Amazon S3 的存储桶策略
存储桶策略是基于资源的策略,您可以使用该策略向 Amazon S3 存储桶及其中的对象授予访问权限。只有存储桶拥有者才能将策略与存储桶关联。附加到存储桶的权限适用于存储桶拥有者拥有的存储桶中所有对象。这些权限不适用于其它 AWS 账户所拥有的对象。
S3 对象所有权是 Amazon S3 存储桶级别的设置,您可以使用该设置来控制上传到存储桶的对象的所有权并禁用或启用访问控制列表(ACL)。默认情况下,对象所有权设为强制存储桶拥有者设置,并且所有 ACL 均处于禁用状态。存储桶拥有者拥有存储桶中的所有对象,并使用策略专门管理对数据的访问权限。
存储桶策略使用基于 JSON 的 AWS Identity and Access Management(IAM)策略语言。您可以使用存储桶策略添加或拒绝存储桶中对象的权限。存储桶策略可以基于策略中的元素允许或拒绝请求。这些元素包括请求者、S3 操作、资源以及请求的特征或条件(例如,用于发出请求的 IP 地址)。
例如,您可以创建执行以下操作的存储桶策略:
-
授予其他账户将对象上传到您的 S3 存储桶的跨账户权限
-
确保您(存储桶拥有者)对于上传的对象具有完全控制权限
有关更多信息,请参阅 Amazon S3 存储桶策略的示例。
重要
您不能使用存储桶策略来防止通过 S3 生命周期规则进行删除或转换。例如,即使您的存储桶策略拒绝所有主体的所有操作,您的 S3 生命周期配置也仍能正常发挥作用。
在本节中,我们通过主题提供了示例,并向您展示了如何在 S3 控制台中添加存储桶策略。有关基于身份的策略的信息,请参阅Amazon S3 基于身份的策略。有关存储桶策略语言的信息,请参阅Amazon S3 中的策略和权限。
有关按 S3 资源类型对 S3 API 操作的权限的更多信息,请参阅 Amazon S3 API 操作所需的权限。