存储桶操作和权限对象操作和权限接入点操作和权限对象 Lambda 接入点操作和权限多区域接入点操作和权限批量任务操作和权限 S3 Storage Lens 存储分析功能配置操作和权限 S3 Storage Lens 组操作和权限账户操作和权限

Amazon S3 API 操作所需的权限

注意

本页面介绍面向通用存储桶的 Amazon S3 策略操作。要了解有关面向目录存储桶的 Amazon S3 策略操作的更多信息，请参阅适用于 S3 Express One Zone 的操作。

要执行 S3 API 操作，必须拥有正确的权限。此页面将 S3 API 操作映射到所需的权限。要授予执行 S3 API 操作的权限，您必须撰写有效的策略（例如 S3 存储桶策略或基于 IAM 身份的策略），并在策略的 Action 元素中指定相应的操作。这些操作称为策略操作。并非每个 S3 API 操作都由单个权限（单个策略操作）表示，许多不同的 API 操作需要某些权限（某些策略操作）。

在撰写策略时，必须根据相应的 Amazon S3 策略操作所需的正确资源类型来指定 Resource 元素。此页面按资源类型对 S3 API 操作权限进行了分类。有关资源类型的更多信息，请参阅《Service Authorization Reference》中 Resource types defined by Amazon S3。有关策略中使用的 Amazon S3 策略操作、资源和条件键的完整列表，请参阅《Service Authorization Reference》中的 Actions, resources, and condition keys for Amazon S3。有关 Amazon S3 API 操作的完整列表，请参阅《Amazon Simple Storage Service API Reference》中的 Amazon S3 API Actions。

存储桶操作是在存储桶资源类型上执行的 S3 API 操作。您必须在存储桶策略或基于 IAM 身份的策略中为存储桶操作指定 S3 策略操作。

在策略中，Resource 元素必须为存储桶 Amazon 资源名称（ARN）。有关 Resource 元素格式和示例策略的更多信息，请参阅存储桶操作。

注意

要在接入点策略中授予对存储桶操作的权限，请注意以下几点：

在接入点策略中对于存储桶操作授予的权限，仅在底层存储桶支持相同的权限时才有效。使用接入点时，必须将访问控制权从存储桶委托给接入点，或者将接入点策略中的相同权限添加到底层存储桶的策略中。
在授予对存储桶操作的权限的接入点策略中，Resource 元素必须是 accesspoint ARN。有关 Resource 元素格式和示例策略的更多信息，请参阅接入点策略中的存储桶操作。有关接入点策略的更多信息，请参阅配置使用接入点的 IAM 策略。
并非所有存储桶操作都受接入点支持。有关更多信息，请参阅接入点与 S3 操作的兼容性。

以下是存储桶操作和所需策略操作的映射。

API 操作	策略操作	策略操作的描述
CreateBucket	（必需）`s3:CreateBucket`	创建新的 s3 存储桶所必需。
	（有条件需要）`s3:PutBucketAcl`	如果要在发出 `CreateBucket` 请求时使用访问控制列表（ACL）来指定对存储桶的权限，则必需。
	（有条件需要）`s3:PutBucketObjectLockConfiguration`、`s3:PutBucketVersioning`	如果要在创建存储桶时启用对象锁定，则必需。
	（有条件需要）`s3:PutBucketOwnershipControls`	如果要在创建存储桶时指定 S3 对象所有权，则必需。
DeleteBucket	（必需）`s3:DeleteBucket`	删除 S3 存储桶所必需。
DeleteBucketAnalyticsConfiguration	（必需）`s3:PutAnalyticsConfiguration`	从 S3 存储桶中删除 S3 分析配置所必需。
DeleteBucketCors	（必需）`s3:PutBucketCORS`	删除存储桶的跨源资源共享（CORS）配置所必需。
DeleteBucketEncryption	（必需）`s3:PutEncryptionConfiguration`	将 S3 存储桶的默认加密配置重置为具有 Amazon S3 托管式密钥的服务器端加密（SSE-S3）所必需。
DeleteBucketIntelligentTieringConfiguration	（必需）`s3:PutIntelligentTieringConfiguration`	从 S3 存储桶中删除现有 S3 Intelligent-Tiering 配置所必需。
DeleteBucketInventoryConfiguration	（必需）`s3:PutInventoryConfiguration`	从 S3 存储桶中删除 S3 清单配置所必需。
DeleteBucketLifecycle	（必需）`s3:PutLifecycleConfiguration`	删除 S3 存储桶的 S3 生命周期配置所必需。
DeleteBucketMetricsConfiguration	（必需）`s3:PutMetricsConfiguration`	从 S3 存储桶中删除 Amazon CloudWatch 请求指标的指标配置所必需。
DeleteBucketOwnershipControls	（必需）`s3:PutBucketOwnershipControls`	移除 S3 存储桶的“对象所有权”设置所必需。移除后，“对象所有权”设置变为 `Object writer`。
DeleteBucketPolicy	（必需）`s3:DeleteBucketPolicy`	删除 S3 存储桶的策略所必需。
DeleteBucketReplication	（必需）`s3:PutReplicationConfiguration`	删除 S3 存储桶的复制配置所必需。
DeleteBucketTagging	（必需）`s3:PutBucketTagging`	从 S3 存储桶中删除标签所必需。
DeleteBucketWebsite	（必需）`s3:DeleteBucketWebsite`	移除 S3 存储桶的网站配置所必需。
DeletePublicAccessBlock（存储桶级）	（必需）`s3:PutBucketPublicAccessBlock`	移除 S3 存储桶的屏蔽公共访问权限配置所必需。
GetBucketAccelerateConfiguration	（必需）`s3:GetAccelerateConfiguration`	使用加速子资源返回存储桶的 Amazon S3 Transfer Acceleration 状态（已启用或已暂停）所必需。
GetBucketAcl	（必需）`s3:GetBucketAcl`	返回 S3 存储桶的访问控制列表（ACL）所必需。
GetBucketAnalyticsConfiguration	（必需）`s3:GetAnalyticsConfiguration`	返回 S3 存储桶中由分析配置 ID 标识的分析配置所必需。
GetBucketCors	（必需）`s3:GetBucketCORS`	返回 S3 存储桶的跨源资源共享（CORS）配置所必需。
GetBucketEncryption	（必需）`s3:GetEncryptionConfiguration`	返回 S3 存储桶的默认加密配置所必需。
GetBucketIntelligentTieringConfiguration	（必需）`s3:GetIntelligentTieringConfiguration`	获取 S3 存储桶的 S3 Intelligent-Tiering 配置所必需。
GetBucketInventoryConfiguration	（必需）`s3:GetInventoryConfiguration`	返回存储桶中由清单配置 ID 标识的清单配置所必需。
GetBucketLifecycle	（必需）`s3:GetLifecycleConfiguration`	返回存储桶的 S3 生命周期配置所必需。
GetBucketLocation	（必需）`s3:GetBucketLocation`	返回 S3 存储桶所在的 AWS 区域所必需。
GetBucketLogging	（必需）`s3:GetBucketLogging`	返回 S3 存储桶的日志记录状态和用户具有的查看和修改该状态的权限所必需。
GetBucketMetricsConfiguration	（必需）`s3:GetMetricsConfiguration`	从存储桶中获取由指标配置 ID 指定的指标配置所必需。
GetBucketNotificationConfiguration	（必需）`s3:GetBucketNotification`	返回 S3 存储桶的通知配置所必需。
GetBucketOwnershipControls	（必需）`s3:GetBucketOwnershipControls`	检索 S3 存储桶的“对象所有权”设置所必需。
GetBucketPolicy	（必需）`s3:GetBucketPolicy`	返回 S3 存储桶的策略所必需。
GetBucketPolicyStatus	（必需）`s3:GetBucketPolicyStatus`	检索 S3 存储桶的策略状态（指示存储桶是否为公有）所必需。
GetBucketReplication	（必需）`s3:GetReplicationConfiguration`	返回 S3 存储桶的复制配置所必需。
GetBucketRequestPayment	（必需）`s3:GetBucketRequestPayment`	返回 S3 存储桶的请求付款配置所必需。
GetBucketVersioning	（必需）`s3:GetBucketVersioning`	返回 S3 存储桶的版本控制状态所必需。
GetBucketTagging	（必需）`s3:GetBucketTagging`	返回与 S3 存储桶关联的标签集所必需。
GetBucketWebsite	（必需）`s3:GetBucketWebsite`	返回 S3 存储桶的网站配置所必需。
GetObjectLockConfiguration	（必需）`s3:GetBucketObjectLockConfiguration`	获取 S3 存储桶的对象锁定配置所必需。
GetPublicAccessBlock（存储桶级）	（必需）`s3:GetBucketPublicAccessBlock`	检索 S3 存储桶的屏蔽公共访问权限配置所必需。
HeadBucket	（必需）`s3:ListBucket`	确定存储桶是否存在以及您是否有权访问该存储桶所必需。
ListBucketAnalyticsConfigurations	（必需）`s3:GetAnalyticsConfiguration`	列出 S3 存储桶的分析配置所必需。
ListBucketIntelligentTieringConfigurations	（必需）`s3:GetIntelligentTieringConfiguration`	列出 S3 存储桶的 S3 Intelligent-Tiering 配置所必需。
ListBucketInventoryConfigurations	（必需）`s3:GetInventoryConfiguration`	返回 S3 存储桶的清单配置列表所必需。
ListBucketMetricsConfigurations	（必需）`s3:GetMetricsConfiguration`	列出 S3 存储桶的指标配置所必需。
ListObjects	（必需）`s3:ListBucket`	列出 S3 存储桶中的部分或全部（最多 1000 个）对象所必需。
	（有条件需要）`s3:GetObjectAcl`	如果您要显示对象所有者信息，则必需。
ListObjectsV2	（必需）`s3:ListBucket`	列出 S3 存储桶中的部分或全部（最多 1000 个）对象所必需。
	（有条件需要）`s3:GetObjectAcl`	如果您要显示对象所有者信息，则必需。
ListObjectVersions	（必需）`s3:ListBucketVersions`	获取有关 S3 存储桶中所有对象版本的元数据所必需。
PutBucketAccelerateConfiguration	（必需）`s3:PutAccelerateConfiguration`	设置现有存储桶的加速配置所必需。
PutBucketAcl	（必需）`s3:PutBucketAcl`	使用访问控制列表（ACL）设置对现有存储桶的权限所必需。
PutBucketAnalyticsConfiguration	（必需）`s3:PutAnalyticsConfiguration`	设置 S3 存储桶的分析配置所必需。
PutBucketCors	（必需）`s3:PutBucketCORS`	设置 S3 存储桶的跨源资源共享（CORS）配置所必需。
PutBucketEncryption	（必需）`s3:PutEncryptionConfiguration`	配置 S3 存储桶的默认加密所必需。
PutBucketIntelligentTieringConfiguration	（必需）`s3:PutIntelligentTieringConfiguration`	将 S3 Intelligent-Tiering 配置放置到 S3 存储桶所必需。
PutBucketInventoryConfiguration	（必需）`s3:PutInventoryConfiguration`	将清单配置添加到 S3 存储桶所必需。
PutBucketLifecycle	（必需）`s3:PutLifecycleConfiguration`	为 S3 存储桶创建新的 S3 生命周期配置或替换现有生命周期配置所必需。
PutBucketLogging	（必需）`s3:PutBucketLogging`	为 S3 存储桶设置日志记录参数并指定谁可以查看和修改日志记录参数的权限所必需。
PutBucketMetricsConfiguration	（必需）`s3:PutMetricsConfiguration`	设置或更新 S3 存储桶的 Amazon CloudWatch 请求指标的指标配置所必需。
PutBucketNotificationConfiguration	（必需）`s3:PutBucketNotification`	为 S3 存储桶启用指定事件的通知所必需。
PutBucketOwnershipControls	（必需）`s3:PutBucketOwnershipControls`	创建或修改 S3 存储桶的“对象所有权”设置所必需。
PutBucketPolicy	（必需）`s3:PutBucketPolicy`	将 S3 存储桶策略应用于存储桶所必需。
PutBucketReplication	（必需）`s3:PutReplicationConfiguration`	为 S3 存储桶创建新的复制配置或替换现有的复制配置所必需。
PutBucketRequestPayment	（必需）`s3:PutBucketRequestPayment`	设置存储桶的请求付款配置所必需。
PutBucketTagging	（必需）`s3:PutBucketTagging`	将一组标签添加到 S3 存储桶所必需。
PutBucketVersioning	（必需）`s3:PutBucketVersioning`	设置 S3 存储桶的版本控制状态所必需。
PutBucketWebsite	（必需）`s3:PutBucketWebsite`	将存储桶配置为网站并设置网站的配置所必需。
PutObjectLockConfiguration	（必需）`s3:PutBucketObjectLockConfiguration`	在 S3 存储桶上放置对象锁定配置所必需。
PutPublicAccessBlock（存储桶级）	（必需）`s3:PutBucketPublicAccessBlock`	创建或修改 S3 存储桶的屏蔽公共访问权限配置所必需。

对象操作是对于对象资源类型运行的 S3 API 操作。您必须在基于资源的策略（例如存储桶策略、接入点策略、多区域接入点策略、VPC 端点策略）或基于 IAM 身份的策略中为对象操作指定 S3 策略操作。

在策略中，Resource 元素必须是对象 ARN。有关 Resource 元素格式和示例策略的更多信息，请参阅对象操作。

注意

AWS KMS 策略操作（kms:GenerateDataKey 和 kms:Decrypt）仅适用于 AWS KMS 资源类型，并且必须在基于 IAM 身份的策略和基于 AWS KMS 资源的策略（AWS KMS 密钥策略）中指定。您无法在基于 S3 资源的策略（例如 S3 存储桶策略）中指定 AWS KMS 策略操作。
使用接入点控制对于对象操作的访问权限时，可以使用接入点策略。要在接入点策略中授予对于对象操作的权限，请注意以下几点：
- 在授予对于对象操作的权限的接入点策略中，Resource 元素必须是通过接入点访问的对象的 ARN。有关 Resource 元素格式和示例策略的更多信息，请参阅接入点策略中的对象操作。
- 并非所有对象操作都受接入点支持。有关更多信息，请参阅接入点与 S3 操作的兼容性。
并非所有对象操作都受多区域接入点支持。有关更多信息，请参阅多区域接入点与 S3 操作的兼容性。

以下是对象操作和所需策略操作的映射。

API 操作	策略操作	策略操作的描述
AbortMultipartUpload	（必需）`s3:AbortMultipartUpload`	中止分段上传所必需。
CompleteMultipartUpload	（必需）`s3:PutObject`	完成分段上传所必需。
	（有条件需要）`kms:Decrypt`	如果要为 AWS KMS 客户自主管理型密钥加密的对象完成分段上传，则必需。
CopyObject	对于源对象：	对于源对象：
	（必需）`s3:GetObject` 或 `s3:GetObjectVersion`	`s3:GetObject`：如果要从源存储桶复制对象而未在请求中指定 `versionId`，则必需。 `s3:GetObjectVersion`：如果要通过在请求中指定 `versionId` 来从源存储桶复制对象的特定版本，则必需。
	（有条件需要）`kms:Decrypt`	如果要从源存储桶复制 AWS KMS 客户自主管理型密钥加密的对象，则必需。
	对于目标对象：	对于目标对象：
	（必需）`s3:PutObject`	将复制的对象放置到目标存储桶中所必需。
	（有条件需要）`s3:PutObjectAcl`	如果要在发出 `CopyObject` 请求时将带有对象访问控制列表（ACL）的已复制对象放置到目标存储桶，则必需。
	（有条件需要）`s3:PutObjectTagging`	如果要在发出 `CopyObject` 请求时将带有对象标记的已复制对象放置到目标存储桶，则必需。
	（有条件需要）`kms:GenerateDataKey`	如果要使用 AWS KMS 客户自主管理型密钥来加密复制的对象并将其放置到目标存储桶，则必需。
	（有条件需要）`s3:PutObjectRetention`	如果要为新对象设置对象锁定保留配置，则必需。
	（有条件需要）`s3:PutObjectLegalHold`	如果要对新对象实施对象锁定法定保留，则必需。
CreateMultipartUpload	（必需）`s3:PutObject`	创建分段上传所必需。
	（有条件需要）`s3:PutObjectAcl`	如果要为上传的对象设置对象访问控制列表（ACL）权限，则必需。
	（有条件需要）`s3:PutObjectTagging`	如果要向上传的对象添加对象标记，则必需。
	（有条件需要）`kms:GenerateDataKey`	如果要在启动分段上传时使用 AWS KMS 客户自主管理型密钥来加密对象，则必需。
	（有条件需要）`s3:PutObjectRetention`	如果要为上传的对象设置对象锁定保留配置，则必需。
	（有条件需要）`s3:PutObjectLegalHold`	如果要对上传的对象应用对象锁定法定保留，则必需。
DeleteObject	（必需）`s3:DeleteObject` 或 `s3:DeleteObjectVersion`	`s3:DeleteObject`：如果要移除对象但未在请求中指定 `versionId`，则必需。 `s3:DeleteObjectVersion`：如果要通过在请求中指定 `versionId` 来移除对象的特定版本，则必需。
	（有条件需要）`s3:BypassGovernanceRetention`	如果要删除受监管模式保护来进行对象锁定保留的对象，则必需。
DeleteObjects	（必需）`s3:DeleteObject` 或 `s3:DeleteObjectVersion`	`s3:DeleteObject`：如果要移除对象但未在请求中指定 `versionId`，则必需。 `s3:DeleteObjectVersion`：如果要通过在请求中指定 `versionId` 来移除对象的特定版本，则必需。
	（有条件需要）`s3:BypassGovernanceRetention`	如果要删除受监管模式保护来进行对象锁定保留的对象，则必需。
DeleteObjectTagging	（必需）`s3:DeleteObjectTagging` 或 `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging`：如果要移除对象的整个标签集但未在请求中指定 `versionId`，则必需。 `s3:DeleteObjectVersionTagging`：如果要通过在请求中指定 `versionId` 来删除特定对象版本的标签，则必需。
GetObject	（必需）`s3:GetObject` 或 `s3:GetObjectVersion`	`s3:GetObject`：如果要获取对象但未在请求中指定 `versionId`，则必需。 `s3:GetObjectVersion`：如果要通过在请求中指定 `versionId` 来获取对象的特定版本，则必需。
	（有条件需要）`kms:Decrypt`	如果要获取和解密 AWS KMS 客户自主管理型密钥加密的对象，则必需。
	（有条件需要）`s3:GetObjectTagging`	如果要在发出 `GetObject` 请求时获取对象的标签集，则必需。
	（有条件需要）`s3:GetObjectLegalHold`	如果要获取对象的当前对象锁定法定保留状态，则必需。
	（有条件需要）`s3:GetObjectRetention`	如果要检索对象的对象锁定保留设置，则必需。
GetObjectAcl	（必需）`s3:GetObjectAcl` 或 `s3:GetObjectVersionAcl`	`s3:GetObjectAcl`：如果要获取对象的访问控制列表（ACL）但未在请求中指定 `versionId`，则必需。 `s3:GetObjectVersionAcl`：如果要通过在请求中指定 `versionId` 来获取对象的访问控制列表（ACL），则必需。
GetObjectAttributes	（必需）`s3:GetObject` 或 `s3:GetObjectVersion`	`s3:GetObject`：如果要检索与对象相关的属性但未在请求中指定 `versionId`，则必需。 `s3:GetObjectVersion`：如果要通过在请求中指定 `versionId` 来检索与特定对象版本相关的属性，则必需。
	（有条件需要）`kms:Decrypt`	如果要检索与 AWS KMS 客户自主管理型密钥加密的对象相关的属性，则必需。
GetObjectLegalHold	（必需）`s3:GetObjectLegalHold`	获取对象的当前对象锁定法定保留状态所必需。
GetObjectRetention	（必需）`s3:GetObjectRetention`	检索对象的对象锁定保留设置所必需。
GetObjectTagging	（必需）`s3:GetObjectTagging` 或 `s3:GetObjectVersionTagging`	`s3:GetObjectTagging`：如果要获取对象的标签集但未在请求中指定 `versionId`，则必需。 `s3:GetObjectVersionTagging`：如果要通过在请求中指定 `versionId` 来获取特定对象版本的标签，则必需。
GetObjectTorrent	（必需）`s3:GetObject`	返回对象的 torrent 文件所必需。
HeadObject	（必需）`s3:GetObject`	从对象检索元数据而不返回对象本身所必需。
	（有条件需要）`s3:GetObjectLegalHold`	如果要获取对象的当前对象锁定法定保留状态，则必需。
	（有条件需要）`s3:GetObjectRetention`	如果要检索对象的对象锁定保留设置，则必需。
ListMultipartUploads	（必需）`s3:ListBucketMultipartUploads`	列出存储桶中正在进行的分段上传所必需。
ListParts	（必需）`s3:ListMultipartUploadParts`	列出为特定分段上传已上传的分段所必需。
	（有条件需要）`kms:Decrypt`	如果要列出 AWS KMS 客户自主管理型密钥加密的分段上传的各个分段，则必需。
PutObject	（必需）`s3:PutObject`	放置对象所必需。
	（有条件需要）`s3:PutObjectAcl`	如果要在发出 `PutObject` 请求时放置对象访问控制列表（ACL），则必需。
	（有条件需要）`s3:PutObjectTagging`	如果要在发出 `PutObject` 请求时放置对象标记，则必需。
	（有条件需要）`kms:GenerateDataKey`	如果要使用 AWS KMS 客户自主管理型密钥来加密对象，则必需。
	（有条件需要）`s3:PutObjectRetention`	如果要在对象上设置对象锁定保留配置，则必需。
	（有条件需要）`s3:PutObjectLegalHold`	如果要将对象锁定法定保留配置应用于指定的对象，则必需。
PutObjectAcl	（必需）`s3:PutObjectAcl` 或 `s3:PutObjectVersionAcl`	`s3:PutObjectAcl`：如果要为新对象或现有对象设置访问控制列表（ACL）权限但未在请求中指定 `versionId`，则必需。 `s3:PutObjectVersionAcl`：如果要通过在请求中指定 `versionId` 来为新对象或现有对象设置访问控制列表（ACL）权限，则必需。
PutObjectLegalHold	（必需）`s3:PutObjectLegalHold`	将对象锁定法定保留配置应用于对象所必需。
PutObjectRetention	（必需）`s3:PutObjectRetention`	将对象锁定保留配置应用于对象所必需。
	（有条件需要）`s3:BypassGovernanceRetention`	如果要绕过对象锁定保留配置的监管模式，则必需。
PutObjectTagging	（必需）`s3:PutObjectTagging` 或 `s3:PutObjectVersionTagging`	`s3:PutObjectTagging`：如果要为存储桶中已存在的对象设置提供的标签集但未在请求中指定 `versionId`，则必需。 `s3:PutObjectVersionTagging`：如果要通过在请求中指定 `versionId` 来为存储桶中已存在的对象设置提供的标签集，则必需。
RestoreObject	（必需）`s3:RestoreObject`	还原归档对象的副本所必需。
SelectObjectContent	（必需）`s3:GetObject`	基于简单结构化查询语言（SQL）语句筛选 S3 对象的内容所必需。
	（有条件需要）`kms:Decrypt`	如果要筛选使用 AWS KMS 客户自主管理型密钥加密的 S3 对象的内容，则必需。
UploadPart	（必需）`s3:PutObject`	在分段上传中上传某个分段所必需。
	（有条件需要）`kms:GenerateDataKey`	如果要放置某个上传分段并使用 AWS KMS 客户自主管理型密钥对其进行加密，则必需。
UploadPartCopy	对于源对象：	对于源对象：
	（必需）`s3:GetObject` 或 `s3:GetObjectVersion`	`s3:GetObject`：如果要从源存储桶复制对象而未在请求中指定 `versionId`，则必需。 `s3:GetObjectVersion`：如果要通过在请求中指定 `versionId` 来从源存储桶复制对象的特定版本，则必需。
	（有条件需要）`kms:Decrypt`	如果要从源存储桶复制 AWS KMS 客户自主管理型密钥加密的对象，则必需。
	对于目标分段：	对于目标分段：
	（必需）`s3:PutObject`	将分段上传的某个分段上传到目标存储桶所必需。
	（有条件需要）`kms:GenerateDataKey`	如果要在将某个分段上传到目标存储桶时使用 AWS KMS 客户自主管理型密钥加密该分段，则必需。

接入点操作是在 accesspoint 资源类型上执行的 S3 API 操作。必须在基于 IAM 身份的策略中为接入点操作指定 S3 策略操作，而不是在存储桶策略或接入点策略中指定它们。

在策略中，Resource 元素必须是 accesspoint ARN。有关 Resource 元素格式和示例策略的更多信息，请参阅接入点操作。

注意

如果要使用接入点来控制对存储桶或对象操作的访问权限，请注意以下几点：

有关使用接入点控制对存储桶操作的访问权限的信息，请参阅接入点策略中的存储桶操作。
有关使用接入点控制对于对象操作的访问权限的信息，请参阅接入点策略中的对象操作。
有关如何配置接入点策略的更多信息，请参阅配置使用接入点的 IAM 策略。

以下是接入点操作和所需策略操作的映射。

API 操作	策略操作	策略操作的描述
CreateAccessPoint	（必需）`s3:CreateAccessPoint`	创建与 S3 存储桶关联的接入点所必需。
DeleteAccessPoint	（必需）`s3:DeleteAccessPoint`	删除接入点所必需。
DeleteAccessPointPolicy	（必需）`s3:DeleteAccessPointPolicy`	删除接入点策略所必需。
GetAccessPointPolicy	（必需）`s3:GetAccessPointPolicy`	检索接入点策略所必需。
GetAccessPointPolicyStatus	（必需）`s3:GetAccessPointPolicyStatus`	检索有关指定的接入点当前是否具有相关策略（即支持公共访问权限）的信息所必需。
PutAccessPointPolicy	（必需）`s3:PutAccessPointPolicy`	放置接入点策略所必需。

对象 Lambda 接入点操作是在 objectlambdaaccesspoint 资源类型上运行的 S3 API 操作。有关如何为对象 Lambda 接入点操作配置策略的更多信息，请参阅为对象 Lambda 接入点配置 IAM 策略。

以下是对象 Lambda 接入点操作和所需策略操作的映射。

API 操作	策略操作	策略操作的描述
CreateAccessPointForObjectLambda	（必需）`s3:CreateAccessPointForObjectLambda`	创建对象 Lambda 接入点所必需。
DeleteAccessPointForObjectLambda	（必需）`s3:DeleteAccessPointForObjectLambda`	删除指定的对象 Lambda 接入点所必需。
DeleteAccessPointPolicyForObjectLambda	（必需）`s3:DeleteAccessPointPolicyForObjectLambda`	删除指定的对象 Lambda 接入点上的策略所必需。
GetAccessPointConfigurationForObjectLambda	（必需）`s3:GetAccessPointConfigurationForObjectLambda`	检索对象 Lambda 接入点的配置所必需。
GetAccessPointForObjectLambda	（必需）`s3:GetAccessPointForObjectLambda`	检索有关对象 Lambda 接入点的信息所必需。
GetAccessPointPolicyForObjectLambda	（必需）`s3:GetAccessPointPolicyForObjectLambda`	返回与指定对象 Lambda 接入点关联的接入点策略所必需。
GetAccessPointPolicyStatusForObjectLambda	（必需）`s3:GetAccessPointPolicyStatusForObjectLambda`	返回特定对象 Lambda 接入点策略的策略状态所必需。
PutAccessPointConfigurationForObjectLambda	（必需）`s3:PutAccessPointConfigurationForObjectLambda`	设置对象 Lambda 接入点的配置所必需。
PutAccessPointPolicyForObjectLambda	（必需）`s3:PutAccessPointPolicyForObjectLambda`	将访问策略与指定的对象 Lambda 接入点相关联所必需。

多区域接入点操作是在 multiregionaccesspoint 资源类型上运行的 S3 API 操作。有关如何为多区域接入点操作配置策略的更多信息，请参阅多区域接入点策略示例。

以下是多区域接入点操作和所需策略操作的映射。

API 操作	策略操作	策略操作的描述
CreateMultiRegionAccessPoint	（必需）`s3:CreateMultiRegionAccessPoint`	创建多区域接入点并将其与 S3 存储桶关联所必需。
DeleteMultiRegionAccessPoint	（必需）`s3:DeleteMultiRegionAccessPoint`	删除多区域接入点所必需。
DescribeMultiRegionAccessPointOperation	（必需）`s3:DescribeMultiRegionAccessPointOperation`	检索管理多区域接入点的异步请求的状态所必需。
GetMultiRegionAccessPoint	（必需）`s3:GetMultiRegionAccessPoint`	返回有关指定多区域接入点的配置信息所必需。
GetMultiRegionAccessPointPolicy	（必需）`s3:GetMultiRegionAccessPointPolicy`	返回指定多区域接入点的访问控制策略所必需。
GetMultiRegionAccessPointPolicyStatus	（必需）`s3:GetMultiRegionAccessPointPolicyStatus`	返回特定多区域接入点的策略状态，以了解指定的多区域接入点是否具有支持公共访问权限的访问控制策略所必需。
GetMultiRegionAccessPointRoutes	（必需）`s3:GetMultiRegionAccessPointRoutes`	返回多区域接入点的路由配置所必需。
PutMultiRegionAccessPointPolicy	（必需）`s3:PutMultiRegionAccessPointPolicy`	更新指定多区域接入点的访问控制策略所必需。
SubmitMultiRegionAccessPointRoutes	（必需）`s3:SubmitMultiRegionAccessPointRoutes`	提交多区域接入点的已更新路由配置所必需。

（批量操作）任务操作是在 job 资源类型上运行的 S3 API 操作。必须在基于 IAM 身份的策略中为任务操作指定 S3 策略操作，而不是在存储桶策略中指定它们。

在策略中，Resource 元素必须是 job ARN。有关 Resource 元素格式和示例策略的更多信息，请参阅批处理作业操作。

以下是批量任务操作和所需策略操作的映射。

API 操作	策略操作	策略操作的描述
DeleteJobTagging	（必需）`s3:DeleteJobTagging`	从现有 S3 批量操作任务中移除标签所必需。
DescribeJob	（必需）`s3:DescribeJob`	检索批量操作任务的配置参数和状态所必需。
GetJobTagging	（必需）`s3:GetJobTagging`	返回现有 S3 批量操作任务的标签集所必需。
PutJobTagging	（必需）`s3:PutJobTagging`	在现有 S3 批量操作任务上放置或替换标签所必需。
UpdateJobPriority	（必需）`s3:UpdateJobPriority`	更新现有任务的优先级所必需。
UpdateJobStatus	（必需）`s3:UpdateJobStatus`	更新指定任务的状态所必需。

S3 Storage Lens 存储分析功能配置操作是在 storagelensconfiguration 资源类型上运行的 S3 API 操作。有关如何配置 S3 Storage Lens 存储分析功能配置操作的更多信息，请参阅设置 Amazon S3 Storage Lens 存储统计管理工具权限。

以下是 S3 Storage Lens 存储分析功能配置操作和所需策略操作的映射。

API 操作	策略操作	策略操作的描述
DeleteStorageLensConfiguration	（必需）`s3:DeleteStorageLensConfiguration`	删除 S3 Storage Lens 存储分析功能配置所必需。
DeleteStorageLensConfigurationTagging	（必需）`s3:DeleteStorageLensConfigurationTagging`	删除 S3 Storage Lens 存储分析功能配置标签所必需。
GetStorageLensConfiguration	（必需）`s3:GetStorageLensConfiguration`	获取 S3 Storage Lens 存储分析功能配置所必需。
GetStorageLensConfigurationTagging	（必需）`s3:GetStorageLensConfigurationTagging`	获取 S3 Storage Lens 存储分析功能配置的标签所必需。
PutStorageLensConfigurationTagging	（必需）`s3:PutStorageLensConfigurationTagging`	在现有 S3 Storage Lens 存储分析功能配置上放置或替换标签所必需。

S3 Storage Lens 组操作是在 storagelensgroup 资源类型上运行的 S3 API 操作。有关如何配置 S3 Storage Lens 组权限的更多信息，请参阅 Storage Lens 组权限。

以下是 S3 Storage Lens 组操作和所需策略操作的映射。

API 操作	策略操作	策略操作的描述
DeleteStorageLensGroup	（必需）`s3:DeleteStorageLensGroup`	删除现有 S3 Storage Lens 组所必需。
GetStorageLensGroup	（必需）`s3:GetStorageLensGroup`	检索 S3 Storage Lens 组配置详细信息所必需。
UpdateStorageLensGroup	（必需）`s3:UpdateStorageLensGroup`	更新现有 S3 Storage Lens 组所必需。

账户操作是在账户级别执行的 S3 API 操作。账户不是 Amazon S3 定义的资源类型。必须在基于 IAM 身份的策略中为账户操作指定 S3 策略操作，而不是在存储桶策略中指定它们。

在策略中，Resource 元素必须是 "*"。有关示例策略的更多信息，请参阅账户操作。

以下是账户操作和所需策略操作的映射。

API 操作	策略操作	策略操作的描述
CreateJob	（必需）`s3:CreateJob`	创建新的 S3 批量操作任务所必需。
CreateStorageLensGroup	（必需）`s3:CreateStorageLensGroup`	创建新的 S3 Storage Lens 组并将其与指定的 AWS 账户 ID 关联所必需。
	（有条件需要）`s3:TagResource`	如果要创建带有 AWS 资源标签的 S3 Storage Lens 组，则必需。
DeletePublicAccessBlock（账户级）	（必需）`s3:PutAccountPublicAccessBlock`	从 AWS 账户中移除屏蔽公共访问权限配置所必需。
GetAccessPoint	（必需）`s3:GetAccessPoint`	检索有关指定接入点的配置信息所必需。
GetAccessPointPolicy（账户级）	（必需）`s3:GetAccountPublicAccessBlock`	检索 AWS 账户的屏蔽公共访问权限配置所必需。
ListAccessPoints	（必需）`s3:ListAccessPoints`	列出 S3 存储桶的由 AWS 账户拥有的接入点所必需。
ListAccessPointsForObjectLambda	（必需）`s3:ListAccessPointsForObjectLambda`	列出对象 Lambda 接入点所必需。
ListBuckets	（必需）`s3:ListAllMyBuckets`	返回经过身份验证的请求发送人所拥有的所有存储桶的列表所必需。
ListJobs	（必需）`s3:ListJobs`	列出当前任务和最近结束的任务所必需。
ListMultiRegionAccessPoints	（必需）`s3:ListMultiRegionAccessPoints`	返回当前与指定 AWS 账户关联的多区域接入点的列表所必需。
ListStorageLensConfigurations	（必需）`s3:ListStorageLensConfigurations`	获取 AWS 账户的 S3 Storage Lens 存储分析功能配置列表所必需。
ListStorageLensGroups	（必需）`s3:ListStorageLensGroups`	列出指定主 AWS 区域中的所有 S3 Storage Lens 组所必需。
PutPublicAccessBlock（账户级）	（必需）`s3:PutAccountPublicAccessBlock`	创建或修改 AWS 账户的屏蔽公共访问权限配置所必需。
PutStorageLensConfiguration	（必需）`s3:PutStorageLensConfiguration`	放置 S3 Storage Lens 存储分析功能配置所必需。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

对于对象操作

策略和权限