Permissões e operações de bucket Permissões e operações do objeto Operações e permissões de ponto de acesso Permissões e operações de ponto de acesso do Object Lambda Operações e permissões de ponto de acesso multirregional Operações e permissões de trabalho em lote Operações e permissões de configuração da Lente de Armazenamento do S3 Operações e permissões de grupos da Lente de Armazenamento do S3 Permissões e operações de conta

Permissões obrigatórias para operações de API do Amazon S3

nota

Esta página é sobre as ações de política do Amazon S3 para buckets de uso geral. Para saber mais sobre as ações de política do Amazon S3 para buckets de diretório, consulte Ações para buckets de diretório.

Para realizar uma operação de API do S3, é necessário ter as permissões corretas. Esta página associa as operações de API do S3 às permissões necessárias. Para conceder permissões para realizar uma operação de API do S3, você deve criar uma política válida (como uma política de bucket do S3 ou uma política baseada em identidade do IAM) e especificar as ações correspondentes no elemento Action da política. Essas ações são chamadas de ações de políticas. Nem toda operação de API do S3 é representada por uma única permissão (uma única ação de política), e algumas permissões (algumas ações de política) são necessárias para diferentes operações de API.

Ao criar políticas, você deve especificar o elemento Resource com base no tipo de recurso correto exigido pelas ações de política correspondentes do Amazon S3. Esta página categoriza as permissões para as operações de API do S3 de acordo com os tipos de recurso. Consulte mais informações sobre os tipos de recurso em Resource types defined by Amazon S3 na Referência de autorização do serviço. Consulte uma lista completa de ações, recursos e chaves de condição do Amazon S3 para uso em políticas em Actions, resources, and condition keys for Amazon S3 na Referência de autorização do serviço. Consulte uma lista completa de operações de API do Amazon S3 em Amazon S3 API Actions na Referência de API do Amazon Simple Storage Service.

Para ter mais informações sobre como resolver os erros HTTP 403 Forbidden no S3, consulte Solucionar erros de acesso negado (403 Forbidden) no Amazon S3. Para ter mais informações sobre os recursos do IAM para usar com o S3, consulte Como o Amazon S3 funciona com o IAM. Para ter mais informações sobre as práticas recomendadas de segurança do S3, consulte Práticas recomendadas de segurança para o Amazon S3.

Tópicos

Permissões e operações de bucket
Permissões e operações do objeto
Operações e permissões de ponto de acesso
Permissões e operações de ponto de acesso do Object Lambda
Operações e permissões de ponto de acesso multirregional
Operações e permissões de trabalho em lote
Operações e permissões de configuração da Lente de Armazenamento do S3
Operações e permissões de grupos da Lente de Armazenamento do S3
Permissões e operações de conta

As operações de bucket são operações de API do S3 que operam no tipo de recurso de bucket. É necessário especificar as ações de política do S3 para operações de bucket nas respectivas políticas ou em políticas baseadas em identidade do IAM.

Nas políticas, o elemento Resource deve ser o nome do recurso da Amazon (ARN) do bucket. Para ter mais informações sobre o formato do elemento Resource e políticas de exemplo, consulte Operações de buckets.

nota

Para conceder permissões a operações de bucket em políticas de pontos de acesso, observe o seguinte:

As permissões concedidas para operações de bucket em uma política de ponto de acesso entrarão em vigor somente se o bucket subjacente conceder as mesmas permissões. Ao usar um ponto de acesso, é necessário delegar o controle de acesso do bucket ao ponto de acesso ou adicionar as mesmas permissões nas políticas de ponto de acesso à política do bucket subjacente.
Nas políticas de pontos de acesso que concedem permissões às operações de bucket, o elemento Resource deve ser o ARN accesspoint. Para ter mais informações sobre o formato do elemento Resource e políticas de exemplo, consulte Operações de bucket em políticas de ponto de acesso. Para ter mais informações sobre políticas de ponto de acesso, consulte Configurar políticas do IAM para uso de pontos de acesso.
Nem todas as operações de bucket são compatíveis com pontos de acesso. Para ter mais informações, consulte Compatibilidade de ponto de acesso com operações do S3.

Veja a seguir a correlação entre as operações de bucket e as ações de política obrigatórias.

Operações de API	Ações de políticas	Descrição das ações de política
CreateBucket	(Obrigatória) `s3:CreateBucket`	Obrigatória para criar um bucket do S3.
	(Obrigatória em determinadas condições) `s3:PutBucketAcl`	Obrigatória se você quiser usar a lista de controle de acesso (ACL) para especificar permissões em um bucket ao fazer uma solicitação `CreateBucket`.
	(Obrigatória em determinadas condições) `s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`	Obrigatória se você quiser habilitar o Bloqueio de Objetos ao criar um bucket.
	(Obrigatória em determinadas condições) `s3:PutBucketOwnershipControls`	Obrigatória se você quiser especificar a propriedade de objetos do S3 ao criar um bucket.
CreateBucketMetadataTableConfiguration	(Obrigatório) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`	Necessária para criar uma configuração de tabelas de metadados em um bucket de uso geral. Para criar a tabela de metadados no bucket de tabela especificado na configuração de tabelas de metadados, é necessário ter as permissões `s3tables` especificadas. Se você também quiser integrar o bucket de tabela com os serviços de analytics da AWS para poder consultar a tabela de metadados, precisará de permissões adicionais. Para ter mais informações, consulte Integrating Amazon S3 Tables with AWS analytics services.
DeleteBucket	(Obrigatória) `s3:DeleteBucket`	Obrigatória para excluir um bucket do S3.
DeleteBucketAnalyticsConfiguration	(Obrigatória) `s3:PutAnalyticsConfiguration`	Obrigatória para excluir uma configuração de analytics do S3 de um bucket do S3.
DeleteBucketCors	(Obrigatória) `s3:PutBucketCORS`	Obrigatória para excluir a configuração de compartilhamento de recursos entre origens (CORS) de um bucket.
DeleteBucketEncryption	(Obrigatória) `s3:PutEncryptionConfiguration`	Obrigatória para redefinir a configuração de criptografia padrão para um bucket do S3 como criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3).
DeleteBucketIntelligentTieringConfiguration	(Obrigatória) `s3:PutIntelligentTieringConfiguration`	Obrigatória para excluir a configuração existente do S3 Intelligent-Tiering de um bucket do S3.
DeleteBucketInventoryConfiguration	(Obrigatória) `s3:PutInventoryConfiguration`	Obrigatória para excluir uma configuração do Inventário S3 de um bucket do S3.
DeleteBucketLifecycle	(Obrigatória) `s3:PutLifecycleConfiguration`	Obrigatória para excluir a configuração de ciclo de vida do S3 para um bucket do S3.
DeleteBucketMetadataTableConfiguration	(Obrigatória) `s3:DeleteBucketMetadataTableConfiguration`	Necessária para excluir uma configuração de tabelas de metadados de um bucket de uso geral.
DeleteBucketMetricsConfiguration	(Obrigatória) `s3:PutMetricsConfiguration`	Obrigatória para excluir uma configuração de métricas de solicitação do Amazon CloudWatch de um bucket do S3.
DeleteBucketOwnershipControls	(Obrigatória) `s3:PutBucketOwnershipControls`	Obrigatória para remover a configuração de propriedade do objeto de um bucket do S3. Após a remoção, a configuração de propriedade do objeto torna-se `Object writer`.
DeleteBucketPolicy	(Obrigatória) `s3:DeleteBucketPolicy`	Obrigatória para excluir a política de um bucket do S3.
DeleteBucketReplication	(Obrigatória) `s3:PutReplicationConfiguration`	Obrigatória para excluir a configuração de replicação de um bucket do S3.
DeleteBucketTagging	(Obrigatória) `s3:PutBucketTagging`	Obrigatória para excluir tags de um bucket do S3.
DeleteBucketWebsite	(Obrigatória) `s3:DeleteBucketWebsite`	Obrigatória para remover a configuração do site de um bucket do S3.
DeletePublicAccessBlock (nível de bucket)	(Obrigatória) `s3:PutBucketPublicAccessBlock`	Obrigatória para remover a configuração do Bloqueio de Acesso Público de um bucket do S3.
GetBucketAccelerateConfiguration	(Obrigatória) `s3:GetAccelerateConfiguration`	Obrigatória para usar o sub-recurso de aceleração para exibir o estado da Aceleração de Transferências do Amazon S3 de um bucket, que é Habilitado ou Suspenso.
GetBucketAcl	(Obrigatória) `s3:GetBucketAcl`	Obrigatória para exibir uma lista de controle de acesso (ACL) de um bucket do S3.
GetBucketAnalyticsConfiguration	(Obrigatória) `s3:GetAnalyticsConfiguration`	Obrigatória para exibir uma configuração de analytics identificada pelo ID de configuração de analytics de um bucket do S3.
GetBucketCors	(Obrigatória) `s3:GetBucketCORS`	Obrigatória para exibir a configuração de compartilhamento de recursos entre origens (CORS) de um bucket do S3.
GetBucketEncryption	(Obrigatória) `s3:GetEncryptionConfiguration`	Obrigatória para exibir a configuração de criptografia padrão de um bucket do S3.
GetBucketIntelligentTieringConfiguration	(Obrigatória) `s3:GetIntelligentTieringConfiguration`	Obrigatória para obter a configuração existente do S3 Intelligent-Tiering de um bucket do S3.
GetBucketInventoryConfiguration	(Obrigatória) `s3:GetInventoryConfiguration`	Obrigatória para exibir uma configuração de inventário identificada pelo ID de configuração de inventário do bucket.
GetBucketLifecycle	(Obrigatória) `s3:GetLifecycleConfiguration`	Obrigatória para exibir a configuração de ciclo de vida do S3 do bucket.
GetBucketLocation	(Obrigatória) `s3:GetBucketLocation`	Obrigatória para exibir a Região da AWS onde reside um bucket do S3.
GetBucketLogging	(Obrigatória) `s3:GetBucketLogging`	Obrigatória para exibir o status do registro em log de um bucket do S3 e as permissões que os usuários têm para visualizar e modificar esse status.
GetBucketMetadataTableConfiguration	(Obrigatória) `s3:GetBucketMetadataTableConfiguration`	Necessária para recuperar uma configuração de tabelas de metadados para um bucket de uso geral.
GetBucketMetricsConfiguration	(Obrigatória) `s3:GetMetricsConfiguration`	Obrigatória para obter a configuração de uma métrica especificada pelo ID da configuração de métricas do bucket.
GetBucketNotificationConfiguration	(Obrigatória) `s3:GetBucketNotification`	Obrigatória para exibir a configuração de notificação de um bucket do S3.
GetBucketOwnershipControls	(Obrigatória) `s3:GetBucketOwnershipControls`	Obrigatória para recuperar a configuração de propriedade do objeto de um bucket do S3.
GetBucketPolicy	(Obrigatória) `s3:GetBucketPolicy`	Obrigatória para exibir a política de um bucket do S3.
GetBucketPolicyStatus	(Obrigatória) `s3:GetBucketPolicyStatus`	Obrigatória para recuperar o status da política de um bucket do S3 que indica se o bucket é público.
GetBucketReplication	(Obrigatória) `s3:GetReplicationConfiguration`	Obrigatória para exibir a configuração de replicação de um bucket do S3.
GetBucketRequestPayment	(Obrigatória) `s3:GetBucketRequestPayment`	Obrigatória para exibir a configuração de pagamento de solicitação de um bucket do S3.
GetBucketVersioning	(Obrigatória) `s3:GetBucketVersioning`	Obrigatória para exibir o estado de versionamento de um bucket do S3.
GetBucketTagging	(Obrigatória) `s3:GetBucketTagging`	Obrigatória para exibir o conjunto de tags associado a um bucket do S3.
GetBucketWebsite	(Obrigatória) `s3:GetBucketWebsite`	Obrigatória para exibir a configuração do site de um bucket do S3.
GetObjectLockConfiguration	(Obrigatória) `s3:GetBucketObjectLockConfiguration`	Obrigatória para obter a configuração do Bloqueio de Objetos de um bucket do S3.
GetPublicAccessBlock (nível de bucket)	(Obrigatória) `s3:GetBucketPublicAccessBlock`	Obrigatória para recuperar a configuração do Bloqueio de Acesso Público de um bucket do S3.
HeadBucket	(Obrigatória) `s3:ListBucket`	Obrigatória para determinar se existe um bucket e se você tem permissão para acessá-lo.
ListBucketAnalyticsConfigurations	(Obrigatória) `s3:GetAnalyticsConfiguration`	Obrigatória para listar as configurações de analytics de um bucket do S3.
ListBucketIntelligentTieringConfigurations	(Obrigatória) `s3:GetIntelligentTieringConfiguration`	Obrigatória para listar as configurações do S3 Intelligent-Tiering de um bucket do S3.
ListBucketInventoryConfigurations	(Obrigatória) `s3:GetInventoryConfiguration`	Obrigatória para exibir uma lista de configurações de inventário de um bucket do S3.
ListBucketMetricsConfigurations	(Obrigatória) `s3:GetMetricsConfiguration`	Obrigatória para listar as configurações de métricas de um bucket do S3.
ListObjects	(Obrigatória) `s3:ListBucket`	Obrigatória para listar alguns ou todos os objetos (até mil) de um bucket do S3.
	(Obrigatória em determinadas condições) `s3:GetObjectAcl`	Obrigatória se você quiser exibir informações do proprietário do objeto.
ListObjectsV2	(Obrigatória) `s3:ListBucket`	Obrigatória para listar alguns ou todos os objetos (até mil) de um bucket do S3.
	(Obrigatória em determinadas condições) `s3:GetObjectAcl`	Obrigatória se você quiser exibir informações do proprietário do objeto.
ListObjectVersions	(Obrigatória) `s3:ListBucketVersions`	Obrigatória para obter metadados sobre todas as versões de objetos em um bucket do S3.
PutBucketAccelerateConfiguration	(Obrigatória) `s3:PutAccelerateConfiguration`	Obrigatória para definir a configuração de aceleração de um bucket existente.
PutBucketAcl	(Obrigatória) `s3:PutBucketAcl`	Obrigatória para usar listas de controle de acesso (ACLs) e definir as permissões em um bucket existente.
PutBucketAnalyticsConfiguration	(Obrigatória) `s3:PutAnalyticsConfiguration`	Obrigatória para definir uma configuração de analytics de um bucket do S3.
PutBucketCors	(Obrigatória) `s3:PutBucketCORS`	Obrigatório para definir a configuração de compartilhamento de recursos entre origens (CORS) de um bucket do S3.
PutBucketEncryption	(Obrigatória) `s3:PutEncryptionConfiguration`	Obrigatória para configurar a criptografia padrão de um bucket do S3.
PutBucketIntelligentTieringConfiguration	(Obrigatória) `s3:PutIntelligentTieringConfiguration`	Obrigatória para obter a configuração do S3 Intelligent-Tiering de um bucket do S3.
PutBucketInventoryConfiguration	(Obrigatória) `s3:PutInventoryConfiguration`	Obrigatória para adicionar uma configuração de inventário a um bucket do S3.
PutBucketLifecycle	(Obrigatória) `s3:PutLifecycleConfiguration`	Obrigatória para criar uma configuração de ciclo de vida do S3 ou substituir uma configuração de ciclo de vida existente de um bucket do S3.
PutBucketLogging	(Obrigatória) `s3:PutBucketLogging`	Obrigatória para definir os parâmetros de registro em log de um bucket do S3 e especificar permissões para quem pode visualizar e modificar os parâmetros de registro em log.
PutBucketMetricsConfiguration	(Obrigatória) `s3:PutMetricsConfiguration`	Obrigatória para definir ou atualizar uma configuração de métricas de solicitação do Amazon CloudWatch de um bucket do S3.
PutBucketNotificationConfiguration	(Obrigatória) `s3:PutBucketNotification`	Obrigatória para habilitar notificações de eventos especificados para um bucket do S3.
PutBucketOwnershipControls	(Obrigatória) `s3:PutBucketOwnershipControls`	Obrigatória para criar ou modificar a configuração de propriedade do objeto de um bucket do S3.
PutBucketPolicy	(Obrigatória) `s3:PutBucketPolicy`	Obrigatória para aplicar uma política de bucket do S3 a um bucket.
PutBucketReplication	(Obrigatória) `s3:PutReplicationConfiguration`	Obrigatória para criar uma configuração de replicação ou substituir uma existente por um bucket do S3.
PutBucketRequestPayment	(Obrigatória) `s3:PutBucketRequestPayment`	Obrigatória para definir a configuração de pagamento de solicitação de um bucket.
PutBucketTagging	(Obrigatória) `s3:PutBucketTagging`	Obrigatória para adicionar um conjunto de tags a um bucket do S3.
PutBucketVersioning	(Obrigatória) `s3:PutBucketVersioning`	Obrigatória para definir o estado de versionamento de um bucket do S3.
PutBucketWebsite	(Obrigatória) `s3:PutBucketWebsite`	Obrigatória para configurar um bucket como um site e definir a configuração do site.
PutObjectLockConfiguration	(Obrigatória) `s3:PutBucketObjectLockConfiguration`	Obrigatória para aplicar a configuração do Bloqueio de Objetos de um bucket do S3.
PutPublicAccessBlock (nível de bucket)	(Obrigatória) `s3:PutBucketPublicAccessBlock`	Obrigatória para criar ou modificar a configuração do Bloqueio de Acesso Público de um bucket do S3.

As operações de objeto são operações de API do S3 que atuam no tipo de recurso do objeto. É necessário especificar ações de política do S3 para operações de objeto em políticas baseadas em recursos (como políticas de bucket, políticas de ponto de acesso, políticas de ponto de acesso multirregional, políticas de endpoint da VPC) ou políticas baseadas em identidade do IAM.

Nas políticas, o elemento Resource deve ser o ARN do objeto. Para ter mais informações sobre o formato do elemento Resource e políticas de exemplo, consulte Operações com objetos.

nota

As ações de política do AWS KMS (kms:GenerateDataKey e kms:Decrypt) são aplicáveis somente ao tipo de recurso do AWS KMS e devem ser especificadas em políticas baseadas em identidade do IAM e nas políticas baseadas em recursos do AWS KMS (políticas de chave do AWS KMS). Não é possível especificar ações de política do AWS KMS em políticas baseadas em recursos do S3, como políticas de bucket do S3.
Ao usar pontos de acesso para controlar o acesso a operações de objeto, é possível usar políticas de ponto de acesso. Para conceder permissões a operações de objeto em políticas de ponto de acesso, observe o seguinte:
- Em políticas de ponto de acesso que concedem permissões a operações de objeto, o elemento Resource deve ser os ARNs para objetos acessados por meio de um ponto de acesso. Para ter mais informações sobre o formato do elemento Resource e políticas de exemplo, consulte Operações de objetos em políticas de ponto de acesso.
- Nem todas as operações de objeto são compatíveis com pontos de acesso. Para ter mais informações, consulte Compatibilidade de ponto de acesso com operações do S3.
Nem todas as operações de objeto são compatíveis com pontos de acesso multirregionais. Para ter mais informações, consulte Compatibilidade de pontos de acesso multirregionais com operações do S3.

Veja a seguir a correlação entre as operações de bucket e as ações de política obrigatórias.

Operações de API	Ações de políticas	Descrição das ações de política
AbortMultipartUpload	(Obrigatória) `s3:AbortMultipartUpload`	Obrigatória para interromper um carregamento fracionado.
CompleteMultipartUpload	(Obrigatória) `s3:PutObject`	Obrigatória para concluir o carregamento fracionado.
	(Obrigatória em determinadas condições) `kms:Decrypt`	Obrigatória se você quiser concluir um carregamento fracionado para um objeto criptografado com uma chave do AWS KMS gerenciada pelo cliente.
CopyObject	Para um objeto de origem:	Para um objeto de origem:
	(Obrigatória) `s3:GetObject` ou `s3:GetObjectVersion`	`s3:GetObject`: obrigatória se você quiser copiar um objeto do bucket de origem sem especificar `versionId` na solicitação. `s3:GetObjectVersion`: obrigatória se você quiser copiar uma versão específica de um objeto do bucket de origem sem especificar `versionId` na solicitação.
	(Obrigatória em determinadas condições) `kms:Decrypt`	Obrigatória se você quiser copiar um objeto do bucket de origem criptografado com uma chave do AWS KMS gerenciada pelo cliente.
	Para um objeto de destino:	Para um objeto de destino:
	(Obrigatória) `s3:PutObject`	Obrigatória para colocar o objeto copiado no bucket de destino.
	(Obrigatória em determinadas condições) `s3:PutObjectAcl`	Obrigatória se você quiser colocar o objeto copiado com a lista de controle de acesso (ACL) do objeto no bucket de destino ao fazer uma solicitação `CopyObject`.
	(Obrigatória em determinadas condições) `s3:PutObjectTagging`	Obrigatória se você quiser colocar o objeto copiado com marcação de objeto no bucket de destino ao fazer uma solicitação `CopyObject`.
	(Obrigatória em determinadas condições) `kms:GenerateDataKey`	Obrigatória se você quiser criptografar o objeto copiado com uma chave do AWS KMS gerenciada pelo cliente e colocá-lo no bucket de destino.
	(Obrigatória em determinadas condições) `s3:PutObjectRetention`	Obrigatória se você quiser definir uma configuração de retenção do Bloqueio de Objetos para o novo objeto.
	(Obrigatória em determinadas condições) `s3:PutObjectLegalHold`	Obrigatória se quiser colocar uma retenção legal do Bloqueio de Objetos no novo objeto.
CreateMultipartUpload	(Obrigatória) `s3:PutObject`	Obrigatória para criar um carregamento fracionado.
	(Obrigatória em determinadas condições) `s3:PutObjectAcl`	Obrigatória se você quiser definir as permissões de lista de controle de acesso (ACL) para objetos carregados.
	(Obrigatória em determinadas condições) `s3:PutObjectTagging`	Obrigatória se você quiser adicionar marcações de objeto ao objeto carregado.
	(Obrigatória em determinadas condições) `kms:GenerateDataKey`	Obrigatória se você quiser usar uma chave do AWS KMS gerenciada pelo cliente para criptografar um objeto ao iniciar um carregamento fracionado.
	(Obrigatória em determinadas condições) `s3:PutObjectRetention`	Obrigatória se você quiser definir uma configuração de retenção do Bloqueio de Objetos para o objeto carregado.
	(Obrigatória em determinadas condições) `s3:PutObjectLegalHold`	Obrigatória se você quiser aplicar uma retenção legal do Bloqueio de Objetos ao objeto carregado.
DeleteObject	(Obrigatória) `s3:DeleteObject` ou `s3:DeleteObjectVersion`	`s3:DeleteObject`: obrigatória se você quiser remover um objeto sem especificar `versionId` na solicitação. `s3:DeleteObjectVersion`: obrigatória se você quiser remover uma versão específica de um objeto determinando `versionId` na solicitação.
	(Obrigatória em determinadas condições) `s3:BypassGovernanceRetention`	Obrigatória se você quiser excluir um objeto protegido pelo modo de governança para retenção do Bloqueio de Objetos.
DeleteObjects	(Obrigatória) `s3:DeleteObject` ou `s3:DeleteObjectVersion`	`s3:DeleteObject`: obrigatória se você quiser remover um objeto sem especificar `versionId` na solicitação. `s3:DeleteObjectVersion`: obrigatória se você quiser remover uma versão específica de um objeto determinando `versionId` na solicitação.
	(Obrigatória em determinadas condições) `s3:BypassGovernanceRetention`	Obrigatória se você quiser excluir objetos protegidos pelo modo de governança para retenção do Bloqueio de Objetos.
DeleteObjectTagging	(Obrigatória) `s3:DeleteObjectTagging` ou `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging`: obrigatória se você quiser remover todo um conjunto de tags de um objeto sem especificar `versionId` na solicitação. `s3:DeleteObjectVersionTagging`: obrigatória se você quiser excluir tags de uma versão específica de um objeto determinando `versionId` na solicitação.
GetObject	(Obrigatória) `s3:GetObject` ou `s3:GetObjectVersion`	`s3:GetObject`: obrigatória se você quiser obter um objeto sem especificar `versionId` na solicitação. `s3:GetObjectVersion`: obrigatória se você quiser obter uma versão específica de um objeto determinando `versionId` na solicitação.
	(Obrigatória em determinadas condições) `kms:Decrypt`	Obrigatória se você quiser obter e descriptografar um objeto criptografado com uma chave do AWS KMS gerenciada pelo cliente.
	(Obrigatória em determinadas condições) `s3:GetObjectTagging`	Obrigatória se você quiser obter o conjunto de tags de um objeto ao fazer uma solicitação `GetObject`.
	(Obrigatória em determinadas condições) `s3:GetObjectLegalHold`	Obrigatória se você quiser conhecer o status atual de retenção legal do Bloqueio de Objetos de um objeto.
	(Obrigatória em determinadas condições) `s3:GetObjectRetention`	Obrigatória se você quiser recuperar as configurações de retenção do Bloqueio de Objetos de um objeto.
GetObjectAcl	(Obrigatória) `s3:GetObjectAcl` ou `s3:GetObjectVersionAcl`	`s3:GetObjectAcl`: obrigatória se quiser obter a lista de controle de acesso (ACL) de um objeto sem especificar `versionId` na solicitação. `s3:GetObjectVersionAcl`: obrigatória se você quiser obter a lista de controle de acesso (ACL) de um objeto especificando `versionId` na solicitação.
GetObjectAttributes	(Obrigatória) `s3:GetObject` ou `s3:GetObjectVersion`	`s3:GetObject`: obrigatória se você quiser recuperar atributos relacionados a um objeto sem especificar `versionId` na solicitação. `s3:GetObjectVersion`: obrigatória se quiser recuperar atributos relacionados à versão de um objeto específico sem determinar `versionId` na solicitação.
	(Obrigatória em determinadas condições) `kms:Decrypt`	Obrigatória se quiser recuperar atributos relacionados a um objeto criptografado com uma chave do AWS KMS gerenciada pelo cliente.
GetObjectLegalHold	(Obrigatória) `s3:GetObjectLegalHold`	Obrigatória para obter o status atual de retenção legal do Bloqueio de Objetos de um objeto.
GetObjectRetention	(Obrigatória) `s3:GetObjectRetention`	Obrigatória para recuperar as configurações de retenção do Bloqueio de Objetos de um objeto.
GetObjectTagging	(Obrigatória) `s3:GetObjectTagging` ou `s3:GetObjectVersionTagging`	`s3:GetObjectTagging`: obrigatória se você quiser receber o conjunto de tags de um objeto sem especificar `versionId` na solicitação. `s3:GetObjectVersionTagging`: obrigatória se você quiser obter as tags da versão de um objeto específico determinando `versionId` na solicitação.
GetObjectTorrent	(Obrigatória) `s3:GetObject`	Obrigatória para exibir os arquivos torrent de um objeto.
HeadObject	(Obrigatória) `s3:GetObject`	Obrigatória para recuperar metadados de um objeto sem exibir o próprio objeto.
	(Obrigatória em determinadas condições) `s3:GetObjectLegalHold`	Obrigatória se você quiser conhecer o status atual de retenção legal do Bloqueio de Objetos de um objeto.
	(Obrigatória em determinadas condições) `s3:GetObjectRetention`	Obrigatória se você quiser recuperar as configurações de retenção do Bloqueio de Objetos de um objeto.
ListMultipartUploads	(Obrigatória) `s3:ListBucketMultipartUploads`	Obrigatória para listar carregamentos fracionados em um bucket.
ListParts	(Obrigatória) `s3:ListMultipartUploadParts`	Obrigatória para listar as partes carregadas de um carregamento fracionado específico.
	(Obrigatória em determinadas condições) `kms:Decrypt`	Obrigatória se você quiser listar partes de um carregamento fracionado criptografado com uma chave do AWS KMS gerenciada pelo cliente.
PutObject	(Obrigatória) `s3:PutObject`	Obrigatória para colocar um objeto.
	(Obrigatória em determinadas condições) `s3:PutObjectAcl`	Obrigatória se você quiser colocar a lista de controle de acesso (ACL) do objeto ao fazer uma solicitação `PutObject`.
	(Obrigatória em determinadas condições) `s3:PutObjectTagging`	Obrigatória se você quiser colocar a marcação de objetos ao fazer uma solicitação `PutObject`.
	(Obrigatória em determinadas condições) `kms:GenerateDataKey`	Obrigatória se você quiser criptografar um objeto com uma chave do AWS KMSgerenciada pelo cliente .
	(Obrigatória em determinadas condições) `s3:PutObjectRetention`	Obrigatória se você quiser definir uma configuração de retenção do Bloqueio de Objetos em um objeto.
	(Obrigatória em determinadas condições) `s3:PutObjectLegalHold`	Obrigatória se quiser aplicar uma retenção legal do Bloqueio de Objetos a um objeto especificado.
PutObjectAcl	(Obrigatória) `s3:PutObjectAcl` ou `s3:PutObjectVersionAcl`	`s3:PutObjectAcl`: obrigatória se você quiser definir as permissões da lista de controle de acesso (ACL) de um objeto novo ou existente sem especificar `versionId` na solicitação. `s3:PutObjectVersionAcl`: obrigatória se você quiser definir as permissões da lista de controle de acesso (ACL) de um objeto novo ou existente especificando `versionId` na solicitação.
PutObjectLegalHold	(Obrigatória) `s3:PutObjectLegalHold`	Obrigatória para aplicar uma configuração de retenção legal do Bloqueio de Objetos a um objeto.
PutObjectRetention	(Obrigatória) `s3:PutObjectRetention`	Obrigatória para aplicar uma configuração de retenção do Bloqueio de Objetos a um objeto.
	(Obrigatória em determinadas condições) `s3:BypassGovernanceRetention`	Obrigatória se você quiser ignorar o modo de governança de uma configuração de retenção do Bloqueio de Objetos.
PutObjectTagging	(Obrigatória) `s3:PutObjectTagging` ou `s3:PutObjectVersionTagging`	`s3:PutObjectTagging`: obrigatória se você quiser definir o conjunto de tags fornecido para um objeto que já exista em um bucket sem especificar `versionId` na solicitação. `s3:PutObjectVersionTagging`: obrigatória se você quiser definir o conjunto de tags fornecido para um objeto que já exista em um bucket especificando `versionId` na solicitação.
RestoreObject	(Obrigatória) `s3:RestoreObject`	Obrigatória para restaurar uma cópia de um objeto arquivado.
SelectObjectContent	(Obrigatória) `s3:GetObject`	Obrigatória para filtrar o conteúdo de um objeto do S3 com base em uma declaração de linguagem de consulta estruturada (SQL) simples.
	(Obrigatória em determinadas condições) `kms:Decrypt`	Obrigatória se você quiser filtrar o conteúdo de um objeto do S3 criptografado com uma chave do AWS KMS gerenciada pelo cliente.
UploadPart	(Obrigatória) `s3:PutObject`	Obrigatória para fazer upload de uma parte em um carregamento fracionado.
	(Obrigatória em determinadas condições) `kms:GenerateDataKey`	Obrigatória se você quiser colocar uma parte do upload e criptografá-la com uma chave do AWS KMS gerenciada pelo cliente.
UploadPartCopy	Para um objeto de origem:	Para um objeto de origem:
	(Obrigatória) `s3:GetObject` ou `s3:GetObjectVersion`	`s3:GetObject`: obrigatória se você quiser copiar um objeto do bucket de origem sem especificar `versionId` na solicitação. `s3:GetObjectVersion`: obrigatória se você quiser copiar uma versão específica de um objeto do bucket de origem sem especificar `versionId` na solicitação.
	(Obrigatória em determinadas condições) `kms:Decrypt`	Obrigatória se você quiser copiar um objeto do bucket de origem criptografado com uma chave do AWS KMS gerenciada pelo cliente.
	Para a parte de destino:	Para a parte de destino:
	(Obrigatória) `s3:PutObject`	Obrigatória para fazer upload de uma parte de um carregamento fracionado no bucket de destino.
	(Obrigatória em determinadas condições) `kms:GenerateDataKey`	Obrigatória se você quiser criptografar uma parte com uma chave do AWS KMS gerenciada pelo cliente ao fazer upload da parte no bucket de destino.

As operações de ponto de acesso são operações de API do S3 que operam no tipo de recurso de accesspoint. É necessário especificar ações de política do S3 para operações de ponto de acesso em políticas baseadas em identidade do IAM, não em políticas de bucket ou políticas de ponto de acesso.

Nas políticas, o elemento Resource deve ser o ARN do accesspoint. Para ter mais informações sobre o formato do elemento Resource e políticas de exemplo, consulte Operações de ponto de acesso.

nota

Se quiser usar pontos de acesso para controlar o acesso a operações de bucket ou de objeto, observe o seguinte:

Quanto ao uso de pontos de acesso para controlar o acesso a operações de bucket, consulte Operações de bucket em políticas de ponto de acesso.
Quanto ao uso de pontos de acesso para controlar o acesso a operações de objeto, consulte Operações de objetos em políticas de ponto de acesso.
Consulte mais informações sobre como configurar políticas de ponto de acesso em Configurar políticas do IAM para uso de pontos de acesso.

Veja a seguir a correlação entre as operações de ponto de acesso e as ações de política obrigatórias.

Operações de API	Ações de políticas	Descrição das ações de política
CreateAccessPoint	(Obrigatória) `s3:CreateAccessPoint`	Obrigatória para criar um ponto de acesso associado a um bucket do S3.
DeleteAccessPoint	(Obrigatória) `s3:DeleteAccessPoint`	Obrigatória para excluir um ponto de acesso.
DeleteAccessPointPolicy	(Obrigatória) `s3:DeleteAccessPointPolicy`	Obrigatória para excluir uma política de ponto de acesso.
GetAccessPointPolicy	(Obrigatória) `s3:GetAccessPointPolicy`	Obrigatória para recuperar uma política de ponto de acesso.
GetAccessPointPolicyStatus	(Obrigatória) `s3:GetAccessPointPolicyStatus`	Obrigatória para recuperar as informações sobre se o ponto de acesso especificado no momento tem uma política que permita o acesso público.
PutAccessPointPolicy	(Obrigatória) `s3:PutAccessPointPolicy`	Obrigatória para aplicar uma política de ponto de acesso.

As operações de ponto de acesso do Object Lambda são operações de API do S3 que operam no tipo de recurso objectlambdaaccesspoint. Consulte mais informações sobre como configurar políticas de operações de ponto de acesso do Object Lambda em Configurar políticas do IAM para pontos de acesso do Object Lambda.

Veja a seguir a correlação entre as operações de ponto de acesso do Object Lambda e as ações de política obrigatórias.

Operações de API	Ações de políticas	Descrição das ações de política
CreateAccessPointForObjectLambda	(Obrigatória) `s3:CreateAccessPointForObjectLambda`	Obrigatória para criar um ponto de acesso do Object Lambda.
DeleteAccessPointForObjectLambda	(Obrigatória) `s3:DeleteAccessPointForObjectLambda`	Obrigatória para excluir um ponto de acesso do Object Lambda especificado.
DeleteAccessPointPolicyForObjectLambda	(Obrigatória) `s3:DeleteAccessPointPolicyForObjectLambda`	Obrigatória para excluir a política em um ponto de acesso do Object Lambda especificado.
GetAccessPointConfigurationForObjectLambda	(Obrigatória) `s3:GetAccessPointConfigurationForObjectLambda`	Obrigatória para recuperar a configuração do ponto de acesso do Object Lambda.
GetAccessPointForObjectLambda	(Obrigatória) `s3:GetAccessPointForObjectLambda`	Obrigatória para recuperar informações sobre o ponto de acesso do Object Lambda.
GetAccessPointPolicyForObjectLambda	(Obrigatória) `s3:GetAccessPointPolicyForObjectLambda`	Obrigatória para exibir a política associada ao ponto de acesso do Object Lambda especificado.
GetAccessPointPolicyStatusForObjectLambda	(Obrigatória) `s3:GetAccessPointPolicyStatusForObjectLambda`	Obrigatória para exibir o status de uma política de ponto de acesso específica do Object Lambda.
PutAccessPointConfigurationForObjectLambda	(Obrigatória) `s3:PutAccessPointConfigurationForObjectLambda`	Obrigatória para definir a configuração do ponto de acesso do Object Lambda.
PutAccessPointPolicyForObjectLambda	(Obrigatória) `s3:PutAccessPointPolicyForObjectLambda`	Obrigatória para associar uma política de acesso a um ponto de acesso especificado do Object Lambda.

As operações de ponto de acesso multirregional são operações de API do S3 que operam no tipo de recurso multiregionaccesspoint. Consulte mais informações sobre como configurar políticas de operações de ponto de acesso multirregionais em Exemplos de políticas de pontos de acesso multirregionais.

Veja a seguir a correlação entre as operações de ponto de acesso multirregional e as ações de política obrigatórias.

Operações de API	Ações de políticas	Descrição das ações de política
CreateMultiRegionAccessPoint	(Obrigatória) `s3:CreateMultiRegionAccessPoint`	Obrigatória para criar um ponto de acesso multirregional e associá-lo aos buckets do S3.
DeleteMultiRegionAccessPoint	(Obrigatória) `s3:DeleteMultiRegionAccessPoint`	Obrigatória para excluir um ponto de acesso multirregional.
DescribeMultiRegionAccessPointOperation	(Obrigatória) `s3:DescribeMultiRegionAccessPointOperation`	Obrigatória para recuperar o status de uma solicitação assíncrona e gerenciar um ponto de acesso multirregional.
GetMultiRegionAccessPoint	(Obrigatória) `s3:GetMultiRegionAccessPoint`	Obrigatória para exibir informações de configuração sobre o ponto de acesso multirregional especificado.
GetMultiRegionAccessPointPolicy	(Obrigatória) `s3:GetMultiRegionAccessPointPolicy`	Obrigatória para exibir a política de controle de acesso do ponto de acesso multirregional especificado.
GetMultiRegionAccessPointPolicyStatus	(Obrigatória) `s3:GetMultiRegionAccessPointPolicyStatus`	Obrigatória para exibir o status da política de um ponto de acesso multirregional específico, sobre se esse ponto de acesso tem uma política de controle de acesso que permita o acesso público.
GetMultiRegionAccessPointRoutes	(Obrigatória) `s3:GetMultiRegionAccessPointRoutes`	Obrigatória para exibir a configuração de roteamento de um ponto de acesso multirregional.
PutMultiRegionAccessPointPolicy	(Obrigatória) `s3:PutMultiRegionAccessPointPolicy`	Obrigatória para atualizar a política de controle de acesso do ponto de acesso multirregional especificado.
SubmitMultiRegionAccessPointRoutes	(Obrigatória) `s3:SubmitMultiRegionAccessPointRoutes`	Obrigatória para enviar uma configuração de rota atualizada de um ponto de acesso multirregional.

As operações de trabalho (operações em lote) são operações de API do S3 que operam no tipo de recurso job. É necessário especificar as ações de política do S3 para operações de trabalho em políticas baseadas em identidade do IAM, não em políticas de bucket.

Nas políticas, o elemento Resource deve ser o ARN do job. Para ter mais informações sobre o formato do elemento Resource e políticas de exemplo, consulte Operações de trabalho em lote.

Veja a seguir a correlação entre as operações de trabalho em lote e as ações de política obrigatórias.

Operações de API	Ações de políticas	Descrição das ações de política
DeleteJobTagging	(Obrigatória) `s3:DeleteJobTagging`	Obrigatória para remover tags de um trabalho existente de Operações em Lote do S3.
DescribeJob	(Obrigatória) `s3:DescribeJob`	Obrigatória para recuperar os parâmetros de configuração e o status de um trabalho de operações em lote.
GetJobTagging	(Obrigatória) `s3:GetJobTagging`	Obrigatória para exibir o conjunto de tags de um trabalho existente de Operações em Lote do S3.
PutJobTagging	(Obrigatória) `s3:PutJobTagging`	Obrigatória para aplicar ou substituir tags de um trabalho existente de Operações em Lote do S3.
UpdateJobPriority	(Obrigatória) `s3:UpdateJobPriority`	Obrigatória para atualizar a prioridade de um trabalho existente.
UpdateJobStatus	(Obrigatória) `s3:UpdateJobStatus`	Obrigatória para atualizar o status do trabalho especificado.

As operações de configuração da Lente de Armazenamento do S3 são operações de API do S3 que operam no tipo de recurso storagelensconfiguration. Consulte mais informações sobre como definir as operações de configuração do Lente de Armazenamento do S3 em Configurar permissões da Lente de Armazenamento do Amazon S3.

Veja a seguir a correlação entre as operações de configuração da Lente de Armazenamento do S3 e as ações de política obrigatórias.

Operações de API	Ações de políticas	Descrição das ações de política
DeleteStorageLensConfiguration	(Obrigatória) `s3:DeleteStorageLensConfiguration`	Obrigatória para excluir a configuração da Lente de Armazenamento do S3.
DeleteStorageLensConfigurationTagging	(Obrigatória) `s3:DeleteStorageLensConfigurationTagging`	Obrigatória para excluir as tags de configuração da Lente de Armazenamento do S3.
GetStorageLensConfiguration	(Obrigatória) `s3:GetStorageLensConfiguration`	Obrigatória para obter a configuração da Lente de Armazenamento do S3.
GetStorageLensConfigurationTagging	(Obrigatória) `s3:GetStorageLensConfigurationTagging`	Obrigatória para obter a configuração da Lente de Armazenamento do S3.
PutStorageLensConfigurationTagging	(Obrigatória) `s3:PutStorageLensConfigurationTagging`	Obrigatória para aplicar ou substituir tags em uma configuração existente da Lente de Armazenamento do S3.

As operações de grupos da Lente de Armazenamento do S3 são operações de API do S3 que operam no tipo de recurso storagelensgroup. Para ter mais informações sobre como configurar as operações de grupos da Lente de Armazenamento do S3, consulte Permissões de grupos de Lente de Armazenamento.

Veja a seguir a correlação entre as operações de grupos da Lente de Armazenamento do S3 e as ações de política obrigatórias.

Operações de API	Ações de políticas	Descrição das ações de política
DeleteStorageLensGroup	(Obrigatória) `s3:DeleteStorageLensGroup`	Obrigatória para excluir um grupo existente da Lente de Armazenamento do S3.
GetStorageLensGroup	(Obrigatória) `s3:GetStorageLensGroup`	Obrigatória para recuperar os detalhes da configuração da Lente de Armazenamento do S3.
UpdateStorageLensGroup	(Obrigatória) `s3:UpdateStorageLensGroup`	Obrigatória para atualizar o grupo existente da Lente de Armazenamento do S3.
CreateStorageLensGroup	(Obrigatória) `s3:CreateStorageLensGroup`	Necessária para criar um grupo da Lente de Armazenamento.
CreateStorageLensGroup, TagResource	(Obrigatório) `s3:CreateStorageLensGroup`, `s3:TagResource`	Necessária para criar um grupo da Lente de Armazenamento com tags.
ListStorageLensGroups	(Obrigatória) `s3:ListStorageLensGroups`	Necessária para listar todos os grupos da Lente de Armazenamento na região de origem.
ListTagsForResource	(Obrigatória) `s3:ListTagsForResource`	Necessária para listar as tags que foram adicionadas ao grupo da Lente de Armazenamento.
TagResource	(Obrigatória) `s3:TagResource`	Necessária para adicionar ou atualizar uma tag para um grupo da Lente de Armazenamento existente.
UntagResource	(Obrigatória) `s3:UntagResource`	Necessária para excluir uma tag de um grupo da Lente de Armazenamento.

As operações da conta são operações de API do S3 que operam no nível da conta. A conta não é um tipo de recurso definido pelo Amazon S3. É necessário especificar ações de política do S3 para operações de conta em políticas baseadas em identidade do IAM, não em políticas de bucket.

Nas políticas, o elemento Resource deve ser "*". Para ter mais informações sobre políticas de exemplo, consulte Operações de conta.

Veja a seguir a correlação entre as operações de conta e as ações de política obrigatórias.

Operações de API	Ações de políticas	Descrição das ações de política
CreateJob	(Obrigatória) `s3:CreateJob`	Obrigatória para criar um trabalho de Operações em Lote do S3.
CreateStorageLensGroup	(Obrigatória) `s3:CreateStorageLensGroup`	Obrigatória para criar um grupo de lentes da Lente de Armazenamento do S3 e associá-lo ao ID da Conta da AWS especificado.
	(Obrigatória em determinadas condições) `s3:TagResource`	Obrigatória se você quiser criar um grupo da Lente de Armazenamento do S3 com tags de recursos da AWS.
DeletePublicAccessBlock (nível de conta)	(Obrigatória) `s3:PutAccountPublicAccessBlock`	Obrigatória para remover a configuração do Bloqueio de Acesso Público de uma Conta da AWS.
GetAccessPoint	(Obrigatória) `s3:GetAccessPoint`	Obrigatória para recuperar informações de configuração sobre o ponto de acesso especificado.
GetAccessPointPolicy (nível de conta)	(Obrigatória) `s3:GetAccountPublicAccessBlock`	Obrigatória para recuperar a configuração do Bloqueio de Acesso Público de uma Conta da AWS.
ListAccessPoints	(Obrigatória) `s3:ListAccessPoints`	Obrigatória para listar os pontos de acesso de um bucket do S3 que pertencem a uma Conta da AWS.
ListAccessPointsForObjectLambda	(Obrigatória) `s3:ListAccessPointsForObjectLambda`	Obrigatória para listar os pontos de acesso do Object Lambda.
ListBuckets	(Obrigatória) `s3:ListAllMyBuckets`	Obrigatória para exibir uma lista de todos os buckets pertencentes ao remetente autenticado da solicitação.
ListJobs	(Obrigatória) `s3:ListJobs`	Obrigatória para listar os trabalhos atuais e os trabalhos encerrados recentemente.
ListMultiRegionAccessPoints	(Obrigatória) `s3:ListMultiRegionAccessPoints`	Obrigatória para exibir uma lista dos pontos de acesso multirregionais atualmente associados ao Conta da AWS especificado.
ListStorageLensConfigurations	(Obrigatória) `s3:ListStorageLensConfigurations`	Obrigatória para obter as configurações da Lente de Armazenamento do S3 de uma Conta da AWS.
ListStorageLensGroups	(Obrigatória) `s3:ListStorageLensGroups`	Obrigatória para listar todos os grupos da Lente de Armazenamento do S3 na Região da AWS inicial especificada.
PutPublicAccessBlock (nível de conta)	(Obrigatória) `s3:PutAccountPublicAccessBlock`	Obrigatório para criar ou modificar a configuração do Bloqueio de Acesso Público de uma Conta da AWS.
PutStorageLensConfiguration	(Obrigatória) `s3:PutStorageLensConfiguration`	Obrigatória para aplicar uma configuração da Lente de Armazenamento do S3.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Para uma operação de objeto

Políticas e permissões