Amazon S3 のアクション、リソース、条件キー
Amazon S3 (サービスプレフィックス: s3) には、IAM アクセス許可ポリシーで使用できる以下のサービス固有のリソース、アクション、条件コンテキストキーが用意されています。
参照:
-
このサービスを設定する方法について説明します。
-
このサービスで使用可能な API オペレーションのリストを表示します。
-
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。
Amazon S3 で定義されるアクション
IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、AWS でオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。
[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。
[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。
注記
リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。
以下の表の列の詳細については、「アクションテーブル」を参照してください。
| アクション | 説明 | アクセスレベル | リソースタイプ (* 必須) | 条件キー | 依存アクション |
|---|---|---|---|---|---|
| AbortMultipartUpload | マルチパートアップロードを中止するアクセス許可を付与 | Write | |||
| AssociateAccessGrantsIdentityCenter | Access Grants アイデンティティセンターを関連付けるためのアクセス許可を付与 | Write | |||
| BypassGovernanceRetention | ガバナースモードのオブジェクトリテンション設定の回避を可能にするアクセス許可を付与します | Permissions management | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| CreateAccessGrant | アクセス許可を作成するためのアクセス許可を付与 | 書き込み | |||
| CreateAccessGrantsInstance | Access Grants インスタンスを作成するためのアクセス許可を付与 | 書き込み | |||
| CreateAccessGrantsLocation | Access Grants ロケーションを作成するためのアクセス許可を付与 | 書き込み | |||
| CreateAccessPoint | 新しいアクセスポイントを作成する許可を付与 | Write | |||
| CreateAccessPointForObjectLambda | オブジェクト Lambda 対応のアクセスポイントを作成するアクセス許可を付与します | Write | |||
| CreateBucket | 新しいバケットを作成するアクセス許可を付与します | Write | |||
| CreateJob | 新しい Amazon S3 バッチオペレーションジョブを作成するアクセス許可を付与します | 書き込み |
iam:PassRole |
||
| CreateMultiRegionAccessPoint | 新しい Multi-Region Access Point を作成する許可を付与 | 書き込み | |||
| CreateStorageLensGroup | Amazon S3 Storage Lens グループを作成する許可を付与 | 書き込み | |||
| DeleteAccessGrant | アクセス許可を削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteAccessGrantsInstance | Access Grants インスタンスを削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteAccessGrantsInstanceResourcePolicy | Access Grants インスタンスのリソースポリシーを読み込むためのアクセス許可を付与 | 書き込み | |||
| DeleteAccessGrantsLocation | Access Grants ロケーションを削除するためのアクセス許可を付与 | 書き込み | |||
| DeleteAccessPoint | URI で指定されたアクセスポイントを削除するアクセス許可を付与します | Write | |||
| DeleteAccessPointForObjectLambda | URI で指定されたオブジェクト Lambda 対応アクセスポイントを削除するアクセス許可を付与します | Write | |||
| DeleteAccessPointPolicy | 指定したアクセスポイントでポリシーを削除するアクセス許可を付与します | Permissions management | |||
| DeleteAccessPointPolicyForObjectLambda | 指定されたオブジェクト Lambda が有効なアクセスポイントでポリシーを削除するアクセス許可を付与します | Permissions management | |||
| DeleteBucket | URI で指定されたバケットを削除するアクセス許可を付与します | Write | |||
| DeleteBucketPolicy | 指定したバケットのポリシーを削除するアクセス許可を付与 | Permissions management | |||
| DeleteBucketWebsite | バケットのウェブサイト設定を削除するアクセス許可を付与します | Write | |||
| DeleteJobTagging | 既存の Amazon S3 バッチオペレーションジョブからタグを削除するアクセス許可を付与します | タグ付け | |||
| DeleteMultiRegionAccessPoint | URI で指定された Multi-Region Access Point を削除する許可を付与 | 書き込み | |||
| DeleteObject | オブジェクトの null バージョンを削除し、削除マーカーを挿入する許可を付与。このマーカーは、オブジェクトの現在のバージョンになります | Write | |||
| DeleteObjectTagging | タグ付けサブリソースを使用して、指定したオブジェクトからタグセット全体を削除するアクセス許可を付与 | タグ付け | |||
| DeleteObjectVersion | 特定のバージョンのオブジェクトを削除するアクセス許可を付与 | Write | |||
| DeleteObjectVersionTagging | オブジェクトの特定のバージョンのタグセット全体を削除するアクセス許可を付与 | タグ付け | |||
| DeleteStorageLensConfiguration | 既存の Amazon S3 ストレージレンズ設定を削除するアクセス許可を付与します | Write | |||
| DeleteStorageLensConfigurationTagging | 既存の Amazon S3 ストレージレンズ設定からタグを削除するアクセス許可を付与します | タグ付け | |||
| DeleteStorageLensGroup | 既存の S3 Storage Lens グループを削除する許可を付与 | 書き込み | |||
| DescribeJob | バッチオペレーションジョブの設定パラメータとステータスを取得するアクセス許可を付与します | Read | |||
| DescribeMultiRegionAccessPointOperation | Multi-Region Access Point の設定を取得する許可を付与 | 読み取り | |||
| DissociateAccessGrantsIdentityCenter | Access Grants アイデンティティセンターの関連付けを解除するためのアクセス許可を付与 | 書き込み | |||
| GetAccelerateConfiguration | Accelerate サブリソースを使用してバケットの Transfer Acceleration 状態 (Enabled または Suspended) を返すアクセス許可を付与します | 読み取り | |||
| GetAccessGrant | アクセス許可を読み込むためのアクセス許可を付与 | 読み取り | |||
| GetAccessGrantsInstance | Access Grants インスタンスを読み込むためのアクセス許可を付与 | 読み取り | |||
| GetAccessGrantsInstanceForPrefix | Access Grants インスタンスをプレフィックスで読み込むためのアクセス許可を付与 | 読み取り | |||
| GetAccessGrantsInstanceResourcePolicy | Access Grants インスタンスのリソースポリシーを読み込むためのアクセス許可を付与 | 読み取り | |||
| GetAccessGrantsLocation | Access Grants ロケーションを読み込むためのアクセス許可を付与 | 読み取り | |||
| GetAccessPoint | 指定したアクセスポイントに関する設定情報を返すアクセス許可を付与します | Read | |||
| GetAccessPointConfigurationForObjectLambda | オブジェクト Lambda 対応アクセスポイントの設定を取得するためのアクセス許可を付与します | Read | |||
| GetAccessPointForObjectLambda | オブジェクト Lambda 対応のアクセスポイントを作成するアクセス許可を付与します | Read | |||
| GetAccessPointPolicy | 指定したアクセスポイントに関連付けられたアクセスポイントポリシーを返すアクセス許可を付与します | Read | |||
| GetAccessPointPolicyForObjectLambda | 指定したオブジェクト Lambda 対応のアクセスポイントに関連付けられたアクセスポイントポリシーを返すアクセス許可を付与します | Read | |||
| GetAccessPointPolicyStatus | 特定のアクセスポイントポリシーのポリシーステータスを返すアクセス許可を付与します | Read | |||
| GetAccessPointPolicyStatusForObjectLambda | 特定のオブジェクト Lambda アクセスポイントポリシーのポリシーステータスを返すアクセス許可を付与します | Read | |||
| GetAccountPublicAccessBlock | AWS アカウントの PublicAccessBlock 設定を取得する許可を付与します | Read | |||
| GetAnalyticsConfiguration | Amazon S3 バケットから分析設定を取得するアクセス許可を付与します。このアクセス許可は、分析設定 ID で識別されます | Read | |||
| GetBucketAcl | acl サブリソースを使用して Amazon S3 バケットのアクセスコントロールリスト (ACL) を返すアクセス許可を付与します。 | Read | |||
| GetBucketCORS | Amazon S3 バケットに設定された CORS 設定情報を返すアクセス許可を付与します | Read | |||
| GetBucketLocation | Amazon S3 バケットが存在するリージョンを返すアクセス許可を付与します | Read | |||
| GetBucketLogging | Amazon S3 バケットのログ記録ステータスを返すアクセス許可と、ユーザーがそのステータスを表示または変更する必要があるアクセス許可を付与します | Read | |||
| GetBucketNotification | Amazon S3 バケットの通知設定を取得するアクセス許可を付与します | Read | |||
| GetBucketObjectLockConfiguration | Amazon S3 バケットの Object Lock 設定を取得するアクセス許可を付与します | Read | |||
| GetBucketOwnershipControls | バケットの所有権コントロールを取得するためのアクセス許可を付与します | Read | |||
| GetBucketPolicy | 指定したバケットのポリシーを返すアクセス許可を付与します | Read | |||
| GetBucketPolicyStatus | 特定の Amazon S3 バケットのポリシーステータスを取得するアクセス許可を付与します。これは、バケットがパブリックかどうかを示します | Read | |||
| GetBucketPublicAccessBlock | Amazon S3 バケットの PublicAccessBlock 設定を取得するアクセス許可を付与します | Read | |||
| GetBucketRequestPayment | Amazon S3 バケットのリクエスト支払い設定を返すアクセス許可を付与します | Read | |||
| GetBucketTagging | Amazon S3 バケットに関連付けられたタグセットを返すアクセス許可を付与します | Read | |||
| GetBucketVersioning | Amazon S3 バケットのバージョニング状態を返すアクセス許可を付与します | Read | |||
| GetBucketWebsite | Amazon S3 バケットのウェブサイト設定を返すアクセス許可を付与します | 読み取り | |||
| GetDataAccess | アクセスを取得するためのアクセス許可を付与 | 読み取り | |||
| GetEncryptionConfiguration | Amazon S3 バケットにデフォルトの暗号化設定を返すアクセス許可を付与します | Read | |||
| GetIntelligentTieringConfiguration | S3 バケット内のすべての Amazon S3 Intelligent Tiering 設定を取得または一覧表示する権限を付与します | Read | |||
| GetInventoryConfiguration | Amazon S3 バケットからインベントリ設定を返すアクセス許可を付与します。このアクセス許可は、インベントリ設定 ID で識別されます | Read | |||
| GetJobTagging | 既存の Amazon S3 バッチオペレーションジョブのタグセットを返すアクセス許可を付与します | Read | |||
| GetLifecycleConfiguration | Amazon S3 バケットに設定されたライフサイクル設定情報を返すアクセス許可を付与します | Read | |||
| GetMetricsConfiguration | Amazon S3 バケットからメトリクス設定を取得するアクセス許可を付与します | 読み取り | |||
| GetMultiRegionAccessPoint | 指定された Multi-Region Access Point に関する設定情報を返す許可を付与 | 読み取り | |||
| GetMultiRegionAccessPointPolicy | 指定された Multi-Region Access Point に関連付けられたアクセスポイントポリシーを返す許可を付与 | 読み取り | |||
| GetMultiRegionAccessPointPolicyStatus | 指定された Multi-Region Access Point ポリシーのポリシーステータスを返す許可を付与 | 読み取り | |||
| GetMultiRegionAccessPointRoutes | Multi-Region Access Point のルート設定を返す許可を付与 | 読み取り | |||
| GetObject | Amazon S3 からオブジェクトを取得するためのアクセス許可を付与します | Read | |||
| GetObjectAcl | オブジェクトのアクセスコントロールリスト (ACL) を返すアクセス許可を付与 | 読み取り | |||
| GetObjectAttributes | 特定のオブジェクトに関連する属性を取得するアクセス許可を付与します | 読み取り | |||
| GetObjectLegalHold | オブジェクトの現在のリーガルホールドステータスを取得するアクセス許可を付与 | Read | |||
| GetObjectRetention | オブジェクトの保存設定を取得するアクセス許可を付与 | Read | |||
| GetObjectTagging | オブジェクトのタグセットを返すアクセス許可を付与 | Read | |||
| GetObjectTorrent | Amazon S3 バケットから torrent ファイルを返すアクセス許可を付与します | Read | |||
| GetObjectVersion | 特定のバージョンのオブジェクトを取得するためのアクセス許可を付与 | Read | |||
| GetObjectVersionAcl | 特定のオブジェクトバージョンのアクセスコントロールリスト (ACL) を返すアクセス許可を付与 | 読み取り | |||
| GetObjectVersionAttributes | 特定のバージョンのオブジェクトに関連する属性を取得するアクセス許可を付与します | 読み取り | |||
| GetObjectVersionForReplication | 暗号化されていないオブジェクトと、SSE−S3 または SSE−KMS で暗号化されたオブジェクトの両方をレプリケートするアクセス許可を付与します | Read | |||
| GetObjectVersionTagging | 特定のバージョンのオブジェクトのタグセットを返すアクセス許可を付与 | Read | |||
| GetObjectVersionTorrent | versionId サブリソースを使用して、別のバージョンに関する Torrent ファイルを取得する許可を付与 | Read | |||
| GetReplicationConfiguration | Amazon S3 バケットに設定されたレプリケーション設定情報を取得するアクセス許可を付与します | Read | |||
| GetStorageLensConfiguration | Amazon S3 ストレージレンズ設定を取得するアクセス許可を付与します | Read | |||
| GetStorageLensConfigurationTagging | 既存の Amazon S3 ストレージレンズ設定のタグセットを取得するアクセス許可を付与します | Read | |||
| GetStorageLensDashboard | Amazon S3 ストレージレンズダッシュボードを取得するアクセス許可を付与します | 読み取り | |||
| GetStorageLensGroup | Amazon S3 Storage Lens グループを取得する許可を付与 | 読み取り | |||
| InitiateReplication [アクセス許可のみ] | オブジェクトのレプリケーションステータスを保留中に設定することで、レプリケーションプロセスを開始する許可を付与します | 書き込み | |||
| ListAccessGrants | アクセス許可を一覧表示するためのアクセス許可を付与 | リスト | |||
| ListAccessGrantsInstances | Access Grants インスタンスを一覧表示するためのアクセス許可を付与 | リスト | |||
| ListAccessGrantsLocations | Access Grants ロケーションを一覧表示するためのアクセス許可を付与 | リスト | |||
| ListAccessPoints | アクセスポイントを一覧表示する許可を付与 | リスト | |||
| ListAccessPointsForObjectLambda | オブジェクト Lambda 対応のアクセスポイントを一覧表示するアクセス許可を付与します | リスト | |||
| ListAllMyBuckets | リクエストの認証された送信者が所有するすべてのバケットを一覧表示する許可を付与 | リスト | |||
| ListBucket | Amazon S3 バケット内のオブジェクトの一部またはすべてを一覧表示するアクセス許可を付与します (最大 1000) | リスト | |||
| ListBucketMultipartUploads | 進行中のマルチパートアップロードを一覧表示するアクセス許可を付与 | リスト | |||
| ListBucketVersions | Amazon S3 バケット内のすべてのバージョンオブジェクトに関するメタデータを一覧表示するアクセス許可を付与 | リスト | |||
| ListCallerAccessGrants | 呼び出し元のアクセス許可を一覧表示するための許可を付与する | リスト | |||
| ListJobs | 現在のジョブと最近終了したジョブを一覧表示するアクセス許可を付与します | リスト | |||
| ListMultiRegionAccessPoints | Multi-Region Access Point を一覧表示する許可を付与 | リスト | |||
| ListMultipartUploadParts | 特定のマルチパートアップロード用にアップロードされた部分を一覧表示するアクセス許可を付与 | リスト | |||
| ListStorageLensConfigurations | Amazon S3 ストレージレンズ設定を一覧表示するアクセス許可を付与します | リスト | |||
| ListStorageLensGroups | S3 Storage Lens グループを一覧表示する許可を付与 | リスト | |||
| ListTagsForResource | 指定されたリソースにアタッチされているタグを一覧表示する許可を付与 | リスト | |||
| ObjectOwnerOverrideToBucketOwner | レプリカの所有権を変更するアクセス許可を付与します | 権限の管理 | |||
| PauseReplication [アクセス許可のみ] | ターゲットの送信元バケットから送信先バケットへの S3 レプリケーションを一時停止する許可を付与する | 書き込み |
S3:GetReplicationConfiguration S3:PutReplicationConfiguration |
||
| PutAccelerateConfiguration | Accelerate サブリソースを使用して、既存の S3 バケットの Transfer Acceleration 状態を設定するアクセス許可を付与します | 書き込み | |||
| PutAccessGrantsInstanceResourcePolicy | Access Grants インスタンスのリソースポリシーを配置するためのアクセス許可を付与 | 書き込み | |||
| PutAccessPointConfigurationForObjectLambda | オブジェクト Lambda 対応のアクセスポイントの設定を行うアクセス許可を付与します | Write | |||
| PutAccessPointPolicy | アクセスポリシーを指定されたアクセスポイントに関連付けるアクセス許可を付与します | Permissions management | |||
| PutAccessPointPolicyForObjectLambda | アクセスポリシーを指定されたオブジェクト Lambda 対応のアクセスポイントに関連付けるアクセス許可を付与します | 権限の管理 | |||
| PutAccessPointPublicAccessBlock | アクセスポイントの作成時に、公開アクセスブロックの設定を指定したアクセスポイントに関連付ける許可を付与します | 権限の管理 | |||
| PutAccountPublicAccessBlock | AWS アカウントの PublicAccessBlock 設定を作成または変更する許可を付与します | Permissions management | |||
| PutAnalyticsConfiguration | 分析設定 ID で指定された、バケットの分析設定を設定するアクセス許可を付与します | Write | |||
| PutBucketAcl | アクセスコントロールリスト (ACL) を使用して、既存のバケットに対するアクセス許可を設定するアクセス許可を付与します | Permissions management | |||
| PutBucketCORS | Amazon S3 バケットの CORS 設定を設定するアクセス許可を付与します。 | Write | |||
| PutBucketLogging | Amazon S3 バケットのログ記録パラメータを設定するアクセス許可を付与します | Write | |||
| PutBucketNotification | Amazon S3 バケットで特定のイベントが発生したときに通知を受信するアクセス許可を付与します | Write | |||
| PutBucketObjectLockConfiguration | 特定のバケットに Object Lock 設定を配置するアクセス許可を付与します | 書き込み | |||
| PutBucketOwnershipControls | バケットのコントロールに関する所有者権限を、追加、置換、または削除するためのアクセス許可を付与する | 書き込み | |||
| PutBucketPolicy | バケットのバケットポリシーを追加または置き換えるアクセス許可を付与します | Permissions management | |||
| PutBucketPublicAccessBlock | 特定の Amazon S3 バケットの PublicAccessBlock 設定を作成または変更するアクセス許可を付与します。 | Permissions management | |||
| PutBucketRequestPayment | バケットのリクエスト支払い設定を設定するアクセス許可を付与します | Write | |||
| PutBucketTagging | 既存の Amazon S3 バケットにタグのセットを追加するアクセス許可を付与します | タグ付け | |||
| PutBucketVersioning | 既存の Amazon S3 バケットのバージョニング状態を設定するアクセス許可を付与します | Write | |||
| PutBucketWebsite | ウェブサイトのサブリソースで指定されているウェブサイトの設定を行うアクセス許可を付与します | Write | |||
| PutEncryptionConfiguration | Amazon S3 バケットの暗号化設定を設定するアクセス許可を付与します | Write | |||
| PutIntelligentTieringConfiguration | 既存の Amazon S3 Intelligent Tiering 設定を新規作成、更新または削除する権限を付与します | Write | |||
| PutInventoryConfiguration | インベントリ設定をバケットに追加するアクセス許可を付与します。このアクセス許可は、インベントリ ID で識別されます | Write | |||
| PutJobTagging | 既存の Amazon S3 バッチオペレーションジョブのタグを置き換えるアクセス許可を付与します | タグ付け | |||
| PutLifecycleConfiguration | バケットの新しいライフサイクル設定を作成するか、既存のライフサイクル設定を置き換えるアクセス許可を付与します | Write | |||
| PutMetricsConfiguration | Amazon S3 バケットからの CloudWatch リクエストメトリクスのメトリクス設定を設定または更新するアクセス許可を付与します | 書き込み | |||
| PutMultiRegionAccessPointPolicy | 指定された Multi-Region Access Point にアクセスポリシーを関連付ける許可を付与 | 権限の管理 | |||
| PutObject | バケットにオブジェクトを追加するアクセス許可を付与します | 書き込み | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| PutObjectAcl | S3 バケット内の新規または既存のオブジェクトに対して、アクセスコントロールリスト (ACL) を設定するためのアクセス許可を付与する | 権限の管理 | |||
| PutObjectLegalHold | 指定したオブジェクトにリーガルホールド設定を適用するアクセス許可を付与 | Write | |||
| PutObjectRetention | オブジェクトにオブジェクト保持設定を配置するアクセス許可を付与 | Write | |||
| PutObjectTagging | 指定されたタグセットを、バケット内に既に存在するオブジェクトに設定するアクセス許可を付与 | タグ付け | |||
| PutObjectVersionAcl | acl サブリソースを使用して、バケットにすでに存在するオブジェクトのアクセスコントロールリスト (ACL) アクセス許可を設定するアクセス許可を付与 | Permissions management | |||
| PutObjectVersionTagging | 特定のバージョンのオブジェクトに対して指定されたタグセットを設定するアクセス許可を付与 | タグ付け | |||
| PutReplicationConfiguration | 新しいレプリケーション設定を作成するか、既存のレプリケーション設定を置き換えるアクセス許可を付与します | Write |
iam:PassRole |
||
| PutStorageLensConfiguration | Amazon S3 ストレージレンズ設定を作成または更新するアクセス許可を付与します | Write | |||
| PutStorageLensConfigurationTagging | 既存の Amazon S3 ストレージレンズ設定にタグを配置または置換するアクセス許可を付与します | タグ付け | |||
| ReplicateDelete | 削除マーカーをレプリケート先バケットにレプリケートするアクセス許可を付与します | Write | |||
| ReplicateObject | オブジェクトとオブジェクトタグをレプリケート先バケットにレプリケートするアクセス許可を付与します | Write | |||
|
s3:x-amz-server-side-encryption |
|||||
| ReplicateTags | オブジェクトタグをレプリケート先バケットにレプリケートするアクセス許可を付与します | タグ付け | |||
| RestoreObject | オブジェクトのアーカイブされたコピーを Amazon S3 に復元するアクセス許可を付与 | 書き込み | |||
| SubmitMultiRegionAccessPointRoutes | Multi-Region Access Point のルート設定の更新を送信する許可を付与 | 書き込み | |||
| TagResource | 指定されたリソースにタグを追加するための許可を付与します | タグ付け | |||
| UntagResource | 指定されたリソースからタグを削除するための許可を付与します | タグ付け | |||
| UpdateAccessGrantsLocation | Access Grants ロケーションを更新するためのアクセス許可を付与 | 書き込み | |||
| UpdateJobPriority | 既存のジョブの優先度を更新するアクセス許可を付与します | Write | |||
| UpdateJobStatus | 指定したジョブのステータスを更新するアクセス許可を付与します | 書き込み | |||
| UpdateStorageLensGroup | 既存 S3 Storage Lens グループを更新する許可を付与 | 書き込み | |||
Amazon S3 で定義されるリソースタイプ
以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。
| リソースタイプ | ARN | 条件キー |
|---|---|---|
| accesspoint |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| object |
arn:${Partition}:s3:::${BucketName}/${ObjectName}
|
|
| job |
arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
|
|
| storagelensconfiguration |
arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}
|
|
| storagelensgroup |
arn:${Partition}:s3:${Region}:${Account}:storage-lens-group/${Name}
|
|
| objectlambdaaccesspoint |
arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| multiregionaccesspoint |
arn:${Partition}:s3::${Account}:accesspoint/${AccessPointAlias}
|
|
| multiregionaccesspointrequestarn |
arn:${Partition}:s3:us-west-2:${Account}:async-request/mrap/${Operation}/${Token}
|
|
| accessgrantsinstance |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default
|
|
| accessgrantslocation |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/location/${Token}
|
|
| accessgrant |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/grant/${Token}
|
Amazon S3 の条件キー
Amazon S3 では、IAM ポリシーの Condition エレメントで使用できる以下の条件キーが定義されています。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。
すべてのサービスで使用できるグローバル条件キーを確認するには、「使用できるグローバル条件キー」を参照してください。
| 条件キー | 説明 | タイプ |
|---|---|---|
| aws:RequestTag/${TagKey} | リクエストで渡されたタグでアクセスをフィルタリングします | 文字列 |
| aws:ResourceTag/${TagKey} | リソースに関連付けられたタグでアクセスをフィルタリングします | 文字列 |
| aws:TagKeys | リクエストで渡されたタグキーでアクセスをフィルタリングします | ArrayOfString |
| s3:AccessGrantsInstanceArn | アクセス許可インスタンス ARN でアクセスをフィルタリングする | ARN |
| s3:AccessPointNetworkOrigin | ネットワークオリジン (インターネットまたは VPC) によるアクセスをフィルタリングします | 文字列 |
| s3:DataAccessPointAccount | アクセスポイントを所有する AWS アカウント ID でアクセスをフィルタリングします | 文字列 |
| s3:DataAccessPointArn | アクセスポイント Amazon リソースネーム (ARN) でアクセスをフィルタリングします | ARN |
| s3:ExistingJobOperation | ジョブの優先度の更新オペレーションを基にアクセスをフィルタリングします | 文字列 |
| s3:ExistingJobPriority | 既存ジョブのキャンセルに関する優先度の範囲によりアクセスをフィルタリングします | 数値 |
| s3:ExistingObjectTag/<key> | 既存のオブジェクトタグのキーと値でアクセスをフィルタリングします | 文字列 |
| s3:InventoryAccessibleOptionalFields | S3 インベントリレポートを設定するときにユーザーが追加できるオプションのメタデータフィールドを制限することで、アクセスをフィルタリングする | ArrayOfString |
| s3:JobSuspendedCause | ジョブのキャンセルを引き起こした、特定の一時停止原因 (AWAITING_CONFIRMATION など) によって、アクセスをフィルタリングします | 文字列 |
| s3:RequestJobOperation | ジョブ作成オペレーションを基にアクセスをフィルタリングします | 文字列 |
| s3:RequestJobPriority | 新しいジョブの作成に関する優先度の範囲によりアクセスをフィルタリングします | 数値 |
| s3:RequestObjectTag/<key> | オブジェクトに追加するタグのキーと値でアクセスをフィルタします | 文字列 |
| s3:RequestObjectTagKeys | オブジェクトに追加するタグキーでアクセスをフィルタリングします | ArrayOfString |
| s3:ResourceAccount | リソース所有者の AWS アカウント ID でアクセスをフィルタリングします | 文字列 |
| s3:TlsVersion | クライアントが使用する TLS バージョンでアクセスをフィルタリングします | 数値 |
| s3:authType | 認証方式でアクセスをフィルタリングします | 文字列 |
| s3:delimiter | 区切り記号パラメータでアクセスをフィルタリングします | 文字列 |
| s3:destinationRegion | AWS FIS アクション aws:s3:bucket-pause-replication のターゲットバケットの特定のレプリケーション先リージョンでアクセスをフィルタリングする | 文字列 |
| s3:isReplicationPauseRequest | AWS FIS アクション aws:s3:bucket-pause-replication を介して行われたリクエストによってアクセスをフィルタリングする | Bool |
| s3:locationconstraint | 特定のリージョンでアクセスをフィルタリングします | 文字列 |
| s3:max-keys | ListBucket リクエストで返されるキーの最大数でアクセスをフィルタリングします | 数値 |
| s3:object-lock-legal-hold | オブジェクトのリーガルホールドステータスでアクセスをフィルタリングします | 文字列 |
| s3:object-lock-mode | オブジェクト保持モード (コンプライアンスまたはガバナンス) でアクセスをフィルタリングします | 文字列 |
| s3:object-lock-remaining-retention-days | オブジェクトの残りの保持日数でアクセスをフィルタリングします | 数値 |
| s3:object-lock-retain-until-date | オブジェクトの保持期限日でアクセスをフィルタリングします | 日付 |
| s3:prefix | キー名のプレフィックスでアクセスをフィルタリングします | 文字列 |
| s3:signatureAge | リクエスト署名の経過時間 (ミリ秒単位) でアクセスをフィルタリングします | 数値 |
| s3:signatureversion | リクエストで使用された AWS 署名のバージョンでアクセスをフィルタリングします | 文字列 |
| s3:versionid | 特定のオブジェクトバージョンでアクセスをフィルタリングします | 文字列 |
| s3:x-amz-acl | リクエストの x−amz−acl ヘッダー内の既定 ACL によってアクセスをフィルタリングします | 文字列 |
| s3:x-amz-content-sha256 | バケット内の署名されていないコンテンツによりアクセスをフィルタリングします | 文字列 |
| s3:x-amz-copy-source | オブジェクトをコピーするリクエスト内の、コピー元バケット、プレフィックス、またはオブジェクトによりアクセスをフィルタリングします | 文字列 |
| s3:x-amz-grant-full-control | x-amz-grant-full-control (フルコントロール) ヘッダーによりアクセスをフィルタリングします | 文字列 |
| s3:x-amz-grant-read | x-amz-grant-read (読み取りアクセス) ヘッダーによりアクセスをフィルタリングします | 文字列 |
| s3:x-amz-grant-read-acp | x-amz-grant-read-acp (ACL 用の読み取りアクセス許可) ヘッダーによりアクセスをフィルタリングします | 文字列 |
| s3:x-amz-grant-write | x-amz-grant-write (書き込みアクセス) ヘッダーによりアクセスをフィルタリングします | 文字列 |
| s3:x-amz-grant-write-acp | x-amz-grant-write-acp (ACL 用の書き込みアクセス許可) ヘッダーによりアクセスをフィルタリングします | 文字列 |
| s3:x-amz-metadata-directive | オブジェクトのコピー時に、オブジェクトのメタデータの動作 (COPY または REPLACE) でアクセスをフィルタリングします | 文字列 |
| s3:x-amz-object-ownership | オブジェクトの所有権でアクセスをフィルタリングします | 文字列 |
| s3:x-amz-server-side-encryption | サーバー側の暗号化でアクセスをフィルタリングします | 文字列 |
| s3:x-amz-server-side-encryption-aws-kms-key-id | サーバー側の暗号化のための AWS KMS カスタマーマネージド CMK で、アクセスをフィルタリングします | ARN |
| s3:x-amz-server-side-encryption-customer-algorithm | サーバー側の暗号化のためにお客様が指定したアルゴリズムによってアクセスをフィルタリングします | 文字列 |
| s3:x-amz-storage-class | ストレージクラスでアクセスをフィルタリングします | 文字列 |
| s3:x-amz-website-redirect-location | 静的ウェブサイトとして設定されているバケットについて、特定のウェブサイトのリダイレクト場所によってアクセスをフィルタリングします | 文字列 |
