Operazioni e autorizzazioni di Bucket Operazioni e autorizzazioni degli oggetti Operazioni e autorizzazioni dei punti di accesso Operazioni e autorizzazioni del punto di accesso Object Lambda Operazioni e autorizzazioni per punti di accesso multiregionali Operazioni di lavoro in batch e autorizzazioni Operazioni e autorizzazioni di configurazione di S3 Storage Lens S3 Storage Lens raggruppa operazioni e autorizzazioni Operazioni e autorizzazioni dell'account

Autorizzazioni richieste per le operazioni di Amazon API S3

Nota

Questa pagina riguarda le azioni politiche di Amazon S3 per i bucket generici. Per ulteriori informazioni sulle azioni politiche di Amazon S3 per i bucket di directory, consulta. Azioni per S3 Express One Zone

Per eseguire un'APIoperazione S3, devi disporre delle autorizzazioni giuste. Questa pagina associa le API operazioni di S3 alle autorizzazioni richieste. Per concedere le autorizzazioni per eseguire un'APIoperazione S3, devi comporre una policy valida (come una policy per i bucket S3 o una policy IAM basata sull'identità) e specificare le azioni corrispondenti nell'elemento della policy. Action Queste azioni sono chiamate azioni politiche. Non tutte le API operazioni S3 sono rappresentate da un'unica autorizzazione (una singola azione politica) e alcune autorizzazioni (alcune azioni politiche) sono necessarie per molte operazioni diverseAPI.

Quando componi le policy, devi specificare l'Resourceelemento in base al tipo di risorsa corretto richiesto dalle corrispondenti azioni delle policy di Amazon S3. Questa pagina classifica le autorizzazioni per le API operazioni S3 in base ai tipi di risorse. Per ulteriori informazioni sui tipi di risorse, consulta Tipi di risorse definiti da Amazon S3 nel Service Authorization Reference. Per un elenco completo delle azioni, delle risorse e delle chiavi di condizione di Amazon S3 da utilizzare nelle politiche, consulta Azioni, risorse e chiavi di condizione per Amazon S3 nel Service Authorization Reference. Per un elenco completo delle API operazioni di Amazon S3, consulta Amazon S3 Actions nel Amazon API Simple Storage Service Reference. API

Argomenti

Operazioni e autorizzazioni di Bucket
Operazioni e autorizzazioni degli oggetti
Operazioni e autorizzazioni dei punti di accesso
Operazioni e autorizzazioni del punto di accesso Object Lambda
Operazioni e autorizzazioni per punti di accesso multiregionali
Operazioni di lavoro in batch e autorizzazioni
Operazioni e autorizzazioni di configurazione di S3 Storage Lens
S3 Storage Lens raggruppa operazioni e autorizzazioni
Operazioni e autorizzazioni dell'account

Le operazioni bucket sono operazioni S3 API che operano sul tipo di risorsa bucket. È necessario specificare le azioni delle policy S3 per le operazioni dei bucket nelle policy dei bucket o nelle politiche basate sull'identità. IAM

Nelle policy, l'Resourceelemento deve essere il bucket Amazon Resource Name (ARN). Per ulteriori informazioni sul formato degli Resource elementi e sulle politiche di esempio, consultaOperazioni relative ai bucket.

Nota

Per concedere le autorizzazioni alle operazioni dei bucket nelle politiche dei punti di accesso, tieni presente quanto segue:

Le autorizzazioni concesse per le operazioni sui bucket in una policy relativa ai punti di accesso sono valide solo se il bucket sottostante consente le stesse autorizzazioni. Quando si utilizza un punto di accesso, è necessario delegare il controllo di accesso dal bucket al punto di accesso o aggiungere le stesse autorizzazioni nella politica del punto di accesso alla politica del bucket sottostante.
Nelle politiche dei punti di accesso che concedono le autorizzazioni alle operazioni del bucket, l'elemento deve essere il. Resource accesspoint ARN Per ulteriori informazioni sul formato degli Resource elementi e sulle politiche di esempio, vedere. Operazioni sui bucket nelle politiche dei punti di accesso Per ulteriori informazioni sulle politiche relative ai punti di accesso, vedereConfigurazione delle IAM politiche per l'utilizzo dei punti di accesso.
Non tutte le operazioni relative ai bucket sono supportate dagli access point. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso con le operazioni S3.

Di seguito è riportata la mappatura delle operazioni del bucket e delle azioni politiche richieste.

APIoperazioni	Operazioni di policy	Descrizione delle azioni politiche
CreateBucket	(Obbligatorio) `s3:CreateBucket`	Necessario per creare un nuovo bucket s3.
	(Richiesto condizionalmente) `s3:PutBucketAcl`	Obbligatorio se si desidera utilizzare l'elenco di controllo degli accessi (ACL) per specificare le autorizzazioni su un bucket quando si effettua una richiesta. `CreateBucket`
	(Obbligatorio condizionalmente), `s3:PutBucketObjectLockConfiguration` `s3:PutBucketVersioning`	Obbligatorio se si desidera abilitare Object Lock quando si crea un bucket.
	(Obbligatorio condizionalmente) `s3:PutBucketOwnershipControls`	Obbligatorio se si desidera specificare S3 Object Ownership quando si crea un bucket.
DeleteBucket	(Richiesto) `s3:DeleteBucket`	Necessario per eliminare un bucket S3.
DeleteBucketAnalyticsConfiguration	(Obbligatorio) `s3:PutAnalyticsConfiguration`	Necessario per eliminare una configurazione di analisi S3 da un bucket S3.
DeleteBucketCors	(Obbligatorio) `s3:PutBucketCORS`	Necessario per eliminare la configurazione di condivisione delle risorse tra le origini (CORS) per un bucket.
DeleteBucketEncryption	(Obbligatorio) `s3:PutEncryptionConfiguration`	Necessario per reimpostare la configurazione di crittografia predefinita per un bucket S3 come crittografia lato server con chiavi gestite Amazon S3 (-S3). SSE
DeleteBucketIntelligentTieringConfiguration	(Obbligatorio) `s3:PutIntelligentTieringConfiguration`	Necessario per eliminare la configurazione S3 Intelligent-Tiering esistente da un bucket S3.
DeleteBucketInventoryConfiguration	(Obbligatorio) `s3:PutInventoryConfiguration`	Necessario per eliminare una configurazione S3 Inventory da un bucket S3.
DeleteBucketLifecycle	(Obbligatorio) `s3:PutLifecycleConfiguration`	Necessario per eliminare la configurazione del ciclo di vita S3 per un bucket S3.
DeleteBucketMetricsConfiguration	(Obbligatorio) `s3:PutMetricsConfiguration`	Necessario per eliminare una configurazione dei parametri per i parametri di CloudWatch richiesta Amazon da un bucket S3.
DeleteBucketOwnershipControls	(Obbligatorio) `s3:PutBucketOwnershipControls`	Necessario per rimuovere l'impostazione Object Ownership per un bucket S3. Dopo la rimozione, l'impostazione Object Ownership diventa. `Object writer`
DeleteBucketPolicy	(Obbligatorio) `s3:DeleteBucketPolicy`	Necessario per eliminare la policy di un bucket S3.
DeleteBucketReplication	(Richiesto) `s3:PutReplicationConfiguration`	Necessario per eliminare la configurazione di replica di un bucket S3.
DeleteBucketTagging	(Obbligatorio) `s3:PutBucketTagging`	Necessario per eliminare i tag da un bucket S3.
DeleteBucketWebsite	(Obbligatorio) `s3:DeleteBucketWebsite`	Necessario per rimuovere la configurazione del sito Web per un bucket S3.
DeletePublicAccessBlock(A livello di bucket)	(Richiesto) `s3:PutBucketPublicAccessBlock`	Necessario per rimuovere la configurazione di accesso pubblico a blocchi per un bucket S3.
GetBucketAccelerateConfiguration	(Obbligatorio) `s3:GetAccelerateConfiguration`	Necessario per utilizzare la sottorisorsa accelerate per restituire lo stato Amazon S3 Transfer Acceleration di un bucket, che è abilitato o sospeso.
GetBucketAcl	(Obbligatorio) `s3:GetBucketAcl`	Necessario per restituire l'elenco di controllo degli accessi (ACL) di un bucket S3.
GetBucketAnalyticsConfiguration	(Obbligatorio) `s3:GetAnalyticsConfiguration`	Necessario per restituire una configurazione di analisi identificata dall'ID di configurazione di analisi da un bucket S3.
GetBucketCors	(Obbligatorio) `s3:GetBucketCORS`	Necessario per restituire la configurazione di condivisione delle risorse tra le origini (CORS) per un bucket S3.
GetBucketEncryption	(Obbligatorio) `s3:GetEncryptionConfiguration`	Necessario per restituire la configurazione di crittografia predefinita per un bucket S3.
GetBucketIntelligentTieringConfiguration	(Obbligatorio) `s3:GetIntelligentTieringConfiguration`	Necessario per ottenere la configurazione S3 Intelligent-Tiering di un bucket S3.
GetBucketInventoryConfiguration	(Richiesto) `s3:GetInventoryConfiguration`	Necessario per restituire una configurazione di inventario identificata dall'ID di configurazione dell'inventario del bucket.
GetBucketLifecycle	(Obbligatorio) `s3:GetLifecycleConfiguration`	Necessario per restituire la configurazione del ciclo di vita S3 del bucket.
GetBucketLocation	(Obbligatorio) `s3:GetBucketLocation`	Obbligatorio per restituire il Regione AWS file in cui risiede un bucket S3.
GetBucketLogging	(Obbligatorio) `s3:GetBucketLogging`	Necessario per restituire lo stato di registrazione di un bucket S3 e le autorizzazioni di cui dispongono gli utenti per visualizzare e modificare tale stato.
GetBucketMetricsConfiguration	(Obbligatorio) `s3:GetMetricsConfiguration`	Necessario per ottenere una configurazione delle metriche specificata dall'ID di configurazione delle metriche dal bucket.
GetBucketNotificationConfiguration	(Obbligatorio) `s3:GetBucketNotification`	Necessario per restituire la configurazione di notifica di un bucket S3.
GetBucketOwnershipControls	(Obbligatorio) `s3:GetBucketOwnershipControls`	Necessario per recuperare l'impostazione Object Ownership per un bucket S3.
GetBucketPolicy	(Obbligatorio) `s3:GetBucketPolicy`	Necessario per restituire la policy di un bucket S3.
GetBucketPolicyStatus	(Richiesto) `s3:GetBucketPolicyStatus`	Necessario per recuperare lo stato della policy per un bucket S3, indicando se il bucket è pubblico.
GetBucketReplication	(Obbligatorio) `s3:GetReplicationConfiguration`	Necessario per restituire la configurazione di replica di un bucket S3.
GetBucketRequestPayment	(Obbligatorio) `s3:GetBucketRequestPayment`	Obbligatorio per restituire la configurazione di pagamento della richiesta per un bucket S3.
GetBucketVersioning	(Obbligatorio) `s3:GetBucketVersioning`	Necessario per restituire lo stato di versione di un bucket S3.
GetBucketTagging	(Obbligatorio) `s3:GetBucketTagging`	Obbligatorio per restituire il set di tag associato a un bucket S3.
GetBucketWebsite	(Obbligatorio) `s3:GetBucketWebsite`	Necessario per restituire la configurazione del sito Web per un bucket S3.
GetObjectLockConfiguration	(Obbligatorio) `s3:GetBucketObjectLockConfiguration`	Necessario per ottenere la configurazione Object Lock per un bucket S3.
GetPublicAccessBlock(A livello di bucket)	(Richiesto) `s3:GetBucketPublicAccessBlock`	Necessario per recuperare la configurazione di accesso pubblico a blocchi per un bucket S3.
HeadBucket	(Richiesto) `s3:ListBucket`	Necessario per determinare se esiste un bucket e se si dispone dell'autorizzazione per accedervi.
ListBucketAnalyticsConfigurations	(Obbligatorio) `s3:GetAnalyticsConfiguration`	Necessario per elencare le configurazioni di analisi per un bucket S3.
ListBucketIntelligentTieringConfigurations	(Obbligatorio) `s3:GetIntelligentTieringConfiguration`	Necessario per elencare le configurazioni S3 Intelligent-Tiering di un bucket S3.
ListBucketInventoryConfigurations	(Obbligatorio) `s3:GetInventoryConfiguration`	Obbligatorio per restituire un elenco di configurazioni di inventario per un bucket S3.
ListBucketMetricsConfigurations	(Obbligatorio) `s3:GetMetricsConfiguration`	Necessario per elencare le configurazioni delle metriche per un bucket S3.
ListObjects	(Obbligatorio) `s3:ListBucket`	Necessario per elencare alcuni o tutti (fino a 1.000) gli oggetti in un bucket S3.
	(Richiesto condizionalmente) `s3:GetObjectAcl`	Obbligatorio se si desidera visualizzare le informazioni sul proprietario dell'oggetto.
ListObjectsV2	(Obbligatorio) `s3:ListBucket`	Necessario per elencare alcuni o tutti (fino a 1.000) gli oggetti in un bucket S3.
	(Richiesto condizionalmente) `s3:GetObjectAcl`	Obbligatorio se si desidera visualizzare le informazioni sul proprietario dell'oggetto.
ListObjectVersions	(Obbligatorio) `s3:ListBucketVersions`	Necessario per ottenere i metadati su tutte le versioni degli oggetti in un bucket S3.
PutBucketAccelerateConfiguration	(Obbligatorio) `s3:PutAccelerateConfiguration`	Necessario per impostare la configurazione di accelerazione di un bucket esistente.
PutBucketAcl	(Obbligatorio) `s3:PutBucketAcl`	Necessario per utilizzare gli elenchi di controllo degli accessi (ACLs) per impostare le autorizzazioni su un bucket esistente.
PutBucketAnalyticsConfiguration	(Obbligatorio) `s3:PutAnalyticsConfiguration`	Necessario per impostare una configurazione di analisi per un bucket S3.
PutBucketCors	(Obbligatorio) `s3:PutBucketCORS`	Necessario per impostare la configurazione di condivisione delle risorse tra le origini (CORS) per un bucket S3.
PutBucketEncryption	(Richiesto) `s3:PutEncryptionConfiguration`	Necessario per configurare la crittografia predefinita per un bucket S3.
PutBucketIntelligentTieringConfiguration	(Obbligatorio) `s3:PutIntelligentTieringConfiguration`	Necessario per inserire la configurazione S3 Intelligent-Tiering in un bucket S3.
PutBucketInventoryConfiguration	(Richiesto) `s3:PutInventoryConfiguration`	Necessario per aggiungere una configurazione di inventario a un bucket S3.
PutBucketLifecycle	(Obbligatorio) `s3:PutLifecycleConfiguration`	Necessario per creare una nuova configurazione del ciclo di vita S3 o sostituire una configurazione del ciclo di vita esistente per un bucket S3.
PutBucketLogging	(Obbligatorio) `s3:PutBucketLogging`	Necessario per impostare i parametri di registrazione per un bucket S3 e specificare le autorizzazioni per chi può visualizzare e modificare i parametri di registrazione.
PutBucketMetricsConfiguration	(Obbligatorio) `s3:PutMetricsConfiguration`	Necessario per impostare o aggiornare una configurazione dei parametri per i parametri di CloudWatch richiesta Amazon di un bucket S3.
PutBucketNotificationConfiguration	(Obbligatorio) `s3:PutBucketNotification`	Necessario per abilitare le notifiche di eventi specifici per un bucket S3.
PutBucketOwnershipControls	(Obbligatorio) `s3:PutBucketOwnershipControls`	Necessario per creare o modificare l'impostazione Object Ownership per un bucket S3.
PutBucketPolicy	(Obbligatorio) `s3:PutBucketPolicy`	Necessario per applicare una policy sui bucket S3 a un bucket.
PutBucketReplication	(Obbligatorio) `s3:PutReplicationConfiguration`	Necessario per creare una nuova configurazione di replica o sostituirne una esistente per un bucket S3.
PutBucketRequestPayment	(Obbligatorio) `s3:PutBucketRequestPayment`	Necessario per impostare la configurazione di pagamento della richiesta per un bucket.
PutBucketTagging	(Obbligatorio) `s3:PutBucketTagging`	Necessario per aggiungere un set di tag a un bucket S3.
PutBucketVersioning	(Obbligatorio) `s3:PutBucketVersioning`	Necessario per impostare lo stato di controllo delle versioni di un bucket S3.
PutBucketWebsite	(Obbligatorio) `s3:PutBucketWebsite`	Necessario per configurare un bucket come sito Web e impostare la configurazione del sito Web.
PutObjectLockConfiguration	(Richiesto) `s3:PutBucketObjectLockConfiguration`	Necessario per inserire la configurazione Object Lock su un bucket S3.
PutPublicAccessBlock(A livello di bucket)	(Richiesto) `s3:PutBucketPublicAccessBlock`	Necessario per creare o modificare la configurazione di accesso pubblico a blocchi per un bucket S3.

Le operazioni sugli oggetti sono API operazioni S3 che operano sul tipo di risorsa oggetto. È necessario specificare le azioni politiche di S3 per le operazioni sugli oggetti nelle politiche basate sulle risorse (come le policy dei bucket, le politiche dei punti di accesso, le politiche dei punti di accesso multiregionali, le politiche degli endpoint) o nelle politiche basate sull'identità. VPC IAM

Nelle politiche, l'elemento deve essere l'oggetto. Resource ARN Per ulteriori informazioni sul formato degli Resource elementi e sulle politiche di esempio, vedereOperazioni sugli oggetti.

Nota

AWS KMS le azioni politiche (kms:GenerateDataKeyandkms:Decrypt) sono applicabili solo per il tipo di AWS KMS risorsa e devono essere specificate nelle politiche IAM basate sull'identità e nelle politiche basate sulle AWS KMS risorse (politiche chiave).AWS KMS Non è possibile specificare azioni AWS KMS politiche nelle politiche basate sulle risorse di S3, come le policy dei bucket S3.
Quando utilizzi i punti di accesso per controllare l'accesso alle operazioni sugli oggetti, puoi utilizzare le policy dei punti di accesso. Per concedere le autorizzazioni alle operazioni sugli oggetti nelle politiche dei punti di accesso, tenete presente quanto segue:
- Nelle politiche dei punti di accesso che concedono le autorizzazioni alle operazioni sugli oggetti, l'Resourceelemento deve essere lo stesso ARNs per gli oggetti a cui si accede tramite un punto di accesso. Per ulteriori informazioni sul formato degli Resource elementi e sulle politiche di esempio, vedereOperazioni sugli oggetti nelle politiche dei punti di accesso.
- Non tutte le operazioni sugli oggetti sono supportate dai punti di accesso. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso con le operazioni S3.
Non tutte le operazioni sugli oggetti sono supportate dai punti di accesso multiregionali. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso multi-regione con le operazioni S3.

Di seguito è riportata la mappatura delle operazioni sugli oggetti e delle azioni politiche richieste.

APIoperazioni	Operazioni di policy	Descrizione delle azioni politiche
AbortMultipartUpload	(Obbligatorio) `s3:AbortMultipartUpload`	Necessario per interrompere un caricamento in più parti.
CompleteMultipartUpload	(Obbligatorio) `s3:PutObject`	Necessario per completare un caricamento in più parti.
	(Obbligatorio condizionalmente) `kms:Decrypt`	Obbligatorio se desideri completare un caricamento in più parti per un oggetto crittografato con chiave gestita AWS KMS dal cliente.
CopyObject	Per l'oggetto sorgente:	Per l'oggetto sorgente:
	(Obbligatorio) `s3:GetObject` O `s3:GetObjectVersion`	`s3:GetObject`— Obbligatorio se si desidera copiare un oggetto dal bucket di origine senza specificarlo `versionId` nella richiesta. `s3:GetObjectVersion`— Obbligatorio se si desidera copiare una versione specifica di un oggetto dal bucket di origine `versionId` specificandolo nella richiesta.
	(Obbligatorio condizionalmente) `kms:Decrypt`	Obbligatorio se si desidera copiare un oggetto crittografato con chiave gestita dal AWS KMS cliente dal bucket di origine.
	Per l'oggetto di destinazione:	Per l'oggetto di destinazione:
	(Obbligatorio) `s3:PutObject`	Necessario per inserire l'oggetto copiato nel bucket di destinazione.
	(Obbligatorio condizionalmente) `s3:PutObjectAcl`	Obbligatorio se si desidera inserire l'oggetto copiato con la lista di controllo dell'accesso agli oggetti (ACL) nel bucket di destinazione quando si effettua una richiesta. `CopyObject`
	(Obbligatorio condizionalmente) `s3:PutObjectTagging`	Obbligatorio se si desidera inserire l'oggetto copiato con i tag degli oggetti nel bucket di destinazione quando si effettua una richiesta. `CopyObject`
	(Condizionalmente richiesto) `kms:GenerateDataKey`	Obbligatorio se si desidera crittografare l'oggetto copiato con una chiave gestita AWS KMS dal cliente e inserirlo nel bucket di destinazione.
	(Obbligatorio condizionalmente) `s3:PutObjectRetention`	Obbligatorio se si desidera impostare una configurazione di conservazione Object Lock per il nuovo oggetto.
	(Richiesto condizionalmente) `s3:PutObjectLegalHold`	Obbligatorio se si desidera inserire un blocco legale Object Lock sul nuovo oggetto.
CreateMultipartUpload	(Obbligatorio) `s3:PutObject`	Necessario per creare un caricamento multiparte.
	(Obbligatorio condizionalmente) `s3:PutObjectAcl`	Obbligatorio se si desidera impostare i permessi della lista di controllo dell'accesso agli oggetti (ACL) per l'oggetto caricato.
	(Richiesto condizionalmente) `s3:PutObjectTagging`	Obbligatorio se si desidera aggiungere tag agli oggetti caricati.
	(Obbligatorio condizionalmente) `kms:GenerateDataKey`	Obbligatorio se si desidera utilizzare una chiave gestita AWS KMS dal cliente per crittografare un oggetto quando si avvia un caricamento in più parti.
	(Obbligatorio condizionalmente) `s3:PutObjectRetention`	Obbligatorio se si desidera impostare una configurazione di conservazione Object Lock per l'oggetto caricato.
	(Richiesto condizionalmente) `s3:PutObjectLegalHold`	Obbligatorio se si desidera applicare un blocco legale Object Lock all'oggetto caricato.
DeleteObject	(Obbligatorio) `s3:DeleteObject` O `s3:DeleteObjectVersion`	`s3:DeleteObject`— Obbligatorio se si desidera rimuovere un oggetto senza specificarlo `versionId` nella richiesta. `s3:DeleteObjectVersion`— Obbligatorio se si desidera rimuovere una versione specifica di un oggetto specificandolo `versionId` nella richiesta.
	(Obbligatorio condizionalmente) `s3:BypassGovernanceRetention`	Obbligatorio se si desidera eliminare un oggetto protetto dalla modalità di governance per la conservazione di Object Lock.
DeleteObjects	(Obbligatorio) `s3:DeleteObject` O `s3:DeleteObjectVersion`	`s3:DeleteObject`— Obbligatorio se si desidera rimuovere un oggetto senza specificarlo `versionId` nella richiesta. `s3:DeleteObjectVersion`— Obbligatorio se si desidera rimuovere una versione specifica di un oggetto specificandolo `versionId` nella richiesta.
	(Obbligatorio condizionalmente) `s3:BypassGovernanceRetention`	Obbligatorio se si desidera eliminare oggetti protetti dalla modalità di governance per la conservazione di Object Lock.
DeleteObjectTagging	(Obbligatorio) `s3:DeleteObjectTagging` O `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging`— Obbligatorio se si desidera rimuovere l'intero set di tag di un oggetto senza specificarlo `versionId` nella richiesta. `s3:DeleteObjectVersionTagging`— Obbligatorio se si desidera eliminare i tag di una versione specifica dell'oggetto specificandolo `versionId` nella richiesta.
GetObject	(Obbligatorio) O `s3:GetObject` `s3:GetObjectVersion`	`s3:GetObject`— Obbligatorio se si desidera ottenere un oggetto senza specificarlo `versionId` nella richiesta. `s3:GetObjectVersion`— Obbligatorio se si desidera ottenere una versione specifica di un oggetto specificandolo `versionId` nella richiesta.
	(Obbligatorio condizionalmente) `kms:Decrypt`	Obbligatorio se si desidera ottenere e decrittografare un oggetto crittografato con chiave gestita AWS KMS dal cliente.
	(Richiesto condizionalmente) `s3:GetObjectTagging`	Obbligatorio se si desidera ottenere il set di tag di un oggetto quando si effettua una richiesta. `GetObject`
	(Richiesto condizionalmente) `s3:GetObjectLegalHold`	Obbligatorio se si desidera ottenere lo stato di conservazione legale corrente di Object Lock di un oggetto.
	(Obbligatorio condizionalmente) `s3:GetObjectRetention`	Obbligatorio se si desidera recuperare le impostazioni di conservazione di Object Lock per un oggetto.
GetObjectAcl	(Obbligatorio) O `s3:GetObjectAcl` `s3:GetObjectVersionAcl`	`s3:GetObjectAcl`— Obbligatorio se si desidera ottenere la lista di controllo degli accessi (ACL) di un oggetto senza specificarlo `versionId` nella richiesta. `s3:GetObjectVersionAcl`— Obbligatorio se si desidera ottenere la lista di controllo degli accessi (ACL) di un oggetto specificandolo `versionId` nella richiesta.
GetObjectAttributes	(Obbligatorio) O `s3:GetObject` `s3:GetObjectVersion`	`s3:GetObject`— Obbligatorio se si desidera recuperare gli attributi relativi a un oggetto senza specificarli `versionId` nella richiesta. `s3:GetObjectVersion`— Obbligatorio se si desidera recuperare gli attributi relativi a una versione specifica dell'oggetto `versionId` specificandolo nella richiesta.
	(Obbligatorio condizionalmente) `kms:Decrypt`	Obbligatorio se si desidera recuperare gli attributi relativi a un oggetto crittografato con chiave gestita AWS KMS dal cliente.
GetObjectLegalHold	(Obbligatorio) `s3:GetObjectLegalHold`	Obbligatorio per ottenere lo stato di conservazione legale attuale di Object Lock di un oggetto.
GetObjectRetention	(Obbligatorio) `s3:GetObjectRetention`	Necessario per recuperare le impostazioni di conservazione di Object Lock per un oggetto.
GetObjectTagging	(Obbligatorio) O `s3:GetObjectTagging` `s3:GetObjectVersionTagging`	`s3:GetObjectTagging`— Obbligatorio se si desidera ottenere il set di tag di un oggetto senza specificarlo `versionId` nella richiesta. `s3:GetObjectVersionTagging`— Obbligatorio se si desidera ottenere i tag di una versione specifica dell'oggetto specificandolo `versionId` nella richiesta.
GetObjectTorrent	(Obbligatorio) `s3:GetObject`	Necessario per restituire i file torrent di un oggetto.
HeadObject	(Obbligatorio) `s3:GetObject`	Necessario per recuperare i metadati da un oggetto senza restituire l'oggetto stesso.
	(Obbligatorio condizionalmente) `s3:GetObjectLegalHold`	Obbligatorio se si desidera ottenere lo stato di conservazione legale corrente di Object Lock di un oggetto.
	(Obbligatorio condizionalmente) `s3:GetObjectRetention`	Obbligatorio se si desidera recuperare le impostazioni di conservazione di Object Lock per un oggetto.
ListMultipartUploads	(Obbligatorio) `s3:ListBucketMultipartUploads`	Necessario per elencare i caricamenti multiparte in corso in un bucket.
ListParts	(Obbligatorio) `s3:ListMultipartUploadParts`	Obbligatorio per elencare le parti che sono state caricate per un caricamento multiparte specifico.
	(Obbligatorio condizionalmente) `kms:Decrypt`	Obbligatorio se desideri elencare parti di un caricamento multiparte crittografato con chiave gestita dal AWS KMS cliente.
PutObject	(Obbligatorio) `s3:PutObject`	Necessario per mettere un oggetto.
	(Condizionalmente richiesto) `s3:PutObjectAcl`	Obbligatorio se si desidera inserire la lista di controllo dell'accesso agli oggetti (ACL) quando si effettua una `PutObject` richiesta.
	(Richiesto condizionalmente) `s3:PutObjectTagging`	Obbligatorio se si desidera inserire i tag degli oggetti quando si effettua una `PutObject` richiesta.
	(Obbligatorio condizionalmente) `kms:GenerateDataKey`	Obbligatorio se si desidera crittografare un oggetto con una chiave gestita AWS KMS dal cliente.
	(Richiesto condizionalmente) `s3:PutObjectRetention`	Obbligatorio se si desidera impostare una configurazione di conservazione di Object Lock su un oggetto.
	(Obbligatorio condizionalmente) `s3:PutObjectLegalHold`	Obbligatorio se si desidera applicare una configurazione di conservazione legale di Object Lock a un oggetto specificato.
PutObjectAcl	(Obbligatorio) `s3:PutObjectAcl` O `s3:PutObjectVersionAcl`	`s3:PutObjectAcl`— Obbligatorio se si desidera impostare i permessi della lista di controllo degli accessi (ACL) per un oggetto nuovo o esistente senza specificarlo `versionId` nella richiesta. `s3:PutObjectVersionAcl`— Obbligatorio se si desidera impostare i permessi dell'access control list (ACL) per un oggetto nuovo o esistente `versionId` specificandolo nella richiesta.
PutObjectLegalHold	(Obbligatorio) `s3:PutObjectLegalHold`	Necessario per applicare una configurazione di conservazione legale di Object Lock a un oggetto.
PutObjectRetention	(Obbligatorio) `s3:PutObjectRetention`	Necessario per applicare una configurazione di conservazione Object Lock a un oggetto.
	(Richiesto condizionalmente) `s3:BypassGovernanceRetention`	Obbligatorio se si desidera ignorare la modalità di governance di una configurazione di conservazione di Object Lock.
PutObjectTagging	(Obbligatorio) O `s3:PutObjectTagging` `s3:PutObjectVersionTagging`	`s3:PutObjectTagging`— Obbligatorio se si desidera impostare il set di tag fornito su un oggetto già esistente in un bucket senza specificarlo `versionId` nella richiesta. `s3:PutObjectVersionTagging`— Obbligatorio se si desidera impostare il set di tag fornito su un oggetto già esistente in un bucket `versionId` specificandolo nella richiesta.
RestoreObject	(Obbligatorio) `s3:RestoreObject`	Necessario per ripristinare una copia di un oggetto archiviato.
SelectObjectContent	(Obbligatorio) `s3:GetObject`	Necessario per filtrare il contenuto di un oggetto S3 in base a una semplice istruzione strutturata del linguaggio di interrogazione (SQL).
	(Richiesto condizionalmente) `kms:Decrypt`	Obbligatorio se desideri filtrare il contenuto di un oggetto S3 crittografato con una chiave gestita AWS KMS dal cliente.
UploadPart	(Obbligatorio) `s3:PutObject`	Necessario per caricare una parte in un caricamento multiparte.
	(Obbligatorio condizionalmente) `kms:GenerateDataKey`	Obbligatorio se desideri inserire una parte di caricamento e crittografarla con una chiave gestita AWS KMS dal cliente.
UploadPartCopy	Per l'oggetto sorgente:	Per l'oggetto sorgente:
	(Obbligatorio) `s3:GetObject` O `s3:GetObjectVersion`	`s3:GetObject`— Obbligatorio se si desidera copiare un oggetto dal bucket di origine senza specificarlo `versionId` nella richiesta. `s3:GetObjectVersion`— Obbligatorio se si desidera copiare una versione specifica di un oggetto dal bucket di origine `versionId` specificandolo nella richiesta.
	(Obbligatorio condizionalmente) `kms:Decrypt`	Obbligatorio se si desidera copiare un oggetto crittografato con chiave gestita dal AWS KMS cliente dal bucket di origine.
	Per la parte di destinazione:	Per la parte di destinazione:
	(Obbligatorio) `s3:PutObject`	Necessario per caricare una parte di caricamento in più parti nel bucket di destinazione.
	(Condizionalmente richiesto) `kms:GenerateDataKey`	Obbligatorio se si desidera crittografare una parte con una chiave gestita AWS KMS dal cliente quando la si carica nel bucket di destinazione.

Le operazioni sui punti di accesso sono API operazioni S3 che operano sul tipo di accesspoint risorsa. È necessario specificare le azioni relative alle policy di S3 per le operazioni relative ai punti di accesso nelle policy IAM basate sull'identità, non nelle policy bucket o nelle policy dei punti di accesso.

Nelle politiche, l'elemento deve essere il. Resource accesspoint ARN Per ulteriori informazioni sul formato degli Resource elementi e sulle politiche di esempio, vedereOperazioni sui punti di accesso.

Nota

Se desideri utilizzare i punti di accesso per controllare l'accesso alle operazioni sui bucket o sugli oggetti, tieni presente quanto segue:

Per utilizzare i punti di accesso per controllare l'accesso alle operazioni del bucket, vedere. Operazioni sui bucket nelle politiche dei punti di accesso
Per utilizzare i punti di accesso per controllare l'accesso alle operazioni sugli oggetti, vedereOperazioni sugli oggetti nelle politiche dei punti di accesso.
Per ulteriori informazioni su come configurare le politiche dei punti di accesso, vedereConfigurazione delle IAM politiche per l'utilizzo dei punti di accesso.

Di seguito è riportata la mappatura delle operazioni dei punti di accesso e delle azioni politiche richieste.

APIoperazioni	Operazioni di policy	Descrizione delle azioni politiche
CreateAccessPoint	(Obbligatorio) `s3:CreateAccessPoint`	Necessario per creare un punto di accesso associato a un bucket S3.
DeleteAccessPoint	(Obbligatorio) `s3:DeleteAccessPoint`	Necessario per eliminare un punto di accesso.
DeleteAccessPointPolicy	(Obbligatorio) `s3:DeleteAccessPointPolicy`	Necessario per eliminare una policy relativa ai punti di accesso.
GetAccessPointPolicy	(Obbligatorio) `s3:GetAccessPointPolicy`	Necessario per recuperare una policy sui punti di accesso.
GetAccessPointPolicyStatus	(Richiesto) `s3:GetAccessPointPolicyStatus`	Necessario per recuperare le informazioni relative al fatto che il punto di accesso specificato disponga attualmente di una politica che consenta l'accesso pubblico.
PutAccessPointPolicy	(Obbligatorio) `s3:PutAccessPointPolicy`	Necessario per inserire una policy sui punti di accesso.

Le operazioni Object Lambda Access Point sono operazioni S3 API che operano sul objectlambdaaccesspoint tipo di risorsa. Per ulteriori informazioni su come configurare le politiche per le operazioni degli access point Object Lambda, vedere. Configurazione delle IAM politiche per gli access point Object Lambda

Di seguito è riportata la mappatura delle operazioni del punto di accesso Object Lambda e delle azioni politiche richieste.

APIoperazioni	Operazioni di policy	Descrizione delle azioni politiche
CreateAccessPointForObjectLambda	(Obbligatorio) `s3:CreateAccessPointForObjectLambda`	Necessario per creare un punto di accesso Object Lambda.
DeleteAccessPointForObjectLambda	(Obbligatorio) `s3:DeleteAccessPointForObjectLambda`	Necessario per eliminare un punto di accesso Lambda Object specificato.
DeleteAccessPointPolicyForObjectLambda	(Obbligatorio) `s3:DeleteAccessPointPolicyForObjectLambda`	Necessario per eliminare la policy su un punto di accesso Object Lambda specificato.
GetAccessPointConfigurationForObjectLambda	(Obbligatorio) `s3:GetAccessPointConfigurationForObjectLambda`	Necessario per recuperare la configurazione dell'Object Lambda Access Point.
GetAccessPointForObjectLambda	(Obbligatorio) `s3:GetAccessPointForObjectLambda`	Necessario per recuperare informazioni sull'access point Object Lambda.
GetAccessPointPolicyForObjectLambda	(Obbligatorio) `s3:GetAccessPointPolicyForObjectLambda`	Necessario per restituire la policy del punto di accesso associata al punto di accesso Object Lambda specificato.
GetAccessPointPolicyStatusForObjectLambda	(Obbligatorio) `s3:GetAccessPointPolicyStatusForObjectLambda`	Necessario per restituire lo stato della policy per una specifica policy Object Lambda Access Point.
PutAccessPointConfigurationForObjectLambda	(Obbligatorio) `s3:PutAccessPointConfigurationForObjectLambda`	Necessario per impostare la configurazione dell'Object Lambda Access Point.
PutAccessPointPolicyForObjectLambda	(Obbligatorio) `s3:PutAccessPointPolicyForObjectLambda`	Necessario per associare una politica di accesso a un punto di accesso Object Lambda specificato.

Le operazioni dei punti di accesso multiregionali sono operazioni S3 API che operano sul tipo di risorsa. multiregionaccesspoint Per ulteriori informazioni su come configurare le politiche per le operazioni dei punti di accesso multiregionali, consulta. Esempi di policy dei punti di accesso multi-regione

Di seguito è riportata la mappatura delle operazioni dei punti di accesso multiregionali e delle azioni politiche richieste.

APIoperazioni	Operazioni di policy	Descrizione delle azioni politiche
CreateMultiRegionAccessPoint	(Obbligatorio) `s3:CreateMultiRegionAccessPoint`	Necessario per creare un punto di accesso multiregionale e associarlo ai bucket S3.
DeleteMultiRegionAccessPoint	(Obbligatorio) `s3:DeleteMultiRegionAccessPoint`	Necessario per eliminare un punto di accesso multiregionale.
DescribeMultiRegionAccessPointOperation	(Obbligatorio) `s3:DescribeMultiRegionAccessPointOperation`	Necessario per recuperare lo stato di una richiesta asincrona per gestire un punto di accesso multiregionale.
GetMultiRegionAccessPoint	(Obbligatorio) `s3:GetMultiRegionAccessPoint`	Necessario per restituire le informazioni di configurazione relative al punto di accesso multiregionale specificato.
GetMultiRegionAccessPointPolicy	(Obbligatorio) `s3:GetMultiRegionAccessPointPolicy`	Necessario per restituire la politica di controllo dell'accesso del punto di accesso multiregionale specificato.
GetMultiRegionAccessPointPolicyStatus	(Obbligatorio) `s3:GetMultiRegionAccessPointPolicyStatus`	Necessario per restituire lo stato della politica per uno specifico punto di accesso multiregionale indicante se il punto di accesso multiregionale specificato dispone di una politica di controllo degli accessi che consente l'accesso pubblico.
GetMultiRegionAccessPointRoutes	(Obbligatorio) `s3:GetMultiRegionAccessPointRoutes`	Necessario per restituire la configurazione di routing per un punto di accesso multiregionale.
PutMultiRegionAccessPointPolicy	(Obbligatorio) `s3:PutMultiRegionAccessPointPolicy`	Necessario per aggiornare la politica di controllo dell'accesso del punto di accesso multiregionale specificato.
SubmitMultiRegionAccessPointRoutes	(Obbligatorio) `s3:SubmitMultiRegionAccessPointRoutes`	Necessario per inviare una configurazione di rotta aggiornata per un punto di accesso multiregionale.

Le operazioni di lavoro (Batch Operations) sono API operazioni S3 che operano sul tipo di job risorsa. È necessario specificare le azioni politiche di S3 per le operazioni di lavoro in policy IAM basate sull'identità, non in policy bucket.

Nelle politiche, l'elemento deve essere il. Resource job ARN Per ulteriori informazioni sul formato degli Resource elementi e sulle politiche di esempio, vedereOperazioni di lavoro in batch.

Di seguito è riportata la mappatura delle operazioni di lavoro in batch e delle azioni politiche richieste.

APIoperazioni	Operazioni di policy	Descrizione delle azioni politiche
DeleteJobTagging	(Obbligatorio) `s3:DeleteJobTagging`	Necessario per rimuovere i tag da un job S3 Batch Operations esistente.
DescribeJob	(Obbligatorio) `s3:DescribeJob`	Necessario per recuperare i parametri e lo stato di configurazione per un processo Batch Operations.
GetJobTagging	(Obbligatorio) `s3:GetJobTagging`	Necessario per restituire il set di tag di un job S3 Batch Operations esistente.
PutJobTagging	(Obbligatorio) `s3:PutJobTagging`	Necessario per inserire o sostituire i tag in un job S3 Batch Operations esistente.
UpdateJobPriority	(Obbligatorio) `s3:UpdateJobPriority`	Necessario per aggiornare la priorità di un lavoro esistente.
UpdateJobStatus	(Obbligatorio) `s3:UpdateJobStatus`	Necessario per aggiornare lo stato del lavoro specificato.

Le operazioni di configurazione di S3 Storage Lens sono operazioni S3 API che operano sul tipo di risorsa. storagelensconfiguration Per ulteriori informazioni su come configurare le operazioni di configurazione di S3 Storage Lens, consulta. Impostazione delle autorizzazioni di Amazon S3 Storage Lens

Di seguito è riportata la mappatura delle operazioni di configurazione di S3 Storage Lens e delle azioni politiche richieste.

APIoperazioni	Operazioni di policy	Descrizione delle azioni politiche
DeleteStorageLensConfiguration	(Obbligatorio) `s3:DeleteStorageLensConfiguration`	Necessario per eliminare la configurazione di S3 Storage Lens.
DeleteStorageLensConfigurationTagging	(Obbligatorio) `s3:DeleteStorageLensConfigurationTagging`	Necessario per eliminare i tag di configurazione di S3 Storage Lens.
GetStorageLensConfiguration	(Obbligatorio) `s3:GetStorageLensConfiguration`	Necessario per ottenere la configurazione di S3 Storage Lens.
GetStorageLensConfigurationTagging	(Richiesto) `s3:GetStorageLensConfigurationTagging`	Necessario per ottenere i tag della configurazione di S3 Storage Lens.
PutStorageLensConfigurationTagging	(Obbligatorio) `s3:PutStorageLensConfigurationTagging`	Necessario per inserire o sostituire i tag su una configurazione S3 Storage Lens esistente.

Le operazioni dei gruppi S3 Storage Lens sono operazioni S3 API che operano sul tipo di risorsa. storagelensgroup Per ulteriori informazioni su come configurare le autorizzazioni dei gruppi S3 Storage Lens, consulta. Autorizzazioni gruppi Storage Lens

Di seguito è riportata la mappatura delle operazioni dei gruppi di S3 Storage Lens e delle azioni politiche richieste.

APIoperazioni	Operazioni di policy	Descrizione delle azioni politiche
DeleteStorageLensGroup	(Obbligatorio) `s3:DeleteStorageLensGroup`	Necessario per eliminare un gruppo S3 Storage Lens esistente.
GetStorageLensGroup	(Obbligatorio) `s3:GetStorageLensGroup`	Necessario per recuperare i dettagli di configurazione del gruppo S3 Storage Lens.
UpdateStorageLensGroup	(Obbligatorio) `s3:UpdateStorageLensGroup`	Necessario per aggiornare il gruppo S3 Storage Lens esistente.

Le operazioni dell'account sono API operazioni S3 che operano a livello di account. L'account non è un tipo di risorsa definito da Amazon S3. È necessario specificare le azioni delle policy S3 per le operazioni degli account in policy IAM basate sull'identità, non in policy bucket.

Nelle politiche, l'elemento deve essere. Resource "*" Per ulteriori informazioni sui criteri di esempio, vedereOperazioni sull'account.

Di seguito è riportata la mappatura delle operazioni dell'account e delle azioni politiche richieste.

APIoperazioni	Operazioni di policy	Descrizione delle azioni politiche
CreateJob	(Obbligatorio) `s3:CreateJob`	Necessario per creare un nuovo job S3 Batch Operations.
CreateStorageLensGroup	(Obbligatorio) `s3:CreateStorageLensGroup`	Necessario per creare un nuovo gruppo S3 Storage Lens e associarlo all' Account AWS ID specificato.
	(Obbligatorio condizionalmente) `s3:TagResource`	Obbligatorio se desideri creare un gruppo S3 Storage Lens con tag di AWS risorse.
DeletePublicAccessBlock(A livello di account)	(Richiesto) `s3:PutAccountPublicAccessBlock`	Necessario per rimuovere la configurazione di accesso pubblico a blocchi da un Account AWS.
GetAccessPoint	(Richiesto) `s3:GetAccessPoint`	Necessario per recuperare le informazioni di configurazione relative al punto di accesso specificato.
GetAccessPointPolicy(A livello di account)	(Richiesto) `s3:GetAccountPublicAccessBlock`	Necessario per recuperare la configurazione di accesso pubblico a blocchi per un Account AWS.
ListAccessPoints	(Richiesto) `s3:ListAccessPoints`	Necessario per elencare i punti di accesso di un bucket S3 di proprietà di un. Account AWS
ListAccessPointsForObjectLambda	(Obbligatorio) `s3:ListAccessPointsForObjectLambda`	Necessario per elencare gli access point Object Lambda.
ListBuckets	(Obbligatorio) `s3:ListAllMyBuckets`	Obbligatorio per restituire un elenco di tutti i bucket di proprietà del mittente autenticato della richiesta.
ListJobs	(Obbligatorio) `s3:ListJobs`	Obbligatorio per elencare i lavori correnti e quelli che sono terminati di recente.
ListMultiRegionAccessPoints	(Obbligatorio) `s3:ListMultiRegionAccessPoints`	Obbligatorio per restituire un elenco dei punti di accesso multiregionali attualmente associati a quanto specificato Account AWS.
ListStorageLensConfigurations	(Obbligatorio) `s3:ListStorageLensConfigurations`	Necessario per ottenere un elenco delle configurazioni di S3 Storage Lens per un. Account AWS
ListStorageLensGroups	(Richiesto) `s3:ListStorageLensGroups`	Necessario per elencare tutti i gruppi di S3 Storage Lens nella home Regione AWS specificata.
PutPublicAccessBlock(A livello di account)	(Richiesto) `s3:PutAccountPublicAccessBlock`	Necessario per creare o modificare la configurazione di accesso pubblico a blocchi per un Account AWS.
PutStorageLensConfiguration	(Obbligatorio) `s3:PutStorageLensConfiguration`	Necessario per inserire una configurazione S3 Storage Lens.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Per un'operazione su un oggetto

Policy e autorizzazioni