Operazioni e autorizzazioni del bucket Operazioni e autorizzazioni degli oggetti Operazioni e autorizzazioni dei punti di accesso Operazioni e autorizzazioni del punto di accesso Lambda per oggetti Operazioni e autorizzazioni dei punti di accesso multiregionali Operazioni e autorizzazioni per i processi batch Operazioni e autorizzazioni di configurazione di S3 Storage Lens Operazioni e autorizzazioni dei gruppi S3 Storage Lens Operazioni e autorizzazioni dell'account

Autorizzazioni necessarie per le operazioni API di Amazon S3

Nota

Questa pagina riguarda le azioni delle policy di Amazon S3 per i bucket per uso generico. Per saperne di più sulle azioni delle policy di Amazon S3 per i bucket di directory, consulta Azioni per i bucket della directory.

Per eseguire un'operazione API S3, è necessario disporre delle giuste autorizzazioni. Questa pagina mappa le operazioni API S3 alle autorizzazioni richieste. Per concedere le autorizzazioni per l'esecuzione di un'operazione API S3, è necessario comporre una policy valida (come una policy S3 bucket o una policy IAM basata sull'identità) e specificare le azioni corrispondenti nell'elemento Action della policy. Queste azioni sono chiamate azioni policy. Non tutte le operazioni API S3 sono rappresentate da un singolo permesso (una singola azione di policy) e alcuni permessi (alcune azioni di policy) sono necessari per molte operazioni API diverse.

Quando si compongono le policy, è necessario specificare l'elemento Resource in base al tipo di risorsa corretta richiesta dalle azioni della policy Amazon S3 corrispondente. Questa pagina classifica le autorizzazioni alle operazioni API S3 in base ai tipi di risorse. Per ulteriori informazioni sui tipi di risorse, consulta Tipi di risorse definiti da Amazon S3 in Riferimento alle autorizzazioni di servizio. Per un elenco completo delle azioni, delle risorse e delle chiavi di condizione per le policy di Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 in Riferimento alle autorizzazioni di servizio. Per un elenco completo delle operazioni API di Amazon S3, consulta Azioni API di Amazon S3 in Riferimento API di Amazon Simple Storage Service.

Per ulteriori informazioni su come risolvere gli errori HTTP 403 Forbidden in S3, consulta. Risolvi i problemi relativi all'accesso negato (403 Forbidden) errori in Amazon S3 Per ulteriori informazioni sulle funzionalità IAM da utilizzare con S3, consulta. Come funziona Amazon S3 con IAM Per ulteriori informazioni sulle best practice di sicurezza di S3, consulta. Best practice di sicurezza per Amazon S3

Argomenti

Operazioni e autorizzazioni del bucket
Operazioni e autorizzazioni degli oggetti
Operazioni e autorizzazioni dei punti di accesso
Operazioni e autorizzazioni del punto di accesso Lambda per oggetti
Operazioni e autorizzazioni dei punti di accesso multiregionali
Operazioni e autorizzazioni per i processi batch
Operazioni e autorizzazioni di configurazione di S3 Storage Lens
Operazioni e autorizzazioni dei gruppi S3 Storage Lens
Operazioni e autorizzazioni dell'account

Le operazioni sui bucket sono operazioni API S3 che operano sul tipo di risorsa bucket. È necessario specificare le azioni delle policy S3 per le operazioni sui bucket nelle policy sui bucket o nelle policy IAM basate sull'identità.

Nelle policy, l'elemento Resource deve essere il nome della risorsa Amazon (ARN) del bucket. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni relative ai bucket.

Nota

Per concedere le autorizzazioni alle operazioni di bucket nelle policy dei punti di accesso, tieni presente quanto segue:

Le autorizzazioni concesse per le operazioni sui bucket in una policy del punto di accesso sono efficaci solo se il bucket sottostante consente le stesse autorizzazioni. Quando si utilizza un punto di accesso, è necessario delegare il controllo dell'accesso dal bucket al punto di accesso o aggiungere le stesse autorizzazioni nella policy del punto di accesso alla policy del bucket sottostante.
Nelle policy dei punti di accesso che concedono autorizzazioni alle operazioni di bucket, l'elemento Resource deve essere l'ARN accesspoint. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni di bucket nelle policy dei punti di accesso. Per ulteriori informazioni sulle policy dei punti di accesso, consulta Configurazione delle policy IAM per l'utilizzo degli access point.
Non tutte le operazioni di bucket sono supportate dai punti di accesso. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso con le operazioni S3.

Di seguito è riportata la mappatura delle operazioni sui bucket e delle azioni di policy richieste.

Operazioni API	Azioni di policy	Descrizione delle azioni delle policy
CreateBucket	(Obbligatorio) `s3:CreateBucket`	Richiesto per creare un nuovo bucket s3.
	(Obbligo condizionale) `s3:PutBucketAcl`	Necessario se si desidera utilizzare una lista di controllo degli accessi (ACL) per specificare le autorizzazioni su un bucket quando si effettua una richiesta `CreateBucket`.
	(Obbligo condizionale) `s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`	Richiesto se si desidera attivare Object Lock quando si crea un bucket.
	(Obbligo condizionale) `s3:PutBucketOwnershipControls`	Richiesto se si desidera specificare la proprietà dell'oggetto S3 quando si crea un bucket.
CreateBucketMetadataTableConfiguration	(Obbligatorio) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`	Richiesto per creare la configurazione di una tabella di metadati su un bucket per uso generico. Per creare la tabella dei metadati nel bucket della tabella specificato nella configurazione della tabella dei metadati, è necessario disporre dei permessi specificati in `s3tables`. Se desideri inoltre integrare il tuo table bucket con i servizi di AWS analisi in modo da poter interrogare la tabella dei metadati, hai bisogno di autorizzazioni aggiuntive. Per ulteriori informazioni, consulta Integrazione delle tabelle Amazon S3 AWS con i servizi di analisi.
DeleteBucket	(Obbligatorio) `s3:DeleteBucket`	Richiesto per eliminare un bucket S3.
DeleteBucketAnalyticsConfiguration	(Obbligatorio) `s3:PutAnalyticsConfiguration`	Richiesto per eliminare una configurazione analitica S3 da un bucket S3.
DeleteBucketCors	(Obbligatorio) `s3:PutBucketCORS`	Richiesto per eliminare la configurazione della condivisione delle risorse in origine incrociata (CORS) per un bucket.
DeleteBucketEncryption	(Obbligatorio) `s3:PutEncryptionConfiguration`	Richiesto per reimpostare la configurazione di crittografia predefinita per un bucket S3 come crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).
DeleteBucketIntelligentTieringConfiguration	(Obbligatorio) `s3:PutIntelligentTieringConfiguration`	Necessario per eliminare la configurazione S3 Intelligent-Tiering esistente da un bucket S3.
DeleteBucketInventoryConfiguration	(Obbligatorio) `s3:PutInventoryConfiguration`	Richiesto per eliminare una configurazione dell'inventario S3 da un bucket S3.
DeleteBucketLifecycle	(Obbligatorio) `s3:PutLifecycleConfiguration`	Richiesto per eliminare la configurazione del ciclo di vita S3 per un bucket S3.
DeleteBucketMetadataTableConfiguration	(Obbligatorio) `s3:DeleteBucketMetadataTableConfiguration`	Richiesto per eliminare la configurazione di una tabella di metadati da un bucket per uso generico.
DeleteBucketMetricsConfiguration	(Obbligatorio) `s3:PutMetricsConfiguration`	Necessario per eliminare una configurazione dei parametri per i parametri di CloudWatch richiesta Amazon da un bucket S3.
DeleteBucketOwnershipControls	(Obbligatorio) `s3:PutBucketOwnershipControls`	Richiesto per rimuovere l'impostazione della proprietà dell'oggetto per un bucket S3. Dopo la rimozione, l'impostazione Proprietà oggetto diventa `Object writer`.
DeleteBucketPolicy	(Obbligatorio) `s3:DeleteBucketPolicy`	Richiesto per eliminare la policy di un bucket S3.
DeleteBucketReplication	(Obbligatorio) `s3:PutReplicationConfiguration`	Richiesto per eliminare la configurazione di replica di un bucket S3.
DeleteBucketTagging	(Obbligatorio) `s3:PutBucketTagging`	Richiesto per eliminare i tag da un bucket S3.
DeleteBucketWebsite	(Obbligatorio) `s3:DeleteBucketWebsite`	Richiesto per rimuovere la configurazione del sito web per un bucket S3.
DeletePublicAccessBlock (a livello di bucket)	(Obbligatorio) `s3:PutBucketPublicAccessBlock`	Richiesto per rimuovere la configurazione di accesso pubblico a blocchi per un bucket S3.
GetBucketAccelerateConfiguration	(Obbligatorio) `s3:GetAccelerateConfiguration`	Necessario per utilizzare la sotto-risorsa accelerate per restituire lo stato di Amazon S3 Transfer Acceleration di un bucket, che è Enabled o Suspended.
GetBucketAcl	(Obbligatorio) `s3:GetBucketAcl`	Richiesto per restituire la lista di controllo degli accessi (ACL) di un bucket S3.
GetBucketAnalyticsConfiguration	(Obbligatorio) `s3:GetAnalyticsConfiguration`	Richiesto per restituire una configurazione di analisi identificata dall'ID della configurazione di analisi da un bucket S3.
GetBucketCors	(Obbligatorio) `s3:GetBucketCORS`	Richiesto per restituire la configurazione della condivisione delle risorse in provenienza incrociata (CORS) per un bucket S3.
GetBucketEncryption	(Obbligatorio) `s3:GetEncryptionConfiguration`	Richiesto per ripristinare la configurazione di crittografia predefinita per un bucket S3.
GetBucketIntelligentTieringConfiguration	(Obbligatorio) `s3:GetIntelligentTieringConfiguration`	Richiesto per ottenere la configurazione S3 Intelligent-Tiering di un bucket S3.
GetBucketInventoryConfiguration	(Obbligatorio) `s3:GetInventoryConfiguration`	Richiesto per restituire una configurazione d'inventario identificata dall'ID della configurazione d'inventario dal bucket.
GetBucketLifecycle	(Obbligatorio) `s3:GetLifecycleConfiguration`	Richiesto per restituire la configurazione S3 Lifecycle del bucket.
GetBucketLocation	(Obbligatorio) `s3:GetBucketLocation`	Obbligatorio per restituire il file in Regione AWS cui risiede un bucket S3.
GetBucketLogging	(Obbligatorio) `s3:GetBucketLogging`	Richiesto per restituire lo stato di registrazione di un bucket S3 e le autorizzazioni che gli utenti hanno per visualizzare e modificare tale stato.
GetBucketMetadataTableConfiguration	(Obbligatorio) `s3:GetBucketMetadataTableConfiguration`	Richiesto per recuperare la configurazione di una tabella di metadati per un bucket per uso generico.
GetBucketMetricsConfiguration	(Obbligatorio) `s3:GetMetricsConfiguration`	Richiesto per ottenere una configurazione di metriche specificata dall'ID della configurazione di metriche dal bucket.
GetBucketNotificationConfiguration	(Obbligatorio) `s3:GetBucketNotification`	Richiesto per restituire la configurazione di notifica di un bucket S3.
GetBucketOwnershipControls	(Obbligatorio) `s3:GetBucketOwnershipControls`	Richiesto per recuperare l'impostazione della proprietà dell'oggetto per un bucket S3.
GetBucketPolicy	(Obbligatorio) `s3:GetBucketPolicy`	Richiesto per restituire la policy di un bucket S3.
GetBucketPolicyStatus	(Obbligatorio) `s3:GetBucketPolicyStatus`	Richiesto per recuperare lo stato delle policy per un bucket S3, che indica se il bucket è pubblico.
GetBucketReplication	(Obbligatorio) `s3:GetReplicationConfiguration`	Richiesto per restituire la configurazione di replica di un bucket S3.
GetBucketRequestPayment	(Obbligatorio) `s3:GetBucketRequestPayment`	Richiesto per restituire la configurazione del pagamento della richiesta per un bucket S3.
GetBucketVersioning	(Obbligatorio) `s3:GetBucketVersioning`	Richiesto per restituire lo stato di controllo delle versioni di un bucket S3.
GetBucketTagging	(Obbligatorio) `s3:GetBucketTagging`	Richiesto per restituire il set di tag associato a un bucket S3.
GetBucketWebsite	(Obbligatorio) `s3:GetBucketWebsite`	Richiesto per restituire la configurazione del sito web per un bucket S3.
GetObjectLockConfiguration	(Obbligatorio) `s3:GetBucketObjectLockConfiguration`	Richiesto per ottenere la configurazione di Object Lock per un bucket S3.
GetPublicAccessBlock (a livello di bucket)	(Obbligatorio) `s3:GetBucketPublicAccessBlock`	Richiesto per recuperare la configurazione di accesso pubblico ai blocchi per un bucket S3.
HeadBucket	(Obbligatorio) `s3:ListBucket`	Richiesto per determinare se un bucket esiste e se si ha il permesso di accedervi.
ListBucketAnalyticsConfigurations	(Obbligatorio) `s3:GetAnalyticsConfiguration`	Richiesto per elencare le configurazioni di analisi per un bucket S3.
ListBucketIntelligentTieringConfigurations	(Obbligatorio) `s3:GetIntelligentTieringConfiguration`	Richiesto per elencare le configurazioni S3 Intelligent-Tiering di un bucket S3.
ListBucketInventoryConfigurations	(Obbligatorio) `s3:GetInventoryConfiguration`	Richiesto per restituire un elenco di configurazioni di inventario per un bucket S3.
ListBucketMetricsConfigurations	(Obbligatorio) `s3:GetMetricsConfiguration`	Richiesto per elencare le configurazioni delle metriche per un bucket S3.
ListObjects	(Obbligatorio) `s3:ListBucket`	Richiesto per elencare alcuni o tutti (fino a 1.000) gli oggetti di un bucket S3.
	(Obbligo condizionale) `s3:GetObjectAcl`	Richiesto se si desidera visualizzare le informazioni sul proprietario dell'oggetto.
ListObjectsV2	(Obbligatorio) `s3:ListBucket`	Richiesto per elencare alcuni o tutti (fino a 1.000) gli oggetti di un bucket S3.
	(Obbligo condizionale) `s3:GetObjectAcl`	Richiesto se si desidera visualizzare le informazioni sul proprietario dell'oggetto.
ListObjectVersions	(Obbligatorio) `s3:ListBucketVersions`	Necessario per ottenere metadati su tutte le versioni degli oggetti in un bucket S3.
PutBucketAccelerateConfiguration	(Obbligatorio) `s3:PutAccelerateConfiguration`	Richiesto per impostare la configurazione di accelerazione di un bucket esistente.
PutBucketAcl	(Obbligatorio) `s3:PutBucketAcl`	Necessario per utilizzare gli elenchi di controllo degli accessi (ACLs) per impostare le autorizzazioni su un bucket esistente.
PutBucketAnalyticsConfiguration	(Obbligatorio) `s3:PutAnalyticsConfiguration`	Richiesto per impostare una configurazione analitica per un bucket S3.
PutBucketCors	(Obbligatorio) `s3:PutBucketCORS`	Richiesto per impostare la configurazione della condivisione delle risorse in provenienza incrociata (CORS) per un bucket S3.
PutBucketEncryption	(Obbligatorio) `s3:PutEncryptionConfiguration`	Richiesto per configurare la crittografia predefinita per un bucket S3.
PutBucketIntelligentTieringConfiguration	(Obbligatorio) `s3:PutIntelligentTieringConfiguration`	Richiesto per inserire la configurazione S3 Intelligent-Tiering in un bucket S3.
PutBucketInventoryConfiguration	(Obbligatorio) `s3:PutInventoryConfiguration`	Richiesto per aggiungere una configurazione di inventario a un bucket S3.
PutBucketLifecycle	(Obbligatorio) `s3:PutLifecycleConfiguration`	Richiesto per creare una nuova configurazione del ciclo di vita S3 o per sostituire una configurazione del ciclo di vita esistente per un bucket S3.
PutBucketLogging	(Obbligatorio) `s3:PutBucketLogging`	Necessario per impostare i parametri di registrazione per un bucket S3 e specificare le autorizzazioni per chi può visualizzare e modificare i parametri di registrazione.
PutBucketMetricsConfiguration	(Obbligatorio) `s3:PutMetricsConfiguration`	Necessario per impostare o aggiornare una configurazione dei parametri per i parametri di CloudWatch richiesta Amazon di un bucket S3.
PutBucketNotificationConfiguration	(Obbligatorio) `s3:PutBucketNotification`	Necessario per abilitare le notifiche di eventi specifici per un bucket S3.
PutBucketOwnershipControls	(Obbligatorio) `s3:PutBucketOwnershipControls`	Richiesto per creare o modificare l'impostazione della proprietà dell'oggetto per un bucket S3.
PutBucketPolicy	(Obbligatorio) `s3:PutBucketPolicy`	Richiesto per applicare una policy del bucket S3 a un bucket.
PutBucketReplication	(Obbligatorio) `s3:PutReplicationConfiguration`	Necessario per creare una nuova configurazione di replica o sostituirne una esistente per un bucket S3.
PutBucketRequestPayment	(Obbligatorio) `s3:PutBucketRequestPayment`	Richiesto per impostare la configurazione del pagamento della richiesta per un bucket.
PutBucketTagging	(Obbligatorio) `s3:PutBucketTagging`	Richiesto per aggiungere una serie di tag a un bucket S3.
PutBucketVersioning	(Obbligatorio) `s3:PutBucketVersioning`	Richiesto per impostare lo stato di controllo delle versioni di un bucket S3.
PutBucketWebsite	(Obbligatorio) `s3:PutBucketWebsite`	Richiesto per configurare un bucket come sito web e impostare la configurazione del sito web.
PutObjectLockConfiguration	(Obbligatorio) `s3:PutBucketObjectLockConfiguration`	Richiesto per mettere la configurazione di Object Lock su un bucket S3.
PutPublicAccessBlock (a livello di bucket)	(Obbligatorio) `s3:PutBucketPublicAccessBlock`	Richiesto per creare o modificare la configurazione di accesso pubblico a blocchi per un bucket S3.

Le operazioni sugli oggetti sono operazioni API S3 che operano sul tipo di risorsa oggetto. È necessario specificare le azioni delle policy S3 per le operazioni sugli oggetti nelle policy basate sulle risorse (come le policy sui bucket, sui punti di accesso, sui punti di accesso multiregionali e sugli endpoint VPC) o nelle policy IAM basate sull'identità.

Nelle policy, l'elemento Resource deve essere l'ARN dell'oggetto. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni con gli oggetti.

Nota

AWS KMS le azioni politiche (kms:GenerateDataKeyandkms:Decrypt) sono applicabili solo per il tipo di AWS KMS risorsa e devono essere specificate nelle politiche basate sull'identità IAM e AWS KMS nelle politiche basate sulle risorse (politiche chiave).AWS KMS Non è possibile specificare azioni AWS KMS politiche nelle policy basate sulle risorse di S3, come le policy dei bucket S3.
Quando si utilizzano i punti di accesso per controllare l'accesso alle operazioni degli oggetti, è possibile utilizzare le policy dei punti di accesso. Per concedere le autorizzazioni alle operazioni sugli oggetti nelle policy dei punti di accesso, tieni presente quanto segue:
- Nelle politiche dei punti di accesso che concedono le autorizzazioni alle operazioni sugli oggetti, l'Resourceelemento deve essere lo stesso ARNs per gli oggetti a cui si accede tramite un punto di accesso. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni sugli oggetti nelle policy dei punti di accesso.
- Non tutte le operazioni sugli oggetti sono supportate dai punti di accesso. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso con le operazioni S3.
Non tutte le operazioni sugli oggetti sono supportate dai punti di accesso multiregionali. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso multi-regione con le operazioni S3.

Di seguito è riportata la mappatura delle operazioni degli oggetti e delle azioni di policy richieste.

Operazioni API	Azioni di policy	Descrizione delle azioni delle policy
AbortMultipartUpload	(Obbligatorio) `s3:AbortMultipartUpload`	Richiesto per interrompere un caricamento multiparte.
CompleteMultipartUpload	(Obbligatorio) `s3:PutObject`	Richiesto per completare un caricamento multiparte.
	(Obbligo condizionale) `kms:Decrypt`	Obbligatorio se si desidera completare un caricamento in più parti per un oggetto crittografato con chiave gestita AWS KMS dal cliente.
CopyObject	Per l'oggetto di origine:	Per l'oggetto di origine:
	(Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject` - Richiesto se si vuole copiare un oggetto dal bucket di origine senza specificare `versionId` nella richiesta. `s3:GetObjectVersion` - Richiesto se si vuole copiare una versione specifica di un oggetto dal bucket di origine, specificando `versionId` nella richiesta.
	(Obbligo condizionale) `kms:Decrypt`	Obbligatorio se si desidera copiare un oggetto crittografato con chiave gestita dal AWS KMS cliente dal bucket di origine.
	Per l'oggetto di destinazione:	Per l'oggetto di destinazione:
	(Obbligatorio) `s3:PutObject`	Richiesto per inserire l'oggetto copiato nel bucket di destinazione.
	(Obbligo condizionale) `s3:PutObjectAcl`	Necessario se si desidera inserire l'oggetto copiato con la lista di controllo degli accessi (ACL) dell'oggetto nel bucket di destinazione quando si effettua una richiesta `CopyObject`.
	(Obbligo condizionale) `s3:PutObjectTagging`	Richiesto se si vuole mettere l'oggetto copiato con il tagging dell'oggetto nel bucket di destinazione quando si fa una richiesta a `CopyObject`.
	(Obbligo condizionale) `kms:GenerateDataKey`	Obbligatorio se si desidera crittografare l'oggetto copiato con una chiave gestita AWS KMS dal cliente e inserirlo nel bucket di destinazione.
	(Obbligo condizionale) `s3:PutObjectRetention`	Richiesto se si desidera impostare una configurazione di conservazione Object Lock per il nuovo oggetto.
	(Obbligo condizionale) `s3:PutObjectLegalHold`	Richiesto se si desidera inserire un blocco legale Object Lock del nuovo oggetto.
CreateMultipartUpload	(Obbligatorio) `s3:PutObject`	Richiesto per creare un caricamento multiparte.
	(Obbligo condizionale) `s3:PutObjectAcl`	Richiesto se si desidera impostare le autorizzazioni della lista di controllo degli accessi (ACL) per l'oggetto caricato.
	(Obbligo condizionale) `s3:PutObjectTagging`	Richiesto se si desidera aggiungere uno o più tag all'oggetto caricato.
	(Obbligo condizionale) `kms:GenerateDataKey`	Obbligatorio se si desidera utilizzare una chiave gestita AWS KMS dal cliente per crittografare un oggetto quando si avvia un caricamento in più parti.
	(Obbligo condizionale) `s3:PutObjectRetention`	Richiesto se si desidera impostare una configurazione di conservazione Object Lock per l'oggetto caricato.
	(Obbligo condizionale) `s3:PutObjectLegalHold`	Richiesto se si desidera applicare un blocco legale Object Lock all'oggetto caricato.
DeleteObject	(Obbligatorio) `s3:DeleteObject` o `s3:DeleteObjectVersion`	`s3:DeleteObject` - Richiesto se si vuole rimuovere un oggetto senza specificare `versionId` nella richiesta. `s3:DeleteObjectVersion` - Richiesto se si vuole rimuovere una versione specifica di un oggetto specificando `versionId` nella richiesta.
	(Obbligo condizionale) `s3:BypassGovernanceRetention`	Necessario se si desidera eliminare un oggetto protetto dalla modalità di governance per la conservazione Object Lock.
DeleteObjects	(Obbligatorio) `s3:DeleteObject` o `s3:DeleteObjectVersion`	`s3:DeleteObject` - Richiesto se si vuole rimuovere un oggetto senza specificare `versionId` nella richiesta. `s3:DeleteObjectVersion` - Richiesto se si vuole rimuovere una versione specifica di un oggetto specificando `versionId` nella richiesta.
	(Obbligo condizionale) `s3:BypassGovernanceRetention`	Necessario se si desidera eliminare gli oggetti protetti dalla modalità di governance per la conservazione Object Lock.
DeleteObjectTagging	(Obbligatorio) `s3:DeleteObjectTagging` o `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging` - Richiesto se si vuole rimuovere l'intero set di tag di un oggetto senza specificare `versionId` nella richiesta. `s3:DeleteObjectVersionTagging` - Richiesto se si desidera eliminare i tag di una versione specifica dell'oggetto specificando `versionId` nella richiesta.
GetObject	(Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject` - Richiesto se si vuole ottenere un oggetto senza specificare `versionId` nella richiesta. `s3:GetObjectVersion` - Richiesto se si vuole ottenere una versione specifica di un oggetto specificando `versionId` nella richiesta.
	(Obbligo condizionale) `kms:Decrypt`	Obbligatorio se si desidera ottenere e decrittografare un oggetto crittografato con chiave gestita AWS KMS dal cliente.
	(Obbligo condizionale) `s3:GetObjectTagging`	Richiesto se si vuole ottenere il set di tag di un oggetto quando si fa una richiesta a `GetObject`.
	(Obbligo condizionale) `s3:GetObjectLegalHold`	Richiesto se si vuole ottenere lo stato attuale di blocco legale Object Lock di un oggetto.
	(Obbligo condizionale) `s3:GetObjectRetention`	Richiesto se si desidera recuperare le impostazioni di conservazione Object Lock per un oggetto.
GetObjectAcl	(Obbligatorio) `s3:GetObjectAcl` o `s3:GetObjectVersionAcl`	`s3:GetObjectAcl` - Richiesto se si vuole ottenere la lista di controllo degli accessi (ACL) di un oggetto senza specificare `versionId` nella richiesta. `s3:GetObjectVersionAcl` - Richiesto se si vuole ottenere la lista di controllo degli accessi (ACL) di un oggetto specificando `versionId` nella richiesta.
GetObjectAttributes	(Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject` - Richiesto se si vogliono recuperare gli attributi relativi a un oggetto senza specificare `versionId` nella richiesta. `s3:GetObjectVersion` - Richiesto se si vogliono recuperare gli attributi relativi a una versione specifica dell'oggetto, specificando `versionId` nella richiesta.
	(Obbligo condizionale) `kms:Decrypt`	Obbligatorio se si desidera recuperare gli attributi relativi a un oggetto crittografato con chiave gestita AWS KMS dal cliente.
GetObjectLegalHold	(Obbligatorio) `s3:GetObjectLegalHold`	Richiesto per ottenere lo stato attuale di blocco legale Object Lock di un oggetto.
GetObjectRetention	(Obbligatorio) `s3:GetObjectRetention`	Richiesto per recuperare le impostazioni di conservazione Object Lock per un oggetto.
GetObjectTagging	(Obbligatorio) `s3:GetObjectTagging` o `s3:GetObjectVersionTagging`	`s3:GetObjectTagging` - Richiesto se si vuole ottenere il set di tag di un oggetto senza specificare `versionId` nella richiesta. `s3:GetObjectVersionTagging` - Richiesto se si desidera ottenere i tag di una versione specifica dell'oggetto specificando `versionId` nella richiesta.
GetObjectTorrent	(Obbligatorio) `s3:GetObject`	Richiesto per restituire i file torrent di un oggetto.
HeadObject	(Obbligatorio) `s3:GetObject`	Richiesto per recuperare i metadati da un oggetto senza restituire l'oggetto stesso.
	(Obbligo condizionale) `s3:GetObjectLegalHold`	Richiesto se si vuole ottenere lo stato attuale di blocco legale Object Lock di un oggetto.
	(Obbligo condizionale) `s3:GetObjectRetention`	Richiesto se si desidera recuperare le impostazioni di conservazione Object Lock per un oggetto.
ListMultipartUploads	(Obbligatorio) `s3:ListBucketMultipartUploads`	Richiesto per elencare i caricamenti multiparte in corso in un bucket.
ListParts	(Obbligatorio) `s3:ListMultipartUploadParts`	Richiesto per elencare le parti che sono state caricate per uno specifico caricamento multiparte.
	(Obbligo condizionale) `kms:Decrypt`	Obbligatorio se desideri elencare parti di un caricamento multiparte con chiave crittografata gestita dal AWS KMS cliente.
PutObject	(Obbligatorio) `s3:PutObject`	Richiesto per inserire un oggetto.
	(Obbligo condizionale) `s3:PutObjectAcl`	Richiesto se si desidera inserire la lista di controllo degli accessi (ACL) dell'oggetto quando si effettua una richiesta `PutObject`.
	(Obbligo condizionale) `s3:PutObjectTagging`	Richiesto se si vuole inserire l'etichetta dell'oggetto quando si fa una richiesta a `PutObject`.
	(Obbligo condizionale) `kms:GenerateDataKey`	Obbligatorio se si desidera crittografare un oggetto con una chiave gestita AWS KMS dal cliente.
	(Obbligo condizionale) `s3:PutObjectRetention`	Richiesto se si desidera impostare una configurazione di conservazione Object Lock per un oggetto.
	(Obbligo condizionale) `s3:PutObjectLegalHold`	Richiesto se si desidera applicare una configurazione di Blocco legale Object Lock a un oggetto specificato.
PutObjectAcl	(Obbligatorio) `s3:PutObjectAcl` o `s3:PutObjectVersionAcl`	`s3:PutObjectAcl` - Necessario se si desidera impostare le autorizzazioni della lista di controllo degli accessi (ACL) per un oggetto nuovo o esistente senza specificare `versionId` nella richiesta. `s3:PutObjectVersionAcl` - Necessario se si desidera impostare le autorizzazioni della lista di controllo degli accessi (ACL) per un oggetto nuovo o esistente, specificando `versionId` nella richiesta.
PutObjectLegalHold	(Obbligatorio) `s3:PutObjectLegalHold`	Richiesto per applicare una configurazione di Blocco legale Object Lock a un oggetto.
PutObjectRetention	(Obbligatorio) `s3:PutObjectRetention`	Richiesto per applicare una configurazione di conservazione Object Lock per un oggetto.
	(Obbligo condizionale) `s3:BypassGovernanceRetention`	Necessario se si desidera bypassare la modalità di governance di una configurazione di conservazione Object Lock.
PutObjectTagging	(Obbligatorio) `s3:PutObjectTagging` o `s3:PutObjectVersionTagging`	`s3:PutObjectTagging` - Richiesto se si vuole impostare il set di tag fornito a un oggetto che esiste già in un bucket, senza specificare `versionId` nella richiesta. `s3:PutObjectVersionTagging` - Richiesto se si vuole impostare il set di tag fornito a un oggetto che esiste già in un bucket, specificando `versionId` nella richiesta.
RestoreObject	(Obbligatorio) `s3:RestoreObject`	Richiesto per ripristinare una copia di un oggetto archiviato.
SelectObjectContent	(Obbligatorio) `s3:GetObject`	Richiesto per filtrare il contenuto di un oggetto S3 in base a una semplice istruzione SQL (Structured Query Language).
	(Obbligo condizionale) `kms:Decrypt`	Obbligatorio se desideri filtrare il contenuto di un oggetto S3 crittografato con una chiave gestita AWS KMS dal cliente.
UploadPart	(Obbligatorio) `s3:PutObject`	Richiesto per caricare una parte in un caricamento multiparte.
	(Obbligo condizionale) `kms:GenerateDataKey`	Obbligatorio se desideri inserire una parte di caricamento e crittografarla con una chiave gestita AWS KMS dal cliente.
UploadPartCopy	Per l'oggetto di origine:	Per l'oggetto di origine:
	(Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject` - Richiesto se si vuole copiare un oggetto dal bucket di origine senza specificare `versionId` nella richiesta. `s3:GetObjectVersion` - Richiesto se si vuole copiare una versione specifica di un oggetto dal bucket di origine, specificando `versionId` nella richiesta.
	(Obbligo condizionale) `kms:Decrypt`	Obbligatorio se si desidera copiare un oggetto crittografato con chiave gestita dal AWS KMS cliente dal bucket di origine.
	Per la parte di destinazione:	Per la parte di destinazione:
	(Obbligatorio) `s3:PutObject`	Richiesto per caricare una parte di caricamento multiparte nel bucket di destinazione.
	(Obbligo condizionale) `kms:GenerateDataKey`	Obbligatorio se si desidera crittografare una parte con una chiave gestita AWS KMS dal cliente quando si carica la parte nel bucket di destinazione.

Le operazioni sui punti di accesso sono operazioni API S3 che operano sul tipo di risorsa accesspoint. È necessario specificare le azioni delle policy S3 per le operazioni dei punti di accesso nelle policy IAM basate sull'identità, non nelle policy dei bucket o dei punti di accesso.

Nelle policy, l'elemento Resource deve essere l'ARN accesspoint. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni sui punti di accesso.

Nota

Se desideri utilizzare i punti di accesso per controllare l'accesso alle operazioni sui bucket o sugli oggetti, tieni presente quanto segue:

Per l'utilizzo dei punti di accesso per controllare l'accesso alle operazioni del bucket, consulta Operazioni di bucket nelle policy dei punti di accesso.
Per l'utilizzo dei punti di accesso per controllare l'accesso alle operazioni sugli oggetti, consulta Operazioni sugli oggetti nelle policy dei punti di accesso.
Per ulteriori informazioni su come configurare le policy dei punti di accesso, consulta Configurazione delle policy IAM per l'utilizzo degli access point.

Di seguito è riportata la mappatura delle operazioni dei punti di accesso e delle azioni di policy richieste.

Operazioni API	Azioni di policy	Descrizione delle azioni delle policy
CreateAccessPoint	(Obbligatorio) `s3:CreateAccessPoint`	Richiesto per creare un punto di accesso associato a un bucket S3.
DeleteAccessPoint	(Obbligatorio) `s3:DeleteAccessPoint`	Richiesto per eliminare un punto di accesso.
DeleteAccessPointPolicy	(Obbligatorio) `s3:DeleteAccessPointPolicy`	Richiesto per eliminare una policy del punto di accesso.
GetAccessPointPolicy	(Obbligatorio) `s3:GetAccessPointPolicy`	Richiesto per recuperare una policy del punto di accesso.
GetAccessPointPolicyStatus	(Obbligatorio) `s3:GetAccessPointPolicyStatus`	Richiesto per recuperare le informazioni sul fatto che il punto di accesso specificato abbia attualmente una policy che consente l'accesso pubblico.
PutAccessPointPolicy	(Obbligatorio) `s3:PutAccessPointPolicy`	Richiesto per inserire una policy del punto di accesso.

Le operazioni sui punti di accesso Lambda per oggetti sono operazioni API S3 che operano sul tipo di risorsa objectlambdaaccesspoint. Per ulteriori informazioni su come configurare le policy per le operazioni sui punti di accesso Lambda per oggetti, consulta Configurazione delle policy IAM per i punti di accesso Lambda per oggetti.

Di seguito è riportata la mappatura delle operazioni sui punti di accesso Lambda per oggetti e delle azioni di policy richieste.

Operazioni API	Azioni di policy	Descrizione delle azioni delle policy
CreateAccessPointForObjectLambda	(Obbligatorio) `s3:CreateAccessPointForObjectLambda`	Richiesto per creare un punto di accesso Lambda per oggetti.
DeleteAccessPointForObjectLambda	(Obbligatorio) `s3:DeleteAccessPointForObjectLambda`	Richiesto per eliminare un punto di accesso Lambda per oggetti specificato.
DeleteAccessPointPolicyForObjectLambda	(Obbligatorio) `s3:DeleteAccessPointPolicyForObjectLambda`	Richiesto per eliminare la policy di un punto di accesso Lambda per oggetti specificato.
GetAccessPointConfigurationForObjectLambda	(Obbligatorio) `s3:GetAccessPointConfigurationForObjectLambda`	Richiesto per recuperare la configurazione del punto di accesso Lambda per oggetti.
GetAccessPointForObjectLambda	(Obbligatorio) `s3:GetAccessPointForObjectLambda`	Richiesto per recuperare le informazioni sul punto di accesso Lambda per oggetti.
GetAccessPointPolicyForObjectLambda	(Obbligatorio) `s3:GetAccessPointPolicyForObjectLambda`	Richiesto per restituire la policy del punto di accesso associata al punto di accesso Lambda per oggetti specificato.
GetAccessPointPolicyStatusForObjectLambda	(Obbligatorio) `s3:GetAccessPointPolicyStatusForObjectLambda`	Richiesto per restituire lo stato della policy per una specifica policy del punto di accesso Lambda per oggetti.
PutAccessPointConfigurationForObjectLambda	(Obbligatorio) `s3:PutAccessPointConfigurationForObjectLambda`	Richiesto per impostare la configurazione del punto di accesso Lambda per oggetti.
PutAccessPointPolicyForObjectLambda	(Obbligatorio) `s3:PutAccessPointPolicyForObjectLambda`	Richiesto per associare una policy di accesso a un punto di accesso Lambda per oggetti specificato.

Le operazioni sui punto di accesso multiregione sono operazioni API S3 che operano sul tipo di risorsa multiregionaccesspoint. Per ulteriori informazioni su come configurare le policy per le operazioni dei punti di accesso multiregionali, consulta Esempi di policy dei punti di accesso multi-regione.

Di seguito è riportata la mappatura delle operazioni dei punti di accesso multiregionali e delle azioni di policy richieste.

Operazioni API	Azioni di policy	Descrizione delle azioni delle policy
CreateMultiRegionAccessPoint	(Obbligatorio) `s3:CreateMultiRegionAccessPoint`	Necessario per creare un punto di accesso multiregionale e associarlo ai bucket S3.
DeleteMultiRegionAccessPoint	(Obbligatorio) `s3:DeleteMultiRegionAccessPoint`	Richiesto per eliminare un punto di accesso multiregionale.
DescribeMultiRegionAccessPointOperation	(Obbligatorio) `s3:DescribeMultiRegionAccessPointOperation`	Richiesto per recuperare lo stato di una richiesta asincrona di gestione di un punto di accesso multiregionale.
GetMultiRegionAccessPoint	(Obbligatorio) `s3:GetMultiRegionAccessPoint`	Richiesto per restituire le informazioni di configurazione del punto di accesso multiregionale specificato.
GetMultiRegionAccessPointPolicy	(Obbligatorio) `s3:GetMultiRegionAccessPointPolicy`	Richiesto per restituire la policy di controllo degli accessi del punto di accesso multiregionale specificato.
GetMultiRegionAccessPointPolicyStatus	(Obbligatorio) `s3:GetMultiRegionAccessPointPolicyStatus`	Richiesto per restituire lo stato della policy per uno specifico punto di accesso multiregionale, per sapere se il punto di accesso multiregionale specificato ha una policy di controllo dell'accesso che consente l'accesso pubblico.
GetMultiRegionAccessPointRoutes	(Obbligatorio) `s3:GetMultiRegionAccessPointRoutes`	Richiesto per restituire la configurazione di routing di un punto di accesso multiregionale.
PutMultiRegionAccessPointPolicy	(Obbligatorio) `s3:PutMultiRegionAccessPointPolicy`	Richiesto per aggiornare la policy di controllo degli accessi del punto di accesso multiregionale specificato.
SubmitMultiRegionAccessPointRoutes	(Obbligatorio) `s3:SubmitMultiRegionAccessPointRoutes`	Richiesto per inviare una configurazione di percorso aggiornata per un punto di accesso multiregionale.

(Operazioni in batch) Le operazioni di processo sono operazioni API S3 che operano sul tipo di risorsa job. È necessario specificare le azioni delle policy S3 per le operazioni di processo nelle policy IAM basate sull'identità, non nelle policy dei bucket.

Nelle policy, l'elemento Resource deve essere l'ARN job. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni di processo in batch.

Di seguito è riportata la mappatura delle operazioni dei processi batch e delle azioni di policy richieste.

Operazioni API	Azioni di policy	Descrizione delle azioni delle policy
DeleteJobTagging	(Obbligatorio) `s3:DeleteJobTagging`	Richiesto per rimuovere i tag da un processo di Operazioni in batch S3 esistente.
DescribeJob	(Obbligatorio) `s3:DescribeJob`	Richiesto per recuperare i parametri di configurazione e lo stato di un processo di Operazioni in batch.
GetJobTagging	(Obbligatorio) `s3:GetJobTagging`	Richiesto per restituire il set di tag di un processo di Operazioni in batch S3 esistente.
PutJobTagging	(Obbligatorio) `s3:PutJobTagging`	Richiesto per inserire o sostituire i tag in un processo di Operazioni in batch S3 esistente.
UpdateJobPriority	(Obbligatorio) `s3:UpdateJobPriority`	Richiesto per aggiornare la priorità di un processo esistente.
UpdateJobStatus	(Obbligatorio) `s3:UpdateJobStatus`	Richiesto per aggiornare lo stato del processo specificato.

Le operazioni di configurazione di S3 Storage Lens sono operazioni API S3 che operano sul tipo di risorsa storagelensconfiguration. Per ulteriori informazioni su come configurare le operazioni di configurazione di S3 Storage Lens, consulta Impostazione delle autorizzazioni di Amazon S3 Storage Lens.

Di seguito è riportata la mappatura delle operazioni di configurazione di S3 Storage Lens e delle azioni delle policy richieste.

Operazioni API	Azioni di policy	Descrizione delle azioni delle policy
DeleteStorageLensConfiguration	(Obbligatorio) `s3:DeleteStorageLensConfiguration`	Richiesto per eliminare la configurazione di Storage Lens S3.
DeleteStorageLensConfigurationTagging	(Obbligatorio) `s3:DeleteStorageLensConfigurationTagging`	Necessario per eliminare i tag di configurazione di S3 Storage Lens.
GetStorageLensConfiguration	(Obbligatorio) `s3:GetStorageLensConfiguration`	Richiesto per ottenere la configurazione di S3 Storage Lens.
GetStorageLensConfigurationTagging	(Obbligatorio) `s3:GetStorageLensConfigurationTagging`	Richiesto per ottenere i tag della configurazione di S3 Storage Lens.
PutStorageLensConfigurationTagging	(Obbligatorio) `s3:PutStorageLensConfigurationTagging`	Richiesto per inserire o sostituire i tag in una configurazione S3 Storage Lens esistente.

Le operazioni dei gruppi S3 Storage Lens sono operazioni API S3 che operano sul tipo di risorsa storagelensgroup. Per ulteriori informazioni su come configurare le autorizzazioni dei gruppi S3 Storage Lens, consulta Autorizzazioni gruppi Storage Lens.

Di seguito è riportata la mappatura delle operazioni dei gruppi S3 Storage Lens e delle azioni delle policy richieste.

Operazioni API	Azioni di policy	Descrizione delle azioni delle policy
DeleteStorageLensGroup	(Obbligatorio) `s3:DeleteStorageLensGroup`	Richiesto per eliminare un gruppo S3 Storage Lens esistente.
GetStorageLensGroup	(Obbligatorio) `s3:GetStorageLensGroup`	Richiesto per recuperare i dettagli di configurazione del gruppo S3 Storage Lens.
UpdateStorageLensGroup	(Obbligatorio) `s3:UpdateStorageLensGroup`	Richiesto per aggiornare il gruppo S3 Storage Lens esistente.
CreateStorageLensGroup	(Obbligatorio) `s3:CreateStorageLensGroup`	Necessario per creare un nuovo gruppo Storage Lens.
CreateStorageLensGroup, TagResource	(Obbligatorio)`s3:CreateStorageLensGroup`, `s3:TagResource`	Necessario per creare un nuovo gruppo Storage Lens con tag.
ListStorageLensGroups	(Obbligatorio) `s3:ListStorageLensGroups`	Necessario per elencare tutti i gruppi Storage Lens nella tua regione d'origine.
ListTagsForResource	(Obbligatorio) `s3:ListTagsForResource`	Necessario per elencare i tag che sono stati aggiunti al gruppo Storage Lens.
TagResource	(Obbligatorio) `s3:TagResource`	Necessario per aggiungere o aggiornare un tag di gruppo Storage Lens per un gruppo Storage Lens esistente.
UntagResource	(Obbligatorio) `s3:UntagResource`	Necessario per eliminare un tag da un gruppo Storage Lens.

Le operazioni sugli account sono operazioni API S3 che operano a livello di account, L'account non è un tipo di risorsa definito da Amazon S3. È necessario specificare le azioni delle policy S3 per le operazioni degli account nelle policy IAM basate sull'identità, non nelle policy dei bucket.

Nelle policy, l'elemento Resource deve essere "*". Per ulteriori informazioni sulle policy di esempio, consulta Operazioni sugli account.

Di seguito è riportata la mappatura delle operazioni dell'account e delle azioni di policy richieste.

Operazioni API	Azioni di policy	Descrizione delle azioni delle policy
CreateJob	(Obbligatorio) `s3:CreateJob`	Richiesto per creare un nuovo processo di Operazioni in batch S3.
CreateStorageLensGroup	(Obbligatorio) `s3:CreateStorageLensGroup`	Necessario per creare un nuovo gruppo S3 Storage Lens e associarlo all' Account AWS ID specificato.
	(Obbligo condizionale) `s3:TagResource`	Obbligatorio se desideri creare un gruppo S3 Storage Lens con tag di AWS risorse.
DeletePublicAccessBlock (a livello di account)	(Obbligatorio) `s3:PutAccountPublicAccessBlock`	Richiesto per rimuovere la configurazione di blocco dell'accesso pubblico da Account AWS.
GetAccessPoint	(Obbligatorio) `s3:GetAccessPoint`	Richiesto per recuperare le informazioni di configurazione del punto di accesso specificato.
GetAccessPointPolicy (a livello di account)	(Obbligatorio) `s3:GetAccountPublicAccessBlock`	Richiesto per recuperare la configurazione del blocco di accesso pubblico per Account AWS.
ListAccessPoints	(Obbligatorio) `s3:ListAccessPoints`	Richiesto per elencare i punti di accesso di un bucket S3 di proprietà di un Account AWS.
ListAccessPointsForObjectLambda	(Obbligatorio) `s3:ListAccessPointsForObjectLambda`	Richiesto per elencare i punti di accesso Lambda per oggetti.
ListBuckets	(Obbligatorio) `s3:ListAllMyBuckets`	Richiesto per restituire un elenco di tutti i bucket di proprietà del mittente autenticato della richiesta.
ListJobs	(Obbligatorio) `s3:ListJobs`	Si richiede di elencare i processi attuali e quelli terminati di recente.
ListMultiRegionAccessPoints	(Obbligatorio) `s3:ListMultiRegionAccessPoints`	Richiesto per restituire un elenco dei punti di accesso multiregionali attualmente associati a Account AWS.
ListStorageLensConfigurations	(Obbligatorio) `s3:ListStorageLensConfigurations`	Necessario per ottenere un elenco delle configurazioni di S3 Storage Lens per un. Account AWS
ListStorageLensGroups	(Obbligatorio) `s3:ListStorageLensGroups`	Richiesto per elencare tutti i gruppi S3 Storage Lens nella home specificata Regione AWS.
PutPublicAccessBlock (a livello di account)	(Obbligatorio) `s3:PutAccountPublicAccessBlock`	Richiesto per creare o modificare la configurazione del blocco di accesso pubblico per Account AWS.
PutStorageLensConfiguration	(Obbligatorio) `s3:PutStorageLensConfiguration`	Richiesto per mettere una configurazione di S3 Storage Lens.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Per un'operazione su un oggetto

Policy e autorizzazioni