
GetBucketOwnershipControls	(Diperlukan) `s3:GetBucketOwnershipControls`	Diperlukan untuk mengambil pengaturan Object Ownership untuk bucket S3.
GetBucketPolicy	(Diperlukan) `s3:GetBucketPolicy`	Diperlukan untuk mengembalikan kebijakan bucket S3.
GetBucketPolicyStatus	(Diperlukan) `s3:GetBucketPolicyStatus`	Diperlukan untuk mengambil status kebijakan bucket S3, yang menunjukkan apakah bucket bersifat publik.
GetBucketReplication	(Diperlukan) `s3:GetReplicationConfiguration`	Diperlukan untuk mengembalikan konfigurasi replikasi bucket S3.
GetBucketRequestPayment	(Diperlukan) `s3:GetBucketRequestPayment`	Diperlukan untuk mengembalikan konfigurasi pembayaran permintaan untuk bucket S3.
GetBucketVersioning	(Diperlukan) `s3:GetBucketVersioning`	Diperlukan untuk mengembalikan status pembuatan versi bucket S3.
GetBucketTagging	(Diperlukan) `s3:GetBucketTagging`	Diperlukan untuk mengembalikan set tag yang terkait dengan bucket S3.
GetBucketWebsite	(Diperlukan) `s3:GetBucketWebsite`	Diperlukan untuk mengembalikan konfigurasi situs web untuk bucket S3.
GetObjectLockConfiguration	(Diperlukan) `s3:GetBucketObjectLockConfiguration`	Diperlukan untuk mendapatkan konfigurasi Object Lock untuk bucket S3.
GetPublicAccessBlock(Tingkat ember)	(Diperlukan) `s3:GetBucketPublicAccessBlock`	Diperlukan untuk mengambil konfigurasi akses publik blok untuk bucket S3.
HeadBucket	(Diperlukan) `s3:ListBucket`	Diperlukan untuk menentukan apakah ada bucket dan apakah Anda memiliki izin untuk mengaksesnya.
ListBucketAnalyticsConfigurations	(Diperlukan) `s3:GetAnalyticsConfiguration`	Diperlukan untuk membuat daftar konfigurasi analitik untuk bucket S3.
ListBucketIntelligentTieringConfigurations	(Diperlukan) `s3:GetIntelligentTieringConfiguration`	Diperlukan untuk membuat daftar konfigurasi S3 Intelligent-Tiering dari bucket S3.
ListBucketInventoryConfigurations	(Diperlukan) `s3:GetInventoryConfiguration`	Diperlukan untuk mengembalikan daftar konfigurasi inventaris untuk bucket S3.
ListBucketMetricsConfigurations	(Diperlukan) `s3:GetMetricsConfiguration`	Diperlukan untuk membuat daftar konfigurasi metrik untuk bucket S3.
ListObjects	(Diperlukan) `s3:ListBucket`	Diperlukan untuk mencantumkan beberapa atau semua (hingga 1.000) objek dalam ember S3.
	(Diperlukan secara kondisional) `s3:GetObjectAcl`	Diperlukan jika Anda ingin menampilkan informasi pemilik objek.
ListObjectsV2	(Diperlukan) `s3:ListBucket`	Diperlukan untuk mencantumkan beberapa atau semua (hingga 1.000) objek dalam ember S3.
	(Diperlukan secara kondisional) `s3:GetObjectAcl`	Diperlukan jika Anda ingin menampilkan informasi pemilik objek.
ListObjectVersions	(Diperlukan) `s3:ListBucketVersions`	Diperlukan untuk mendapatkan metadata tentang semua versi objek dalam bucket S3.
PutBucketAccelerateConfiguration	(Diperlukan) `s3:PutAccelerateConfiguration`	Diperlukan untuk mengatur konfigurasi percepatan bucket yang ada.
PutBucketAcl	(Diperlukan) `s3:PutBucketAcl`	Diperlukan untuk menggunakan daftar kontrol akses (ACLs) untuk menyetel izin pada bucket yang ada.
PutBucketAnalyticsConfiguration	(Diperlukan) `s3:PutAnalyticsConfiguration`	Diperlukan untuk mengatur konfigurasi analitik untuk bucket S3.
PutBucketCors	(Diperlukan) `s3:PutBucketCORS`	Diperlukan untuk menyetel konfigurasi berbagi sumber daya lintas asal (CORS) untuk bucket S3.
PutBucketEncryption	(Diperlukan) `s3:PutEncryptionConfiguration`	Diperlukan untuk mengonfigurasi enkripsi default untuk bucket S3.
PutBucketIntelligentTieringConfiguration	(Diperlukan) `s3:PutIntelligentTieringConfiguration`	Diperlukan untuk menempatkan konfigurasi S3 Intelligent-Tiering ke bucket S3.
PutBucketInventoryConfiguration	(Diperlukan) `s3:PutInventoryConfiguration`	Diperlukan untuk menambahkan konfigurasi inventaris ke bucket S3.
PutBucketLifecycle	(Diperlukan) `s3:PutLifecycleConfiguration`	Diperlukan untuk membuat konfigurasi Siklus Hidup S3 baru atau mengganti konfigurasi siklus hidup yang ada untuk bucket S3.
PutBucketLogging	(Diperlukan) `s3:PutBucketLogging`	Diperlukan untuk mengatur parameter logging untuk bucket S3 dan menentukan izin untuk siapa yang dapat melihat dan memodifikasi parameter logging.
PutBucketMetricsConfiguration	(Diperlukan) `s3:PutMetricsConfiguration`	Diperlukan untuk menyetel atau memperbarui konfigurasi metrik untuk metrik CloudWatch permintaan Amazon dari bucket S3.
PutBucketNotificationConfiguration	(Diperlukan) `s3:PutBucketNotification`	Diperlukan untuk mengaktifkan pemberitahuan peristiwa tertentu untuk bucket S3.
PutBucketOwnershipControls	(Diperlukan) `s3:PutBucketOwnershipControls`	Diperlukan untuk membuat atau memodifikasi pengaturan Object Ownership untuk bucket S3.
PutBucketPolicy	(Diperlukan) `s3:PutBucketPolicy`	Diperlukan untuk menerapkan kebijakan bucket S3 ke bucket.
PutBucketReplication	(Diperlukan) `s3:PutReplicationConfiguration`	Diperlukan untuk membuat konfigurasi replikasi baru atau mengganti yang sudah ada untuk bucket S3.
PutBucketRequestPayment	(Diperlukan) `s3:PutBucketRequestPayment`	Diperlukan untuk mengatur konfigurasi pembayaran permintaan untuk ember.
PutBucketTagging	(Diperlukan) `s3:PutBucketTagging`	Diperlukan untuk menambahkan satu set tag ke bucket S3.
PutBucketVersioning	(Diperlukan) `s3:PutBucketVersioning`	Diperlukan untuk mengatur status pembuatan versi bucket S3.
PutBucketWebsite	(Diperlukan) `s3:PutBucketWebsite`	Diperlukan untuk mengkonfigurasi bucket sebagai situs web dan mengatur konfigurasi situs web.
PutObjectLockConfiguration	(Diperlukan) `s3:PutBucketObjectLockConfiguration`	Diperlukan untuk menempatkan konfigurasi Object Lock pada bucket S3.
PutPublicAccessBlock(Tingkat ember)	(Diperlukan) `s3:PutBucketPublicAccessBlock`	Diperlukan untuk membuat atau memodifikasi konfigurasi blokir akses publik untuk bucket S3.

Operasi objek adalah operasi S3 API yang beroperasi pada jenis sumber daya objek. Anda harus menentukan tindakan kebijakan S3 untuk operasi objek dalam kebijakan berbasis sumber daya (seperti kebijakan bucket, kebijakan titik akses, kebijakan Titik Akses Multi-Wilayah, kebijakan titik VPC akhir) atau kebijakan berbasis identitas. IAM

Dalam kebijakan, Resource elemen harus menjadi objekARN. Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi objek.

catatan

AWS KMS tindakan kebijakan (kms:GenerateDataKeydankms:Decrypt) hanya berlaku untuk jenis AWS KMS sumber daya dan harus ditentukan dalam kebijakan berbasis IAM identitas dan kebijakan berbasis AWS KMS sumber daya (kebijakan utama).AWS KMS Anda tidak dapat menentukan tindakan AWS KMS kebijakan dalam kebijakan berbasis sumber daya S3, seperti kebijakan bucket S3.
Saat Anda menggunakan titik akses untuk mengontrol akses ke operasi objek, Anda dapat menggunakan kebijakan titik akses. Untuk memberikan izin ke operasi objek dalam kebijakan jalur akses, perhatikan hal berikut:
- Dalam kebijakan titik akses yang memberikan izin untuk operasi objek, Resource elemen harus ARNs untuk objek yang diakses melalui titik akses. Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi objek dalam kebijakan titik akses.
- Tidak semua operasi objek didukung oleh titik akses. Untuk informasi selengkapnya, lihat Kompatibilitas titik akses dengan operasi S3.
Tidak semua operasi objek didukung oleh Titik Akses Multi-Wilayah. Untuk informasi selengkapnya, lihat Kompatibilitas Titik Akses Multi-Wilayah dengan operasi S3.

Berikut ini adalah pemetaan operasi objek dan tindakan kebijakan yang diperlukan.

APIoperasi	Tindakan kebijakan	Deskripsi tindakan kebijakan
AbortMultipartUpload	(Diperlukan) `s3:AbortMultipartUpload`	Diperlukan untuk membatalkan unggahan multipart.
CompleteMultipartUpload	(Diperlukan) `s3:PutObject`	Diperlukan untuk menyelesaikan unggahan multipart.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin menyelesaikan unggahan multipart untuk objek terenkripsi kunci yang dikelola AWS KMS pelanggan.
CopyObject	Untuk objek sumber:	Untuk objek sumber:
	(Diperlukan) Salah satu `s3:GetObject` atau `s3:GetObjectVersion`	`s3:GetObject`— Diperlukan jika Anda ingin menyalin objek dari bucket sumber tanpa menentukan `versionId` permintaan. `s3:GetObjectVersion`— Diperlukan jika Anda ingin menyalin versi objek tertentu dari bucket sumber dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin menyalin objek terenkripsi kunci terkelola AWS KMS pelanggan dari bucket sumber.
	Untuk objek tujuan:	Untuk objek tujuan:
	(Diperlukan) `s3:PutObject`	Diperlukan untuk meletakkan objek yang disalin di ember tujuan.
	(Diperlukan secara kondisional) `s3:PutObjectAcl`	Diperlukan jika Anda ingin meletakkan objek yang disalin dengan daftar kontrol akses objek (ACL) ke bucket tujuan saat Anda membuat `CopyObject` permintaan.
	(Diperlukan secara kondisional) `s3:PutObjectTagging`	Diperlukan jika Anda ingin meletakkan objek yang disalin dengan penandaan objek ke bucket tujuan saat Anda membuat `CopyObject` permintaan.
	(Diperlukan secara kondisional) `kms:GenerateDataKey`	Diperlukan jika Anda ingin mengenkripsi objek yang disalin dengan kunci yang dikelola AWS KMS pelanggan dan memasukkannya ke bucket tujuan.
	(Diperlukan secara kondisional) `s3:PutObjectRetention`	Diperlukan jika Anda ingin mengatur konfigurasi retensi Object Lock untuk objek baru.
	(Diperlukan secara kondisional) `s3:PutObjectLegalHold`	Diperlukan jika Anda ingin menempatkan penahanan hukum Object Lock pada objek baru.
CreateMultipartUpload	(Diperlukan) `s3:PutObject`	Diperlukan untuk membuat unggahan multipart.
	(Diperlukan secara kondisional) `s3:PutObjectAcl`	Diperlukan jika Anda ingin mengatur izin daftar kontrol akses objek (ACL) untuk objek yang diunggah.
	(Diperlukan secara kondisional) `s3:PutObjectTagging`	Diperlukan jika Anda ingin menambahkan penandaan objek ke objek yang diunggah.
	(Diperlukan secara kondisional) `kms:GenerateDataKey`	Diperlukan jika Anda ingin menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi objek saat Anda memulai unggahan multibagian.
	(Diperlukan secara kondisional) `s3:PutObjectRetention`	Diperlukan jika Anda ingin mengatur konfigurasi retensi Object Lock untuk objek yang diunggah.
	(Diperlukan secara kondisional) `s3:PutObjectLegalHold`	Diperlukan jika Anda ingin menerapkan penahanan hukum Object Lock ke objek yang diunggah.
DeleteObject	(Diperlukan) Salah satu `s3:DeleteObject` atau `s3:DeleteObjectVersion`	`s3:DeleteObject`— Diperlukan jika Anda ingin menghapus objek tanpa menentukan `versionId` dalam permintaan. `s3:DeleteObjectVersion`— Diperlukan jika Anda ingin menghapus versi tertentu dari suatu objek dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `s3:BypassGovernanceRetention`	Diperlukan jika Anda ingin menghapus objek yang dilindungi oleh mode tata kelola untuk retensi Object Lock.
DeleteObjects	(Diperlukan) Salah satu `s3:DeleteObject` atau `s3:DeleteObjectVersion`	`s3:DeleteObject`— Diperlukan jika Anda ingin menghapus objek tanpa menentukan `versionId` dalam permintaan. `s3:DeleteObjectVersion`— Diperlukan jika Anda ingin menghapus versi tertentu dari suatu objek dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `s3:BypassGovernanceRetention`	Diperlukan jika Anda ingin menghapus objek yang dilindungi oleh modus tata kelola untuk retensi Object Lock.
DeleteObjectTagging	(Diperlukan) Salah satu `s3:DeleteObjectTagging` atau `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging`— Diperlukan jika Anda ingin menghapus seluruh kumpulan tag objek tanpa menentukan `versionId` dalam permintaan. `s3:DeleteObjectVersionTagging`— Diperlukan jika Anda ingin menghapus tag dari versi objek tertentu dengan menentukan `versionId` dalam permintaan.
GetObject	(Diperlukan) Salah satu `s3:GetObject` atau `s3:GetObjectVersion`	`s3:GetObject`— Diperlukan jika Anda ingin mendapatkan objek tanpa menentukan `versionId` dalam permintaan. `s3:GetObjectVersion`— Diperlukan jika Anda ingin mendapatkan versi tertentu dari suatu objek dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin mendapatkan dan mendekripsi objek terenkripsi kunci yang dikelola AWS KMS pelanggan.
	(Diperlukan secara kondisional) `s3:GetObjectTagging`	Diperlukan jika Anda ingin mendapatkan tag-set objek saat Anda membuat `GetObject` permintaan.
	(Diperlukan secara kondisional) `s3:GetObjectLegalHold`	Diperlukan jika Anda ingin mendapatkan status penahanan hukum Object Lock objek saat ini.
	(Diperlukan secara kondisional) `s3:GetObjectRetention`	Diperlukan jika Anda ingin mengambil pengaturan retensi Object Lock untuk objek.
GetObjectAcl	(Diperlukan) Salah satu `s3:GetObjectAcl` atau `s3:GetObjectVersionAcl`	`s3:GetObjectAcl`— Diperlukan jika Anda ingin mendapatkan daftar kontrol akses (ACL) dari suatu objek tanpa menentukan `versionId` dalam permintaan. `s3:GetObjectVersionAcl`— Diperlukan jika Anda ingin mendapatkan daftar kontrol akses (ACL) dari suatu objek dengan menentukan `versionId` dalam permintaan.
GetObjectAttributes	(Diperlukan) Salah satu `s3:GetObject` atau `s3:GetObjectVersion`	`s3:GetObject`— Diperlukan jika Anda ingin mengambil atribut yang terkait dengan objek tanpa menentukan `versionId` dalam permintaan. `s3:GetObjectVersion`— Diperlukan jika Anda ingin mengambil atribut yang terkait dengan versi objek tertentu dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin mengambil atribut yang terkait dengan objek terenkripsi kunci yang dikelola AWS KMS pelanggan.
GetObjectLegalHold	(Diperlukan) `s3:GetObjectLegalHold`	Diperlukan untuk mendapatkan status penahanan hukum Object Lock objek saat ini.
GetObjectRetention	(Diperlukan) `s3:GetObjectRetention`	Diperlukan untuk mengambil pengaturan retensi Object Lock untuk objek.
GetObjectTagging	(Diperlukan) Salah satu `s3:GetObjectTagging` atau `s3:GetObjectVersionTagging`	`s3:GetObjectTagging`— Diperlukan jika Anda ingin mendapatkan set tag objek tanpa menentukan `versionId` dalam permintaan. `s3:GetObjectVersionTagging`— Diperlukan jika Anda ingin mendapatkan tag dari versi objek tertentu dengan menentukan `versionId` dalam permintaan.
GetObjectTorrent	(Diperlukan) `s3:GetObject`	Diperlukan untuk mengembalikan file torrent dari suatu objek.
HeadObject	(Diperlukan) `s3:GetObject`	Diperlukan untuk mengambil metadata dari objek tanpa mengembalikan objek itu sendiri.
	(Diperlukan secara kondisional) `s3:GetObjectLegalHold`	Diperlukan jika Anda ingin mendapatkan status penahanan hukum Object Lock objek saat ini.
	(Diperlukan secara kondisional) `s3:GetObjectRetention`	Diperlukan jika Anda ingin mengambil pengaturan retensi Object Lock untuk objek.
ListMultipartUploads	(Diperlukan) `s3:ListBucketMultipartUploads`	Diperlukan untuk mencantumkan unggahan multipart yang sedang berlangsung dalam bucket.
ListParts	(Diperlukan) `s3:ListMultipartUploadParts`	Diperlukan untuk membuat daftar bagian yang telah diunggah untuk unggahan multibagian tertentu.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin membuat daftar bagian dari unggahan multibagian kunci terenkripsi yang dikelola AWS KMS pelanggan.
PutObject	(Diperlukan) `s3:PutObject`	Diperlukan untuk meletakkan objek.
	(Diperlukan secara kondisional) `s3:PutObjectAcl`	Diperlukan jika Anda ingin menempatkan daftar kontrol akses objek (ACL) saat Anda membuat `PutObject` permintaan.
	(Diperlukan secara kondisional) `s3:PutObjectTagging`	Diperlukan jika Anda ingin menempatkan penandaan objek saat Anda membuat `PutObject` permintaan.
	(Diperlukan secara kondisional) `kms:GenerateDataKey`	Diperlukan jika Anda ingin mengenkripsi objek dengan kunci yang dikelola AWS KMS pelanggan.
	(Diperlukan secara kondisional) `s3:PutObjectRetention`	Diperlukan jika Anda ingin mengatur konfigurasi retensi Object Lock pada objek.
	(Diperlukan secara kondisional) `s3:PutObjectLegalHold`	Diperlukan jika Anda ingin menerapkan konfigurasi penahanan hukum Object Lock ke objek tertentu.
PutObjectAcl	(Diperlukan) Salah satu `s3:PutObjectAcl` atau `s3:PutObjectVersionAcl`	`s3:PutObjectAcl`— Diperlukan jika Anda ingin mengatur akses kontrol daftar (ACL) izin untuk objek baru atau yang sudah ada tanpa menentukan `versionId` dalam permintaan. `s3:PutObjectVersionAcl`— Diperlukan jika Anda ingin mengatur akses kontrol daftar (ACL) izin untuk objek baru atau yang sudah ada dengan menentukan `versionId` dalam permintaan.
PutObjectLegalHold	(Diperlukan) `s3:PutObjectLegalHold`	Diperlukan untuk menerapkan konfigurasi penahanan legal Object Lock ke objek.
PutObjectRetention	(Diperlukan) `s3:PutObjectRetention`	Diperlukan untuk menerapkan konfigurasi retensi Object Lock ke objek.
	(Diperlukan secara kondisional) `s3:BypassGovernanceRetention`	Diperlukan jika Anda ingin melewati mode tata kelola konfigurasi retensi Object Lock.
PutObjectTagging	(Diperlukan) Salah satu `s3:PutObjectTagging` atau `s3:PutObjectVersionTagging`	`s3:PutObjectTagging`— Diperlukan jika Anda ingin menyetel set tag yang disediakan ke objek yang sudah ada di bucket tanpa menentukan `versionId` permintaan. `s3:PutObjectVersionTagging`— Diperlukan jika Anda ingin menyetel set tag yang disediakan ke objek yang sudah ada di bucket dengan menentukan `versionId` dalam permintaan.
RestoreObject	(Diperlukan) `s3:RestoreObject`	Diperlukan untuk mengembalikan salinan objek yang diarsipkan.
SelectObjectContent	(Diperlukan) `s3:GetObject`	Diperlukan untuk memfilter isi objek S3 berdasarkan pernyataan bahasa kueri terstruktur sederhana (SQL).
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin memfilter konten objek S3 yang dienkripsi dengan kunci yang dikelola AWS KMS pelanggan.
UploadPart	(Diperlukan) `s3:PutObject`	Diperlukan untuk mengunggah bagian dalam unggahan multibagian.
	(Diperlukan secara kondisional) `kms:GenerateDataKey`	Diperlukan jika Anda ingin meletakkan bagian unggahan dan mengenkripsi dengan kunci yang dikelola AWS KMS pelanggan.
UploadPartCopy	Untuk objek sumber:	Untuk objek sumber:
	(Diperlukan) Salah satu `s3:GetObject` atau `s3:GetObjectVersion`	`s3:GetObject`— Diperlukan jika Anda ingin menyalin objek dari bucket sumber tanpa menentukan `versionId` permintaan. `s3:GetObjectVersion`— Diperlukan jika Anda ingin menyalin versi objek tertentu dari bucket sumber dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin menyalin objek terenkripsi kunci terkelola AWS KMS pelanggan dari bucket sumber.
	Untuk bagian tujuan:	Untuk bagian tujuan:
	(Diperlukan) `s3:PutObject`	Diperlukan untuk mengunggah bagian unggahan multibagian ke bucket tujuan.
	(Diperlukan secara kondisional) `kms:GenerateDataKey`	Diperlukan jika Anda ingin mengenkripsi bagian dengan kunci terkelola AWS KMS pelanggan saat Anda mengunggah bagian tersebut ke bucket tujuan.

Operasi titik akses adalah operasi S3 API yang beroperasi pada jenis accesspoint sumber daya. Anda harus menentukan tindakan kebijakan S3 untuk operasi titik akses dalam kebijakan IAM berbasis identitas, bukan dalam kebijakan bucket atau kebijakan titik akses.

Dalam kebijakan, Resource elemen harus menjadi accesspointARN. Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi titik akses.

catatan

Jika Anda ingin menggunakan titik akses untuk mengontrol akses ke operasi bucket atau objek, perhatikan hal berikut:

Untuk menggunakan titik akses untuk mengontrol akses ke operasi bucket, lihatOperasi bucket dalam kebijakan titik akses.
Untuk menggunakan titik akses untuk mengontrol akses ke operasi objek, lihatOperasi objek dalam kebijakan titik akses.
Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan titik akses, lihatMengkonfigurasi IAM kebijakan untuk menggunakan titik akses.

Berikut ini adalah pemetaan operasi titik akses dan tindakan kebijakan yang diperlukan.

APIoperasi	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateAccessPoint	(Diperlukan) `s3:CreateAccessPoint`	Diperlukan untuk membuat titik akses yang terkait dengan bucket S3.
DeleteAccessPoint	(Diperlukan) `s3:DeleteAccessPoint`	Diperlukan untuk menghapus titik akses.
DeleteAccessPointPolicy	(Diperlukan) `s3:DeleteAccessPointPolicy`	Diperlukan untuk menghapus kebijakan titik akses.
GetAccessPointPolicy	(Diperlukan) `s3:GetAccessPointPolicy`	Diperlukan untuk mengambil kebijakan jalur akses.
GetAccessPointPolicyStatus	(Diperlukan) `s3:GetAccessPointPolicyStatus`	Diperlukan untuk mengambil informasi apakah titik akses yang ditentukan saat ini memiliki kebijakan yang memungkinkan akses publik.
PutAccessPointPolicy	(Diperlukan) `s3:PutAccessPointPolicy`	Diperlukan untuk menempatkan kebijakan titik akses.

Operasi Objek Lambda Access Point adalah operasi S3 API yang beroperasi pada jenis sumber daya. objectlambdaaccesspoint Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan untuk operasi Titik Akses Objek Lambda, lihat. Mengkonfigurasi IAM kebijakan untuk Titik Akses Objek Lambda

Berikut ini adalah pemetaan operasi Object Lambda Access Point dan tindakan kebijakan yang diperlukan.

APIoperasi	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateAccessPointForObjectLambda	(Diperlukan) `s3:CreateAccessPointForObjectLambda`	Diperlukan untuk membuat Object Lambda Access Point.
DeleteAccessPointForObjectLambda	(Diperlukan) `s3:DeleteAccessPointForObjectLambda`	Diperlukan untuk menghapus Titik Akses Objek Lambda tertentu.
DeleteAccessPointPolicyForObjectLambda	(Diperlukan) `s3:DeleteAccessPointPolicyForObjectLambda`	Diperlukan untuk menghapus kebijakan pada Titik Akses Lambda Objek tertentu.
GetAccessPointConfigurationForObjectLambda	(Diperlukan) `s3:GetAccessPointConfigurationForObjectLambda`	Diperlukan untuk mengambil konfigurasi Object Lambda Access Point.
GetAccessPointForObjectLambda	(Diperlukan) `s3:GetAccessPointForObjectLambda`	Diperlukan untuk mengambil informasi tentang Object Lambda Access Point.
GetAccessPointPolicyForObjectLambda	(Diperlukan) `s3:GetAccessPointPolicyForObjectLambda`	Diperlukan untuk mengembalikan kebijakan titik akses yang terkait dengan Titik Akses Objek Lambda yang ditentukan.
GetAccessPointPolicyStatusForObjectLambda	(Diperlukan) `s3:GetAccessPointPolicyStatusForObjectLambda`	Diperlukan untuk mengembalikan status kebijakan untuk kebijakan Titik Akses Objek Lambda tertentu.
PutAccessPointConfigurationForObjectLambda	(Diperlukan) `s3:PutAccessPointConfigurationForObjectLambda`	Diperlukan untuk mengatur konfigurasi Object Lambda Access Point.
PutAccessPointPolicyForObjectLambda	(Diperlukan) `s3:PutAccessPointPolicyForObjectLambda`	Diperlukan untuk mengaitkan kebijakan akses dengan Titik Akses Objek Lambda tertentu.

Operasi Titik Akses Multi-Region adalah operasi S3 API yang beroperasi pada jenis multiregionaccesspoint sumber daya. Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan untuk operasi Titik Akses Multi-Wilayah, lihatContoh kebijakan Titik Akses Multi-Wilayah.

Berikut ini adalah pemetaan operasi Titik Akses Multi-Wilayah dan tindakan kebijakan yang diperlukan.

APIoperasi	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateMultiRegionAccessPoint	(Diperlukan) `s3:CreateMultiRegionAccessPoint`	Diperlukan untuk membuat Titik Akses Multi-Wilayah dan mengaitkannya dengan bucket S3.
DeleteMultiRegionAccessPoint	(Diperlukan) `s3:DeleteMultiRegionAccessPoint`	Diperlukan untuk menghapus Titik Akses Multi-Wilayah.
DescribeMultiRegionAccessPointOperation	(Diperlukan) `s3:DescribeMultiRegionAccessPointOperation`	Diperlukan untuk mengambil status permintaan asinkron untuk mengelola Titik Akses Multi-Wilayah.
GetMultiRegionAccessPoint	(Diperlukan) `s3:GetMultiRegionAccessPoint`	Diperlukan untuk mengembalikan informasi konfigurasi tentang Titik Akses Multi-Wilayah yang ditentukan.
GetMultiRegionAccessPointPolicy	(Diperlukan) `s3:GetMultiRegionAccessPointPolicy`	Diperlukan untuk mengembalikan kebijakan kontrol akses dari Titik Akses Multi-Wilayah yang ditentukan.
GetMultiRegionAccessPointPolicyStatus	(Diperlukan) `s3:GetMultiRegionAccessPointPolicyStatus`	Diperlukan untuk mengembalikan status kebijakan untuk Titik Akses Multi-Wilayah tertentu tentang apakah Titik Akses Multi-Wilayah yang ditentukan memiliki kebijakan kontrol akses yang memungkinkan akses publik.
GetMultiRegionAccessPointRoutes	(Diperlukan) `s3:GetMultiRegionAccessPointRoutes`	Diperlukan untuk mengembalikan konfigurasi routing untuk Titik Akses Multi-Wilayah.
PutMultiRegionAccessPointPolicy	(Diperlukan) `s3:PutMultiRegionAccessPointPolicy`	Diperlukan untuk memperbarui kebijakan kontrol akses dari Titik Akses Multi-Wilayah yang ditentukan.
SubmitMultiRegionAccessPointRoutes	(Diperlukan) `s3:SubmitMultiRegionAccessPointRoutes`	Diperlukan untuk mengirimkan konfigurasi rute yang diperbarui untuk Titik Akses Multi-Wilayah.

Operasi pekerjaan (Batch Operations) adalah API operasi S3 yang beroperasi pada jenis job sumber daya. Anda harus menentukan tindakan kebijakan S3 untuk operasi pekerjaan dalam kebijakan IAM berbasis identitas, bukan dalam kebijakan bucket.

Dalam kebijakan, Resource elemen harus menjadi jobARN. Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi pekerjaan Batch.

Berikut ini adalah pemetaan operasi pekerjaan batch dan tindakan kebijakan yang diperlukan.

APIoperasi	Tindakan kebijakan	Deskripsi tindakan kebijakan
DeleteJobTagging	(Diperlukan) `s3:DeleteJobTagging`	Diperlukan untuk menghapus tag dari pekerjaan Operasi Batch S3 yang ada.
DescribeJob	(Diperlukan) `s3:DescribeJob`	Diperlukan untuk mengambil parameter konfigurasi dan status untuk pekerjaan Operasi Batch.
GetJobTagging	(Diperlukan) `s3:GetJobTagging`	Diperlukan untuk mengembalikan kumpulan tag dari pekerjaan Operasi Batch S3 yang ada.
PutJobTagging	(Diperlukan) `s3:PutJobTagging`	Diperlukan untuk menempatkan atau mengganti tag pada pekerjaan Operasi Batch S3 yang ada.
UpdateJobPriority	(Diperlukan) `s3:UpdateJobPriority`	Diperlukan untuk memperbarui prioritas pekerjaan yang ada.
UpdateJobStatus	(Diperlukan) `s3:UpdateJobStatus`	Diperlukan untuk memperbarui status untuk pekerjaan yang ditentukan.

Operasi konfigurasi Lensa Penyimpanan S3 adalah operasi S3 API yang beroperasi pada jenis storagelensconfiguration sumber daya. Untuk informasi selengkapnya tentang cara mengonfigurasi operasi konfigurasi Lensa Penyimpanan S3, lihatMenyetel izin Lensa Penyimpanan Amazon S3.

Berikut ini adalah pemetaan operasi konfigurasi Lensa Penyimpanan S3 dan tindakan kebijakan yang diperlukan.

APIoperasi	Tindakan kebijakan	Deskripsi tindakan kebijakan
DeleteStorageLensConfiguration	(Diperlukan) `s3:DeleteStorageLensConfiguration`	Diperlukan untuk menghapus konfigurasi Lensa Penyimpanan S3.
DeleteStorageLensConfigurationTagging	(Diperlukan) `s3:DeleteStorageLensConfigurationTagging`	Diperlukan untuk menghapus tag konfigurasi Lensa Penyimpanan S3.
GetStorageLensConfiguration	(Diperlukan) `s3:GetStorageLensConfiguration`	Diperlukan untuk mendapatkan konfigurasi Lensa Penyimpanan S3.
GetStorageLensConfigurationTagging	(Diperlukan) `s3:GetStorageLensConfigurationTagging`	Diperlukan untuk mendapatkan tag konfigurasi Lensa Penyimpanan S3.
PutStorageLensConfigurationTagging	(Diperlukan) `s3:PutStorageLensConfigurationTagging`	Diperlukan untuk meletakkan atau mengganti tag pada konfigurasi Lensa Penyimpanan S3 yang ada.

Operasi grup Lensa Penyimpanan S3 adalah operasi S3 API yang beroperasi pada jenis storagelensgroup sumber daya. Untuk informasi selengkapnya tentang cara mengonfigurasi izin grup Lensa Penyimpanan S3, lihat. Izin grup Lensa Penyimpanan

Berikut ini adalah pemetaan operasi grup Lensa Penyimpanan S3 dan tindakan kebijakan yang diperlukan.

APIoperasi	Tindakan kebijakan	Deskripsi tindakan kebijakan
DeleteStorageLensGroup	(Diperlukan) `s3:DeleteStorageLensGroup`	Diperlukan untuk menghapus grup Lensa Penyimpanan S3 yang ada.
GetStorageLensGroup	(Diperlukan) `s3:GetStorageLensGroup`	Diperlukan untuk mengambil detail konfigurasi grup Lensa Penyimpanan S3.
UpdateStorageLensGroup	(Diperlukan) `s3:UpdateStorageLensGroup`	Diperlukan untuk memperbarui grup Lensa Penyimpanan S3 yang ada.

Operasi akun adalah operasi S3 API yang beroperasi pada tingkat akun. Akun bukanlah jenis sumber daya yang ditentukan oleh Amazon S3. Anda harus menentukan tindakan kebijakan S3 untuk operasi akun dalam kebijakan IAM berbasis identitas, bukan dalam kebijakan bucket.

Dalam kebijakan, Resource elemennya harus"*". Untuk informasi selengkapnya tentang kebijakan contoh, lihatOperasi akun.

Berikut ini adalah pemetaan operasi akun dan tindakan kebijakan yang diperlukan.

APIoperasi	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateJob	(Diperlukan) `s3:CreateJob`	Diperlukan untuk membuat pekerjaan Operasi Batch S3 baru.
CreateStorageLensGroup	(Diperlukan) `s3:CreateStorageLensGroup`	Diperlukan untuk membuat grup Lensa Penyimpanan S3 baru dan mengaitkannya dengan Akun AWS ID yang ditentukan.
	(Diperlukan secara kondisional) `s3:TagResource`	Diperlukan jika Anda ingin membuat grup Lensa Penyimpanan S3 dengan tag AWS sumber daya.
DeletePublicAccessBlock(Tingkat akun)	(Diperlukan) `s3:PutAccountPublicAccessBlock`	Diperlukan untuk menghapus konfigurasi blokir akses publik dari file Akun AWS.
GetAccessPoint	(Diperlukan) `s3:GetAccessPoint`	Diperlukan untuk mengambil informasi konfigurasi tentang titik akses yang ditentukan.
GetAccessPointPolicy(Tingkat akun)	(Diperlukan) `s3:GetAccountPublicAccessBlock`	Diperlukan untuk mengambil konfigurasi akses publik blok untuk file Akun AWS.
ListAccessPoints	(Diperlukan) `s3:ListAccessPoints`	Diperlukan untuk mencantumkan titik akses bucket S3 yang dimiliki oleh file Akun AWS.
ListAccessPointsForObjectLambda	(Diperlukan) `s3:ListAccessPointsForObjectLambda`	Diperlukan untuk mencantumkan Titik Akses Objek Lambda.
ListBuckets	(Diperlukan) `s3:ListAllMyBuckets`	Diperlukan untuk mengembalikan daftar semua bucket yang dimiliki oleh pengirim permintaan yang diautentikasi.
ListJobs	(Diperlukan) `s3:ListJobs`	Diperlukan untuk membuat daftar pekerjaan dan pekerjaan saat ini yang telah berakhir baru-baru ini.
ListMultiRegionAccessPoints	(Diperlukan) `s3:ListMultiRegionAccessPoints`	Diperlukan untuk mengembalikan daftar Titik Akses Multi-Wilayah yang saat ini terkait dengan yang ditentukan Akun AWS.
ListStorageLensConfigurations	(Diperlukan) `s3:ListStorageLensConfigurations`	Diperlukan untuk mendapatkan daftar konfigurasi Lensa Penyimpanan S3 untuk file. Akun AWS
ListStorageLensGroups	(Diperlukan) `s3:ListStorageLensGroups`	Diperlukan untuk mencantumkan semua grup Lensa Penyimpanan S3 di rumah Wilayah AWS yang ditentukan.
PutPublicAccessBlock(Tingkat akun)	(Diperlukan) `s3:PutAccountPublicAccessBlock`	Diperlukan untuk membuat atau memodifikasi konfigurasi blokir akses publik untuk file Akun AWS.
PutStorageLensConfiguration	(Diperlukan) `s3:PutStorageLensConfiguration`	Diperlukan untuk menempatkan konfigurasi Lensa Penyimpanan S3.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Untuk Operasi Objek

Kebijakan dan Izin