Operasi dan izin bucket Operasi dan izin objek Titik akses untuk operasi dan izin bucket tujuan umum Operasi dan izin Objek Lambda Access Point Operasi dan izin Jalur Akses Multi-Wilayah Operasi dan izin pekerjaan batch Operasi dan izin konfigurasi Lensa Penyimpanan S3 S3 Storage Lens mengelompokkan operasi dan izin S3 Access Memberikan operasi dan izin instans Akses S3 Memberikan operasi dan izin lokasi S3 Access Grants memberikan operasi dan izin Operasi dan izin akun

Izin yang diperlukan untuk operasi API Amazon S3

catatan

Halaman ini berisi uraian tentang tindakan kebijakan Amazon S3 untuk bucket tujuan umum. Untuk mempelajari selengkapnya tentang tindakan kebijakan Amazon S3 untuk bucket direktori, lihat. Tindakan untuk ember direktori

Untuk melakukan operasi API S3, Anda harus memiliki izin yang tepat. Halaman ini memetakan operasi API S3 ke izin yang diperlukan. Untuk memberikan izin untuk melakukan operasi API S3, Anda harus membuat kebijakan yang valid (seperti kebijakan bucket S3 atau kebijakan berbasis identitas IAM), dan menentukan tindakan terkait dalam elemen kebijakan. Action Tindakan ini disebut tindakan kebijakan. Tidak setiap operasi API S3 diwakili oleh satu izin (satu tindakan kebijakan), dan beberapa izin (beberapa tindakan kebijakan) diperlukan untuk banyak operasi API yang berbeda.

Saat membuat kebijakan, Anda harus menentukan Resource elemen berdasarkan jenis sumber daya yang benar yang diperlukan oleh tindakan kebijakan Amazon S3 terkait. Halaman ini mengkategorikan izin untuk operasi API S3 berdasarkan jenis sumber daya. Untuk informasi selengkapnya tentang jenis sumber daya, lihat Jenis sumber daya yang ditentukan oleh Amazon S3 di Referensi Otorisasi Layanan. Untuk daftar lengkap tindakan kebijakan Amazon S3, sumber daya, dan kunci kondisi untuk digunakan dalam kebijakan, lihat Tindakan, sumber daya, dan kunci kondisi untuk Amazon S3 di Referensi Otorisasi Layanan. Untuk daftar lengkap operasi Amazon S3 API, lihat Tindakan API Amazon S3 di Referensi API Layanan Penyimpanan Sederhana Amazon.

Untuk informasi selengkapnya tentang cara mengatasi 403 Forbidden kesalahan HTTP di S3, lihatMemecahkan masalah kesalahan akses ditolak (403 Forbidden) di Amazon S3. Untuk informasi selengkapnya tentang fitur IAM yang akan digunakan dengan S3, lihat. Bagaimana Amazon S3 bekerja dengan IAM Untuk informasi selengkapnya tentang praktik terbaik keamanan S3, lihatPraktik Terbaik Keamanan untuk Amazon S3.

Topik

Operasi dan izin bucket
Operasi dan izin objek
Titik akses untuk operasi dan izin bucket tujuan umum
Operasi dan izin Objek Lambda Access Point
Operasi dan izin Jalur Akses Multi-Wilayah
Operasi dan izin pekerjaan batch
Operasi dan izin konfigurasi Lensa Penyimpanan S3
S3 Storage Lens mengelompokkan operasi dan izin
S3 Access Memberikan operasi dan izin instans
Akses S3 Memberikan operasi dan izin lokasi
S3 Access Grants memberikan operasi dan izin
Operasi dan izin akun

Operasi bucket adalah operasi API S3 yang beroperasi pada tipe sumber daya bucket. Anda harus menentukan tindakan kebijakan S3 untuk operasi bucket dalam kebijakan bucket atau kebijakan berbasis identitas IAM.

Dalam kebijakan, Resource elemen harus berupa bucket Amazon Resource Name (ARN). Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi bucket.

catatan

Untuk memberikan izin ke operasi bucket dalam kebijakan jalur akses, perhatikan hal berikut:

Izin yang diberikan untuk operasi bucket dalam kebijakan jalur akses hanya efektif jika bucket yang mendasarinya mengizinkan izin yang sama. Saat menggunakan titik akses, Anda harus mendelegasikan kontrol akses dari bucket ke titik akses atau menambahkan izin yang sama dalam kebijakan titik akses ke kebijakan bucket yang mendasarinya.
Dalam kebijakan titik akses yang memberikan izin untuk operasi bucket, Resource elemen harus accesspoint ARN. Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi bucket dalam kebijakan untuk titik akses untuk bucket tujuan umum. Untuk informasi selengkapnya tentang kebijakan jalur akses, lihatMengkonfigurasi kebijakan IAM untuk menggunakan titik akses untuk bucket tujuan umum.
Tidak semua operasi bucket didukung oleh titik akses. Untuk informasi selengkapnya, lihat Titik akses untuk kompatibilitas bucket tujuan umum dengan operasi S3.

Berikut ini adalah pemetaan operasi bucket dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateBucket	(Diperlukan) `s3:CreateBucket`	Diperlukan untuk membuat bucket s3 baru.
	(Diperlukan secara kondisional) `s3:PutBucketAcl`	Diperlukan jika Anda ingin menggunakan daftar kontrol akses (ACL) untuk menentukan izin pada bucket saat Anda membuat `CreateBucket` permintaan.
	(Diperlukan secara kondisional)`s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`	Diperlukan jika Anda ingin mengaktifkan Object Lock saat membuat bucket.
	(Diperlukan secara kondisional) `s3:PutBucketOwnershipControls`	Diperlukan jika Anda ingin menentukan Kepemilikan Objek S3 saat Anda membuat bucket.
CreateBucketMetadataTableConfiguration	(Diperlukan)`s3:CreateBucketMetadataTableConfiguration`,`s3tables:CreateNamespace`,`s3tables:CreateTable`,`s3tables:GetTable`, `s3tables:PutTablePolicy`	Diperlukan untuk membuat konfigurasi tabel metadata pada bucket tujuan umum. Untuk membuat tabel metadata di keranjang tabel yang ditentukan dalam konfigurasi tabel metadata, Anda harus memiliki izin yang ditentukan. `s3tables` Jika Anda juga ingin mengintegrasikan bucket tabel Anda dengan layanan AWS analitik sehingga Anda dapat menanyakan tabel metadata Anda, Anda memerlukan izin tambahan. Untuk informasi selengkapnya, lihat Mengintegrasikan Tabel Amazon S3 AWS dengan layanan analitik.
DeleteBucket	(Diperlukan) `s3:DeleteBucket`	Diperlukan untuk menghapus bucket S3.
DeleteBucketAnalyticsConfiguration	(Diperlukan) `s3:PutAnalyticsConfiguration`	Diperlukan untuk menghapus konfigurasi analitik S3 dari bucket S3.
DeleteBucketCors	(Diperlukan) `s3:PutBucketCORS`	Diperlukan untuk menghapus konfigurasi cross-origin resource sharing (CORS) untuk bucket.
DeleteBucketEncryption	(Diperlukan) `s3:PutEncryptionConfiguration`	Diperlukan untuk mengatur ulang konfigurasi enkripsi default untuk bucket S3 sebagai enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3).
DeleteBucketIntelligentTieringConfiguration	(Diperlukan) `s3:PutIntelligentTieringConfiguration`	Diperlukan untuk menghapus konfigurasi S3 Intelligent-Tiering yang ada dari bucket S3.
DeleteBucketInventoryConfiguration	(Diperlukan) `s3:PutInventoryConfiguration`	Diperlukan untuk menghapus konfigurasi S3 Inventory dari bucket S3.
DeleteBucketLifecycle	(Diperlukan) `s3:PutLifecycleConfiguration`	Diperlukan untuk menghapus konfigurasi Siklus Hidup S3 untuk bucket S3.
DeleteBucketMetadataTableConfiguration	(Diperlukan) `s3:DeleteBucketMetadataTableConfiguration`	Diperlukan untuk menghapus konfigurasi tabel metadata dari bucket tujuan umum.
DeleteBucketMetricsConfiguration	(Diperlukan) `s3:PutMetricsConfiguration`	Diperlukan untuk menghapus konfigurasi metrik untuk metrik CloudWatch permintaan Amazon dari bucket S3.
DeleteBucketOwnershipControls	(Diperlukan) `s3:PutBucketOwnershipControls`	Diperlukan untuk menghapus pengaturan Object Ownership untuk bucket S3. Setelah penghapusan, pengaturan Object Ownership menjadi`Object writer`.
DeleteBucketPolicy	(Diperlukan) `s3:DeleteBucketPolicy`	Diperlukan untuk menghapus kebijakan bucket S3.
DeleteBucketReplication	(Diperlukan) `s3:PutReplicationConfiguration`	Diperlukan untuk menghapus konfigurasi replikasi bucket S3.
DeleteBucketTagging	(Diperlukan) `s3:PutBucketTagging`	Diperlukan untuk menghapus tag dari bucket S3.
DeleteBucketWebsite	(Diperlukan) `s3:DeleteBucketWebsite`	Diperlukan untuk menghapus konfigurasi situs web untuk bucket S3.
DeletePublicAccessBlock(Tingkat ember)	(Diperlukan) `s3:PutBucketPublicAccessBlock`	Diperlukan untuk menghapus konfigurasi blok akses publik untuk bucket S3.
GetBucketAccelerateConfiguration	(Diperlukan) `s3:GetAccelerateConfiguration`	Diperlukan untuk menggunakan subsumber daya akselerasi untuk mengembalikan status Amazon S3 Transfer Acceleration dari bucket, yang diaktifkan atau ditangguhkan.
GetBucketAcl	(Diperlukan) `s3:GetBucketAcl`	Diperlukan untuk mengembalikan daftar kontrol akses (ACL) dari bucket S3.
GetBucketAnalyticsConfiguration	(Diperlukan) `s3:GetAnalyticsConfiguration`	Diperlukan untuk mengembalikan konfigurasi analitik yang diidentifikasi oleh ID konfigurasi analitik dari bucket S3.
GetBucketCors	(Diperlukan) `s3:GetBucketCORS`	Diperlukan untuk mengembalikan konfigurasi cross-origin resource sharing (CORS) untuk bucket S3.
GetBucketEncryption	(Diperlukan) `s3:GetEncryptionConfiguration`	Diperlukan untuk mengembalikan konfigurasi enkripsi default untuk bucket S3.
GetBucketIntelligentTieringConfiguration	(Diperlukan) `s3:GetIntelligentTieringConfiguration`	Diperlukan untuk mendapatkan konfigurasi S3 Intelligent-Tiering dari bucket S3.
GetBucketInventoryConfiguration	(Diperlukan) `s3:GetInventoryConfiguration`	Diperlukan untuk mengembalikan konfigurasi inventaris yang diidentifikasi oleh ID konfigurasi inventaris dari bucket.
GetBucketLifecycle	(Diperlukan) `s3:GetLifecycleConfiguration`	Diperlukan untuk mengembalikan konfigurasi Siklus Hidup S3 bucket.
GetBucketLocation	(Diperlukan) `s3:GetBucketLocation`	Diperlukan untuk mengembalikan Wilayah AWS tempat ember S3 berada.
GetBucketLogging	(Diperlukan) `s3:GetBucketLogging`	Diperlukan untuk mengembalikan status logging bucket S3 dan izin yang dimiliki pengguna untuk melihat dan memodifikasi status tersebut.
GetBucketMetadataTableConfiguration	(Diperlukan) `s3:GetBucketMetadataTableConfiguration`	Diperlukan untuk mengambil konfigurasi tabel metadata untuk bucket tujuan umum.
GetBucketMetricsConfiguration	(Diperlukan) `s3:GetMetricsConfiguration`	Diperlukan untuk mendapatkan konfigurasi metrik yang ditentukan oleh ID konfigurasi metrik dari bucket.
GetBucketNotificationConfiguration	(Diperlukan) `s3:GetBucketNotification`	Diperlukan untuk mengembalikan konfigurasi notifikasi bucket S3.
GetBucketOwnershipControls	(Diperlukan) `s3:GetBucketOwnershipControls`	Diperlukan untuk mengambil pengaturan Object Ownership untuk bucket S3.
GetBucketPolicy	(Diperlukan) `s3:GetBucketPolicy`	Diperlukan untuk mengembalikan kebijakan bucket S3.
GetBucketPolicyStatus	(Diperlukan) `s3:GetBucketPolicyStatus`	Diperlukan untuk mengambil status kebijakan bucket S3, yang menunjukkan apakah bucket bersifat publik.
GetBucketReplication	(Diperlukan) `s3:GetReplicationConfiguration`	Diperlukan untuk mengembalikan konfigurasi replikasi bucket S3.
GetBucketRequestPayment	(Diperlukan) `s3:GetBucketRequestPayment`	Diperlukan untuk mengembalikan konfigurasi pembayaran permintaan untuk bucket S3.
GetBucketVersioning	(Diperlukan) `s3:GetBucketVersioning`	Diperlukan untuk mengembalikan status pembuatan versi bucket S3.
GetBucketTagging	(Diperlukan) `s3:GetBucketTagging`	Diperlukan untuk mengembalikan set tag yang terkait dengan bucket S3.
GetBucketWebsite	(Diperlukan) `s3:GetBucketWebsite`	Diperlukan untuk mengembalikan konfigurasi situs web untuk bucket S3.
GetObjectLockConfiguration	(Diperlukan) `s3:GetBucketObjectLockConfiguration`	Diperlukan untuk mendapatkan konfigurasi Object Lock untuk bucket S3.
GetPublicAccessBlock(Tingkat ember)	(Diperlukan) `s3:GetBucketPublicAccessBlock`	Diperlukan untuk mengambil konfigurasi akses publik blok untuk bucket S3.
HeadBucket	(Diperlukan) `s3:ListBucket`	Diperlukan untuk menentukan apakah ada bucket dan apakah Anda memiliki izin untuk mengaksesnya.
ListBucketAnalyticsConfigurations	(Diperlukan) `s3:GetAnalyticsConfiguration`	Diperlukan untuk membuat daftar konfigurasi analitik untuk bucket S3.
ListBucketIntelligentTieringConfigurations	(Diperlukan) `s3:GetIntelligentTieringConfiguration`	Diperlukan untuk membuat daftar konfigurasi S3 Intelligent-Tiering dari bucket S3.
ListBucketInventoryConfigurations	(Diperlukan) `s3:GetInventoryConfiguration`	Diperlukan untuk mengembalikan daftar konfigurasi inventaris untuk bucket S3.
ListBucketMetricsConfigurations	(Diperlukan) `s3:GetMetricsConfiguration`	Diperlukan untuk membuat daftar konfigurasi metrik untuk bucket S3.
ListObjects	(Diperlukan) `s3:ListBucket`	Diperlukan untuk mencantumkan beberapa atau semua (hingga 1.000) objek dalam ember S3.
	(Diperlukan secara kondisional) `s3:GetObjectAcl`	Diperlukan jika Anda ingin menampilkan informasi pemilik objek.
ListObjectsV2	(Diperlukan) `s3:ListBucket`	Diperlukan untuk mencantumkan beberapa atau semua (hingga 1.000) objek dalam ember S3.
	(Diperlukan secara kondisional) `s3:GetObjectAcl`	Diperlukan jika Anda ingin menampilkan informasi pemilik objek.
ListObjectVersions	(Diperlukan) `s3:ListBucketVersions`	Diperlukan untuk mendapatkan metadata tentang semua versi objek dalam bucket S3.
PutBucketAccelerateConfiguration	(Diperlukan) `s3:PutAccelerateConfiguration`	Diperlukan untuk mengatur konfigurasi percepatan bucket yang ada.
PutBucketAcl	(Diperlukan) `s3:PutBucketAcl`	Diperlukan untuk menggunakan daftar kontrol akses (ACLs) untuk menyetel izin pada bucket yang ada.
PutBucketAnalyticsConfiguration	(Diperlukan) `s3:PutAnalyticsConfiguration`	Diperlukan untuk mengatur konfigurasi analitik untuk bucket S3.
PutBucketCors	(Diperlukan) `s3:PutBucketCORS`	Diperlukan untuk mengatur konfigurasi cross-origin resource sharing (CORS) untuk bucket S3.
PutBucketEncryption	(Diperlukan) `s3:PutEncryptionConfiguration`	Diperlukan untuk mengonfigurasi enkripsi default untuk bucket S3.
PutBucketIntelligentTieringConfiguration	(Diperlukan) `s3:PutIntelligentTieringConfiguration`	Diperlukan untuk menempatkan konfigurasi S3 Intelligent-Tiering ke bucket S3.
PutBucketInventoryConfiguration	(Diperlukan) `s3:PutInventoryConfiguration`	Diperlukan untuk menambahkan konfigurasi inventaris ke bucket S3.
PutBucketLifecycle	(Diperlukan) `s3:PutLifecycleConfiguration`	Diperlukan untuk membuat konfigurasi Siklus Hidup S3 baru atau mengganti konfigurasi siklus hidup yang ada untuk bucket S3.
PutBucketLogging	(Diperlukan) `s3:PutBucketLogging`	Diperlukan untuk mengatur parameter logging untuk bucket S3 dan menentukan izin untuk siapa yang dapat melihat dan memodifikasi parameter logging.
PutBucketMetricsConfiguration	(Diperlukan) `s3:PutMetricsConfiguration`	Diperlukan untuk menyetel atau memperbarui konfigurasi metrik untuk metrik CloudWatch permintaan Amazon dari bucket S3.
PutBucketNotificationConfiguration	(Diperlukan) `s3:PutBucketNotification`	Diperlukan untuk mengaktifkan pemberitahuan peristiwa tertentu untuk bucket S3.
PutBucketOwnershipControls	(Diperlukan) `s3:PutBucketOwnershipControls`	Diperlukan untuk membuat atau memodifikasi pengaturan Object Ownership untuk bucket S3.
PutBucketPolicy	(Diperlukan) `s3:PutBucketPolicy`	Diperlukan untuk menerapkan kebijakan bucket S3 ke bucket.
PutBucketReplication	(Diperlukan) `s3:PutReplicationConfiguration`	Diperlukan untuk membuat konfigurasi replikasi baru atau mengganti yang sudah ada untuk bucket S3.
PutBucketRequestPayment	(Diperlukan) `s3:PutBucketRequestPayment`	Diperlukan untuk mengatur konfigurasi pembayaran permintaan untuk ember.
PutBucketTagging	(Diperlukan) `s3:PutBucketTagging`	Diperlukan untuk menambahkan satu set tag ke bucket S3.
PutBucketVersioning	(Diperlukan) `s3:PutBucketVersioning`	Diperlukan untuk mengatur status pembuatan versi bucket S3.
PutBucketWebsite	(Diperlukan) `s3:PutBucketWebsite`	Diperlukan untuk mengkonfigurasi bucket sebagai situs web dan mengatur konfigurasi situs web.
PutObjectLockConfiguration	(Diperlukan) `s3:PutBucketObjectLockConfiguration`	Diperlukan untuk menempatkan konfigurasi Object Lock pada bucket S3.
PutPublicAccessBlock(Tingkat ember)	(Diperlukan) `s3:PutBucketPublicAccessBlock`	Diperlukan untuk membuat atau memodifikasi konfigurasi blokir akses publik untuk bucket S3.

Operasi objek adalah operasi API S3 yang beroperasi pada tipe sumber daya objek. Anda harus menentukan tindakan kebijakan S3 untuk operasi objek dalam kebijakan berbasis sumber daya (seperti kebijakan bucket, kebijakan titik akses, kebijakan Titik Akses Multi-Wilayah, kebijakan titik akhir VPC) atau kebijakan berbasis identitas IAM.

Dalam kebijakan, Resource elemen harus menjadi objek ARN. Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi objek.

catatan

AWS KMS tindakan kebijakan (kms:GenerateDataKeydankms:Decrypt) hanya berlaku untuk jenis AWS KMS sumber daya dan harus ditentukan dalam kebijakan berbasis identitas IAM dan kebijakan berbasis AWS KMS sumber daya (kebijakan utama).AWS KMS Anda tidak dapat menentukan tindakan AWS KMS kebijakan dalam kebijakan berbasis sumber daya S3, seperti kebijakan bucket S3.
Saat Anda menggunakan titik akses untuk mengontrol akses ke operasi objek, Anda dapat menggunakan kebijakan titik akses. Untuk memberikan izin ke operasi objek dalam kebijakan jalur akses, perhatikan hal berikut:
- Dalam kebijakan titik akses yang memberikan izin untuk operasi objek, Resource elemen harus ARNs untuk objek yang diakses melalui titik akses. Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi objek dalam kebijakan titik akses.
- Tidak semua operasi objek didukung oleh titik akses. Untuk informasi selengkapnya, lihat Titik akses untuk kompatibilitas bucket tujuan umum dengan operasi S3.
Tidak semua operasi objek didukung oleh Titik Akses Multi-Wilayah. Untuk informasi selengkapnya, lihat Kompatibilitas Titik Akses Multi-Wilayah dengan operasi S3.

Berikut ini adalah pemetaan operasi objek dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
AbortMultipartUpload	(Diperlukan) `s3:AbortMultipartUpload`	Diperlukan untuk membatalkan unggahan multipart.
CompleteMultipartUpload	(Diperlukan) `s3:PutObject`	Diperlukan untuk menyelesaikan unggahan multipart.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin menyelesaikan unggahan multipart untuk objek terenkripsi kunci yang dikelola AWS KMS pelanggan.
CopyObject	Untuk objek sumber:	Untuk objek sumber:
	(Diperlukan) Salah satu `s3:GetObject` atau `s3:GetObjectVersion`	`s3:GetObject`— Diperlukan jika Anda ingin menyalin objek dari bucket sumber tanpa menentukan `versionId` permintaan. `s3:GetObjectVersion`— Diperlukan jika Anda ingin menyalin versi objek tertentu dari bucket sumber dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin menyalin objek terenkripsi kunci terkelola AWS KMS pelanggan dari bucket sumber.
	Untuk objek tujuan:	Untuk objek tujuan:
	(Diperlukan) `s3:PutObject`	Diperlukan untuk meletakkan objek yang disalin di ember tujuan.
	(Diperlukan secara kondisional) `s3:PutObjectAcl`	Diperlukan jika Anda ingin meletakkan objek yang disalin dengan daftar kontrol akses objek (ACL) ke bucket tujuan saat Anda membuat `CopyObject` permintaan.
	(Diperlukan secara kondisional) `s3:PutObjectTagging`	Diperlukan jika Anda ingin meletakkan objek yang disalin dengan penandaan objek ke bucket tujuan saat Anda membuat `CopyObject` permintaan.
	(Diperlukan secara kondisional) `kms:GenerateDataKey`	Diperlukan jika Anda ingin mengenkripsi objek yang disalin dengan kunci yang dikelola AWS KMS pelanggan dan memasukkannya ke bucket tujuan.
	(Diperlukan secara kondisional) `s3:PutObjectRetention`	Diperlukan jika Anda ingin mengatur konfigurasi retensi Object Lock untuk objek baru.
	(Diperlukan secara kondisional) `s3:PutObjectLegalHold`	Diperlukan jika Anda ingin menempatkan penahanan hukum Object Lock pada objek baru.
CreateMultipartUpload	(Diperlukan) `s3:PutObject`	Diperlukan untuk membuat unggahan multipart.
	(Diperlukan secara kondisional) `s3:PutObjectAcl`	Diperlukan jika Anda ingin mengatur izin daftar kontrol akses objek (ACL) untuk objek yang diunggah.
	(Diperlukan secara kondisional) `s3:PutObjectTagging`	Diperlukan jika Anda ingin menambahkan penandaan objek ke objek yang diunggah.
	(Diperlukan secara kondisional) `kms:GenerateDataKey`	Diperlukan jika Anda ingin menggunakan kunci yang dikelola AWS KMS pelanggan untuk mengenkripsi objek saat Anda memulai unggahan multibagian.
	(Diperlukan secara kondisional) `s3:PutObjectRetention`	Diperlukan jika Anda ingin mengatur konfigurasi retensi Object Lock untuk objek yang diunggah.
	(Diperlukan secara kondisional) `s3:PutObjectLegalHold`	Diperlukan jika Anda ingin menerapkan penahanan hukum Object Lock ke objek yang diunggah.
DeleteObject	(Diperlukan) Salah satu `s3:DeleteObject` atau `s3:DeleteObjectVersion`	`s3:DeleteObject`— Diperlukan jika Anda ingin menghapus objek tanpa menentukan `versionId` dalam permintaan. `s3:DeleteObjectVersion`— Diperlukan jika Anda ingin menghapus versi tertentu dari suatu objek dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `s3:BypassGovernanceRetention`	Diperlukan jika Anda ingin menghapus objek yang dilindungi oleh mode tata kelola untuk retensi Object Lock.
DeleteObjects	(Diperlukan) Salah satu `s3:DeleteObject` atau `s3:DeleteObjectVersion`	`s3:DeleteObject`— Diperlukan jika Anda ingin menghapus objek tanpa menentukan `versionId` dalam permintaan. `s3:DeleteObjectVersion`— Diperlukan jika Anda ingin menghapus versi tertentu dari suatu objek dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `s3:BypassGovernanceRetention`	Diperlukan jika Anda ingin menghapus objek yang dilindungi oleh modus tata kelola untuk retensi Object Lock.
DeleteObjectTagging	(Diperlukan) Salah satu `s3:DeleteObjectTagging` atau `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging`— Diperlukan jika Anda ingin menghapus seluruh kumpulan tag objek tanpa menentukan `versionId` dalam permintaan. `s3:DeleteObjectVersionTagging`— Diperlukan jika Anda ingin menghapus tag dari versi objek tertentu dengan menentukan `versionId` dalam permintaan.
GetObject	(Diperlukan) Salah satu `s3:GetObject` atau `s3:GetObjectVersion`	`s3:GetObject`— Diperlukan jika Anda ingin mendapatkan objek tanpa menentukan `versionId` dalam permintaan. `s3:GetObjectVersion`— Diperlukan jika Anda ingin mendapatkan versi tertentu dari suatu objek dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin mendapatkan dan mendekripsi objek terenkripsi kunci yang dikelola AWS KMS pelanggan.
	(Diperlukan secara kondisional) `s3:GetObjectTagging`	Diperlukan jika Anda ingin mendapatkan tag-set objek saat Anda membuat `GetObject` permintaan.
	(Diperlukan secara kondisional) `s3:GetObjectLegalHold`	Diperlukan jika Anda ingin mendapatkan status penahanan hukum Object Lock objek saat ini.
	(Diperlukan secara kondisional) `s3:GetObjectRetention`	Diperlukan jika Anda ingin mengambil pengaturan retensi Object Lock untuk objek.
GetObjectAcl	(Diperlukan) Salah satu `s3:GetObjectAcl` atau `s3:GetObjectVersionAcl`	`s3:GetObjectAcl`— Diperlukan jika Anda ingin mendapatkan daftar kontrol akses (ACL) dari suatu objek tanpa menentukan `versionId` dalam permintaan. `s3:GetObjectVersionAcl`— Diperlukan jika Anda ingin mendapatkan daftar kontrol akses (ACL) dari suatu objek dengan menentukan `versionId` dalam permintaan.
GetObjectAttributes	(Diperlukan) Salah satu `s3:GetObject` atau `s3:GetObjectVersion`	`s3:GetObject`— Diperlukan jika Anda ingin mengambil atribut yang terkait dengan objek tanpa menentukan `versionId` dalam permintaan. `s3:GetObjectVersion`— Diperlukan jika Anda ingin mengambil atribut yang terkait dengan versi objek tertentu dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin mengambil atribut yang terkait dengan objek terenkripsi kunci yang dikelola AWS KMS pelanggan.
GetObjectLegalHold	(Diperlukan) `s3:GetObjectLegalHold`	Diperlukan untuk mendapatkan status penahanan hukum Object Lock objek saat ini.
GetObjectRetention	(Diperlukan) `s3:GetObjectRetention`	Diperlukan untuk mengambil pengaturan retensi Object Lock untuk objek.
GetObjectTagging	(Diperlukan) Salah satu `s3:GetObjectTagging` atau `s3:GetObjectVersionTagging`	`s3:GetObjectTagging`— Diperlukan jika Anda ingin mendapatkan set tag objek tanpa menentukan `versionId` dalam permintaan. `s3:GetObjectVersionTagging`— Diperlukan jika Anda ingin mendapatkan tag dari versi objek tertentu dengan menentukan `versionId` dalam permintaan.
GetObjectTorrent	(Diperlukan) `s3:GetObject`	Diperlukan untuk mengembalikan file torrent dari suatu objek.
HeadObject	(Diperlukan) `s3:GetObject`	Diperlukan untuk mengambil metadata dari objek tanpa mengembalikan objek itu sendiri.
	(Diperlukan secara kondisional) `s3:GetObjectLegalHold`	Diperlukan jika Anda ingin mendapatkan status penahanan hukum Object Lock objek saat ini.
	(Diperlukan secara kondisional) `s3:GetObjectRetention`	Diperlukan jika Anda ingin mengambil pengaturan retensi Object Lock untuk objek.
ListMultipartUploads	(Diperlukan) `s3:ListBucketMultipartUploads`	Diperlukan untuk mencantumkan unggahan multipart yang sedang berlangsung dalam bucket.
ListParts	(Diperlukan) `s3:ListMultipartUploadParts`	Diperlukan untuk membuat daftar bagian yang telah diunggah untuk unggahan multibagian tertentu.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin membuat daftar bagian dari unggahan multibagian kunci terenkripsi yang dikelola AWS KMS pelanggan.
PutObject	(Diperlukan) `s3:PutObject`	Diperlukan untuk meletakkan objek.
	(Diperlukan secara kondisional) `s3:PutObjectAcl`	Diperlukan jika Anda ingin menempatkan daftar kontrol akses objek (ACL) saat Anda membuat `PutObject` permintaan.
	(Diperlukan secara kondisional) `s3:PutObjectTagging`	Diperlukan jika Anda ingin menempatkan penandaan objek saat Anda membuat `PutObject` permintaan.
	(Diperlukan secara kondisional) `kms:GenerateDataKey`	Diperlukan jika Anda ingin mengenkripsi objek dengan kunci yang dikelola AWS KMS pelanggan.
	(Diperlukan secara kondisional) `s3:PutObjectRetention`	Diperlukan jika Anda ingin mengatur konfigurasi retensi Object Lock pada objek.
	(Diperlukan secara kondisional) `s3:PutObjectLegalHold`	Diperlukan jika Anda ingin menerapkan konfigurasi penahanan hukum Object Lock ke objek tertentu.
PutObjectAcl	(Diperlukan) Salah satu `s3:PutObjectAcl` atau `s3:PutObjectVersionAcl`	`s3:PutObjectAcl`— Diperlukan jika Anda ingin mengatur izin daftar kontrol akses (ACL) untuk objek baru atau yang sudah ada tanpa menentukan permintaan`versionId`. `s3:PutObjectVersionAcl`— Diperlukan jika Anda ingin mengatur izin daftar kontrol akses (ACL) untuk objek baru atau yang sudah ada dengan menentukan `versionId` dalam permintaan.
PutObjectLegalHold	(Diperlukan) `s3:PutObjectLegalHold`	Diperlukan untuk menerapkan konfigurasi penahanan legal Object Lock ke objek.
PutObjectRetention	(Diperlukan) `s3:PutObjectRetention`	Diperlukan untuk menerapkan konfigurasi retensi Object Lock ke objek.
	(Diperlukan secara kondisional) `s3:BypassGovernanceRetention`	Diperlukan jika Anda ingin melewati mode tata kelola konfigurasi retensi Object Lock.
PutObjectTagging	(Diperlukan) Salah satu `s3:PutObjectTagging` atau `s3:PutObjectVersionTagging`	`s3:PutObjectTagging`— Diperlukan jika Anda ingin menyetel set tag yang disediakan ke objek yang sudah ada di bucket tanpa menentukan `versionId` permintaan. `s3:PutObjectVersionTagging`— Diperlukan jika Anda ingin menyetel set tag yang disediakan ke objek yang sudah ada di bucket dengan menentukan `versionId` dalam permintaan.
RestoreObject	(Diperlukan) `s3:RestoreObject`	Diperlukan untuk mengembalikan salinan objek yang diarsipkan.
SelectObjectContent	(Diperlukan) `s3:GetObject`	Diperlukan untuk memfilter isi objek S3 berdasarkan pernyataan bahasa kueri terstruktur sederhana (SQL).
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin memfilter konten objek S3 yang dienkripsi dengan kunci yang dikelola AWS KMS pelanggan.
UploadPart	(Diperlukan) `s3:PutObject`	Diperlukan untuk mengunggah bagian dalam unggahan multibagian.
	(Diperlukan secara kondisional) `kms:GenerateDataKey`	Diperlukan jika Anda ingin meletakkan bagian unggahan dan mengenkripsi dengan kunci yang dikelola AWS KMS pelanggan.
UploadPartCopy	Untuk objek sumber:	Untuk objek sumber:
	(Diperlukan) Salah satu `s3:GetObject` atau `s3:GetObjectVersion`	`s3:GetObject`— Diperlukan jika Anda ingin menyalin objek dari bucket sumber tanpa menentukan `versionId` permintaan. `s3:GetObjectVersion`— Diperlukan jika Anda ingin menyalin versi objek tertentu dari bucket sumber dengan menentukan `versionId` dalam permintaan.
	(Diperlukan secara kondisional) `kms:Decrypt`	Diperlukan jika Anda ingin menyalin objek terenkripsi kunci terkelola AWS KMS pelanggan dari bucket sumber.
	Untuk bagian tujuan:	Untuk bagian tujuan:
	(Diperlukan) `s3:PutObject`	Diperlukan untuk mengunggah bagian unggahan multibagian ke bucket tujuan.
	(Diperlukan secara kondisional) `kms:GenerateDataKey`	Diperlukan jika Anda ingin mengenkripsi bagian dengan kunci yang dikelola AWS KMS pelanggan saat Anda mengunggah bagian tersebut ke bucket tujuan.

Operasi titik akses adalah operasi API S3 yang beroperasi pada jenis accesspoint sumber daya. Anda harus menentukan tindakan kebijakan S3 untuk operasi titik akses dalam kebijakan berbasis identitas IAM, bukan dalam kebijakan bucket atau kebijakan titik akses.

Dalam kebijakan, Resource elemennya haruslah accesspoint ARN. Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatTitik akses untuk operasi bucket tujuan umum.

catatan

Jika Anda ingin menggunakan titik akses untuk mengontrol akses ke operasi bucket atau objek, perhatikan hal berikut:

Untuk menggunakan titik akses untuk mengontrol akses ke operasi bucket, lihatOperasi bucket dalam kebijakan untuk titik akses untuk bucket tujuan umum.
Untuk menggunakan titik akses untuk mengontrol akses ke operasi objek, lihatOperasi objek dalam kebijakan titik akses.
Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan titik akses, lihatMengkonfigurasi kebijakan IAM untuk menggunakan titik akses untuk bucket tujuan umum.

Berikut ini adalah pemetaan operasi titik akses dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateAccessPoint	(Diperlukan) `s3:CreateAccessPoint`	Diperlukan untuk membuat titik akses yang terkait dengan bucket S3.
DeleteAccessPoint	(Diperlukan) `s3:DeleteAccessPoint`	Diperlukan untuk menghapus titik akses.
DeleteAccessPointPolicy	(Diperlukan) `s3:DeleteAccessPointPolicy`	Diperlukan untuk menghapus kebijakan titik akses.
GetAccessPointPolicy	(Diperlukan) `s3:GetAccessPointPolicy`	Diperlukan untuk mengambil kebijakan jalur akses.
GetAccessPointPolicyStatus	(Diperlukan) `s3:GetAccessPointPolicyStatus`	Diperlukan untuk mengambil informasi apakah titik akses yang ditentukan saat ini memiliki kebijakan yang memungkinkan akses publik.
PutAccessPointPolicy	(Diperlukan) `s3:PutAccessPointPolicy`	Diperlukan untuk menempatkan kebijakan titik akses.

Operasi Object Lambda Access Point adalah operasi API S3 yang beroperasi pada jenis sumber daya. objectlambdaaccesspoint Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan untuk operasi Titik Akses Objek Lambda, lihat. Mengonfigurasi kebijakan IAM untuk Titik Akses Lambda Objek

Berikut ini adalah pemetaan operasi Object Lambda Access Point dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateAccessPointForObjectLambda	(Diperlukan) `s3:CreateAccessPointForObjectLambda`	Diperlukan untuk membuat Object Lambda Access Point.
DeleteAccessPointForObjectLambda	(Diperlukan) `s3:DeleteAccessPointForObjectLambda`	Diperlukan untuk menghapus Titik Akses Objek Lambda tertentu.
DeleteAccessPointPolicyForObjectLambda	(Diperlukan) `s3:DeleteAccessPointPolicyForObjectLambda`	Diperlukan untuk menghapus kebijakan pada Titik Akses Lambda Objek tertentu.
GetAccessPointConfigurationForObjectLambda	(Diperlukan) `s3:GetAccessPointConfigurationForObjectLambda`	Diperlukan untuk mengambil konfigurasi Object Lambda Access Point.
GetAccessPointForObjectLambda	(Diperlukan) `s3:GetAccessPointForObjectLambda`	Diperlukan untuk mengambil informasi tentang Object Lambda Access Point.
GetAccessPointPolicyForObjectLambda	(Diperlukan) `s3:GetAccessPointPolicyForObjectLambda`	Diperlukan untuk mengembalikan kebijakan titik akses yang terkait dengan Titik Akses Objek Lambda yang ditentukan.
GetAccessPointPolicyStatusForObjectLambda	(Diperlukan) `s3:GetAccessPointPolicyStatusForObjectLambda`	Diperlukan untuk mengembalikan status kebijakan untuk kebijakan Titik Akses Objek Lambda tertentu.
PutAccessPointConfigurationForObjectLambda	(Diperlukan) `s3:PutAccessPointConfigurationForObjectLambda`	Diperlukan untuk mengatur konfigurasi Object Lambda Access Point.
PutAccessPointPolicyForObjectLambda	(Diperlukan) `s3:PutAccessPointPolicyForObjectLambda`	Diperlukan untuk mengaitkan kebijakan akses dengan Titik Akses Objek Lambda tertentu.

Operasi Titik Akses Multi-Wilayah adalah operasi API S3 yang beroperasi pada jenis multiregionaccesspoint sumber daya. Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan untuk operasi Titik Akses Multi-Wilayah, lihatContoh kebijakan Titik Akses Multi-Wilayah.

Berikut ini adalah pemetaan operasi Titik Akses Multi-Wilayah dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateMultiRegionAccessPoint	(Diperlukan) `s3:CreateMultiRegionAccessPoint`	Diperlukan untuk membuat Titik Akses Multi-Wilayah dan mengaitkannya dengan bucket S3.
DeleteMultiRegionAccessPoint	(Diperlukan) `s3:DeleteMultiRegionAccessPoint`	Diperlukan untuk menghapus Titik Akses Multi-Wilayah.
DescribeMultiRegionAccessPointOperation	(Diperlukan) `s3:DescribeMultiRegionAccessPointOperation`	Diperlukan untuk mengambil status permintaan asinkron untuk mengelola Titik Akses Multi-Wilayah.
GetMultiRegionAccessPoint	(Diperlukan) `s3:GetMultiRegionAccessPoint`	Diperlukan untuk mengembalikan informasi konfigurasi tentang Titik Akses Multi-Wilayah yang ditentukan.
GetMultiRegionAccessPointPolicy	(Diperlukan) `s3:GetMultiRegionAccessPointPolicy`	Diperlukan untuk mengembalikan kebijakan kontrol akses dari Titik Akses Multi-Wilayah yang ditentukan.
GetMultiRegionAccessPointPolicyStatus	(Diperlukan) `s3:GetMultiRegionAccessPointPolicyStatus`	Diperlukan untuk mengembalikan status kebijakan untuk Titik Akses Multi-Wilayah tertentu tentang apakah Titik Akses Multi-Wilayah yang ditentukan memiliki kebijakan kontrol akses yang memungkinkan akses publik.
GetMultiRegionAccessPointRoutes	(Diperlukan) `s3:GetMultiRegionAccessPointRoutes`	Diperlukan untuk mengembalikan konfigurasi routing untuk Titik Akses Multi-Wilayah.
PutMultiRegionAccessPointPolicy	(Diperlukan) `s3:PutMultiRegionAccessPointPolicy`	Diperlukan untuk memperbarui kebijakan kontrol akses dari Titik Akses Multi-Wilayah yang ditentukan.
SubmitMultiRegionAccessPointRoutes	(Diperlukan) `s3:SubmitMultiRegionAccessPointRoutes`	Diperlukan untuk mengirimkan konfigurasi rute yang diperbarui untuk Titik Akses Multi-Wilayah.

Operasi pekerjaan (Operasi Batch) adalah operasi API S3 yang beroperasi pada jenis job sumber daya. Anda harus menentukan tindakan kebijakan S3 untuk operasi pekerjaan dalam kebijakan berbasis identitas IAM, bukan dalam kebijakan bucket.

Dalam kebijakan, Resource elemennya haruslah job ARN. Untuk informasi selengkapnya tentang format Resource elemen dan kebijakan contoh, lihatOperasi pekerjaan Batch.

Berikut ini adalah pemetaan operasi pekerjaan batch dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
DeleteJobTagging	(Diperlukan) `s3:DeleteJobTagging`	Diperlukan untuk menghapus tag dari pekerjaan Operasi Batch S3 yang ada.
DescribeJob	(Diperlukan) `s3:DescribeJob`	Diperlukan untuk mengambil parameter konfigurasi dan status untuk pekerjaan Operasi Batch.
GetJobTagging	(Diperlukan) `s3:GetJobTagging`	Diperlukan untuk mengembalikan kumpulan tag dari pekerjaan Operasi Batch S3 yang ada.
PutJobTagging	(Diperlukan) `s3:PutJobTagging`	Diperlukan untuk menempatkan atau mengganti tag pada pekerjaan Operasi Batch S3 yang ada.
UpdateJobPriority	(Diperlukan) `s3:UpdateJobPriority`	Diperlukan untuk memperbarui prioritas pekerjaan yang ada.
UpdateJobStatus	(Diperlukan) `s3:UpdateJobStatus`	Diperlukan untuk memperbarui status untuk pekerjaan yang ditentukan.

Operasi konfigurasi Lensa Penyimpanan S3 adalah operasi API S3 yang beroperasi pada jenis storagelensconfiguration sumber daya. Untuk informasi selengkapnya tentang cara mengonfigurasi operasi konfigurasi Lensa Penyimpanan S3, lihatMenyetel izin Lensa Penyimpanan Amazon S3.

Berikut ini adalah pemetaan operasi konfigurasi Lensa Penyimpanan S3 dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
DeleteStorageLensConfiguration	(Diperlukan) `s3:DeleteStorageLensConfiguration`	Diperlukan untuk menghapus konfigurasi Lensa Penyimpanan S3.
DeleteStorageLensConfigurationTagging	(Diperlukan) `s3:DeleteStorageLensConfigurationTagging`	Diperlukan untuk menghapus tag konfigurasi Lensa Penyimpanan S3.
GetStorageLensConfiguration	(Diperlukan) `s3:GetStorageLensConfiguration`	Diperlukan untuk mendapatkan konfigurasi Lensa Penyimpanan S3.
GetStorageLensConfigurationTagging	(Diperlukan) `s3:GetStorageLensConfigurationTagging`	Diperlukan untuk mendapatkan tag konfigurasi Lensa Penyimpanan S3.
PutStorageLensConfigurationTagging	(Diperlukan) `s3:PutStorageLensConfigurationTagging`	Diperlukan untuk meletakkan atau mengganti tag pada konfigurasi Lensa Penyimpanan S3 yang ada.

Operasi grup Lensa Penyimpanan S3 adalah operasi API S3 yang beroperasi pada jenis storagelensgroup sumber daya. Untuk informasi selengkapnya tentang cara mengonfigurasi izin grup Lensa Penyimpanan S3, lihat. Izin grup Lensa Penyimpanan

Berikut ini adalah pemetaan operasi grup Lensa Penyimpanan S3 dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
DeleteStorageLensGroup	(Diperlukan) `s3:DeleteStorageLensGroup`	Diperlukan untuk menghapus grup Lensa Penyimpanan S3 yang ada.
GetStorageLensGroup	(Diperlukan) `s3:GetStorageLensGroup`	Diperlukan untuk mengambil detail konfigurasi grup Lensa Penyimpanan S3.
UpdateStorageLensGroup	(Diperlukan) `s3:UpdateStorageLensGroup`	Diperlukan untuk memperbarui grup Lensa Penyimpanan S3 yang ada.
CreateStorageLensGroup	(Diperlukan) `s3:CreateStorageLensGroup`	Diperlukan untuk membuat grup Lensa Penyimpanan baru.
CreateStorageLensGroup, TagResource	(Diperlukan)`s3:CreateStorageLensGroup`, `s3:TagResource`	Diperlukan untuk membuat grup Lensa Penyimpanan baru dengan tag.
ListStorageLensGroups	(Diperlukan) `s3:ListStorageLensGroups`	Diperlukan untuk mencantumkan semua grup Lensa Penyimpanan di Wilayah rumah Anda.
ListTagsForResource	(Diperlukan) `s3:ListTagsForResource`	Diperlukan untuk mencantumkan tag yang ditambahkan ke grup Lensa Penyimpanan Anda.
TagResource	(Diperlukan) `s3:TagResource`	Diperlukan untuk menambah atau memperbarui tag grup Lensa Penyimpanan untuk grup Lensa Penyimpanan yang ada.
UntagResource	(Diperlukan) `s3:UntagResource`	Diperlukan untuk menghapus tag dari grup Lensa Penyimpanan.

Operasi instans S3 Access Grants adalah operasi API S3 yang beroperasi pada jenis sumber daya. accessgrantsinstance Instance S3 Access Grants adalah wadah logis untuk hibah akses Anda. Untuk informasi selengkapnya tentang bekerja dengan instans S3 Access Grants, lihat. Bekerja dengan instans S3 Access Grants

Berikut ini adalah pemetaan operasi konfigurasi instans S3 Access Grants dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
AssociateAccessGrantsIdentityCenter	(Diperlukan) `s3:AssociateAccessGrantsIdentityCenter`	Diperlukan untuk mengaitkan AWS IAM Identity Center instance dengan instans S3 Access Grants Anda, sehingga memungkinkan Anda membuat hibah akses untuk pengguna dan grup di direktori identitas perusahaan Anda. Anda juga harus memiliki izin berikut: `sso:CreateApplication`, `sso:PutApplicationGrant`, dan `sso:PutApplicationAuthenticationMethod`.
CreateAccessGrantsInstance	(Diperlukan) `s3:CreateAccessGrantsInstance`	Diperlukan untuk membuat instance S3 Access Grants (`accessgrantsinstance`resource) yang merupakan wadah untuk hibah akses individual Anda. Untuk mengaitkan AWS IAM Identity Center instance dengan instans S3 Access Grants, Anda juga harus memiliki`sso:DescribeInstance`,, `sso:CreateApplicationsso:PutApplicationGrant`, dan `sso:PutApplicationAuthenticationMethod` izin.
DeleteAccessGrantsInstance	(Diperlukan) `s3:DeleteAccessGrantsInstance`	Diperlukan untuk menghapus instance (`accessgrantsinstance`sumber daya) S3 Access Grants dari akun Wilayah AWS Anda.
DeleteAccessGrantsInstanceResourcePolicy	(Diperlukan) `s3:DeleteAccessGrantsInstanceResourcePolicy`	Diperlukan untuk menghapus kebijakan sumber daya untuk instance S3 Access Grants Anda.
DissociateAccessGrantsIdentityCenter	(Diperlukan) `s3:DissociateAccessGrantsIdentityCenter`	Diperlukan untuk memisahkan AWS IAM Identity Center instance dari instance S3 Access Grants Anda. Anda juga harus memiliki izin berikut: `sso:DeleteApplication`
GetAccessGrantsInstance	(Diperlukan) `s3:GetAccessGrantsInstance`	Diperlukan untuk mengambil instance S3 Access Grants untuk akun Wilayah AWS Anda.
GetAccessGrantsInstanceForPrefix	(Diperlukan) `s3:GetAccessGrantsInstanceForPrefix`	Diperlukan untuk mengambil instance S3 Access Grants yang berisi awalan tertentu.
GetAccessGrantsInstanceResourcePolicy	(Diperlukan) `s3:GetAccessGrantsInstanceResourcePolicy`	Diperlukan untuk mengembalikan kebijakan sumber daya instans S3 Access Grants Anda.
ListAccessGrantsInstances	(Diperlukan) `s3:ListAccessGrantsInstances`	Diperlukan untuk mengembalikan daftar instans S3 Access Grants di akun Anda.
PutAccessGrantsInstanceResourcePolicy	(Diperlukan) `s3:PutAccessGrantsInstanceResourcePolicy`	Diperlukan untuk memperbarui kebijakan sumber daya instance S3 Access Grants.

Operasi lokasi S3 Access Grants adalah operasi API S3 yang beroperasi pada jenis sumber daya. accessgrantslocation Untuk informasi selengkapnya tentang bekerja dengan lokasi S3 Access Grants, lihat. Bekerja dengan lokasi S3 Access Grants

Berikut ini adalah pemetaan operasi konfigurasi lokasi S3 Access Grants dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateAccessGrantsLocation	(Diperlukan) `s3:CreateAccessGrantsLocation`	Diperlukan untuk mendaftarkan lokasi di instance S3 Access Grants Anda (membuat `accessgrantslocation` sumber daya). Anda juga harus memiliki izin berikut untuk peran IAM yang ditentukan: `iam:PassRole`
DeleteAccessGrantsLocation	(Diperlukan) `s3:DeleteAccessGrantsLocation`	Diperlukan untuk menghapus lokasi terdaftar dari instans S3 Access Grants Anda.
GetAccessGrantsLocation	(Diperlukan) `s3:GetAccessGrantsLocation`	Diperlukan untuk mengambil detail lokasi tertentu yang terdaftar di instans S3 Access Grants Anda.
ListAccessGrantsLocations	(Diperlukan) `s3:ListAccessGrantsLocations`	Diperlukan untuk mengembalikan daftar lokasi yang terdaftar di instans S3 Access Grants Anda.
UpdateAccessGrantsLocation	(Diperlukan) `s3:UpdateAccessGrantsLocation`	Diperlukan untuk memperbarui peran IAM dari lokasi terdaftar di instans S3 Access Grants Anda.

Operasi hibah S3 Access Grants adalah operasi API S3 yang beroperasi pada jenis sumber daya. accessgrant Untuk informasi lebih lanjut tentang bekerja dengan hibah individu menggunakan S3 Access Grants, lihat. Bekerja dengan hibah di S3 Access Grants

Berikut ini adalah pemetaan operasi konfigurasi hibah S3 Access Grants dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateAccessGrant	(Diperlukan) `s3:CreateAccessGrant`	Diperlukan untuk membuat hibah individu (`accessgrant`sumber daya) untuk pengguna atau grup di instance S3 Access Grants Anda. Anda juga harus memiliki izin berikut: Untuk identitas direktori apa pun — `sso:DescribeInstance` dan `sso:DescribeApplication` Untuk pengguna direktori — `identitystore:DescribeUser`
DeleteAccessGrant	(Diperlukan) `s3:DeleteAccessGrant`	Diperlukan untuk menghapus hibah akses individual (`accessgrant`sumber daya) dari instance S3 Access Grants Anda.
GetAccessGrant	(Diperlukan) `s3:GetAccessGrant`	Diperlukan untuk mendapatkan detail tentang hibah akses individual di instans Hibah Akses S3 Anda.
ListAccessGrants	(Diperlukan) `s3:ListAccessGrants`	Diperlukan untuk mengembalikan daftar hibah akses individual di instance Hibah Akses S3 Anda.
ListCallerAccessGrants	(Diperlukan) `s3:ListCallerAccessGrants`	Diperlukan untuk mencantumkan hibah akses yang memberikan akses pemanggil ke data Amazon S3 melalui S3 Access Grants.

Operasi akun adalah operasi API S3 yang beroperasi pada tingkat akun. Akun bukanlah jenis sumber daya yang ditentukan oleh Amazon S3. Anda harus menentukan tindakan kebijakan S3 untuk operasi akun dalam kebijakan berbasis identitas IAM, bukan dalam kebijakan bucket.

Dalam kebijakan, Resource elemennya harus"*". Untuk informasi selengkapnya tentang kebijakan contoh, lihatOperasi akun.

Berikut ini adalah pemetaan operasi akun dan tindakan kebijakan yang diperlukan.

Operasi API	Tindakan kebijakan	Deskripsi tindakan kebijakan
CreateJob	(Diperlukan) `s3:CreateJob`	Diperlukan untuk membuat pekerjaan Operasi Batch S3 baru.
CreateStorageLensGroup	(Diperlukan) `s3:CreateStorageLensGroup`	Diperlukan untuk membuat grup Lensa Penyimpanan S3 baru dan mengaitkannya dengan Akun AWS ID yang ditentukan.
	(Diperlukan secara kondisional) `s3:TagResource`	Diperlukan jika Anda ingin membuat grup Lensa Penyimpanan S3 dengan tag AWS sumber daya.
DeletePublicAccessBlock(Tingkat akun)	(Diperlukan) `s3:PutAccountPublicAccessBlock`	Diperlukan untuk menghapus konfigurasi blokir akses publik dari file Akun AWS.
GetAccessPoint	(Diperlukan) `s3:GetAccessPoint`	Diperlukan untuk mengambil informasi konfigurasi tentang titik akses yang ditentukan.
GetAccessPointPolicy(Tingkat akun)	(Diperlukan) `s3:GetAccountPublicAccessBlock`	Diperlukan untuk mengambil konfigurasi akses publik blok untuk file Akun AWS.
ListAccessPoints	(Diperlukan) `s3:ListAccessPoints`	Diperlukan untuk mencantumkan titik akses bucket S3 yang dimiliki oleh file Akun AWS.
ListAccessPointsForObjectLambda	(Diperlukan) `s3:ListAccessPointsForObjectLambda`	Diperlukan untuk mencantumkan Titik Akses Objek Lambda.
ListBuckets	(Diperlukan) `s3:ListAllMyBuckets`	Diperlukan untuk mengembalikan daftar semua bucket yang dimiliki oleh pengirim permintaan yang diautentikasi.
ListJobs	(Diperlukan) `s3:ListJobs`	Diperlukan untuk membuat daftar pekerjaan dan pekerjaan saat ini yang telah berakhir baru-baru ini.
ListMultiRegionAccessPoints	(Diperlukan) `s3:ListMultiRegionAccessPoints`	Diperlukan untuk mengembalikan daftar Titik Akses Multi-Wilayah yang saat ini terkait dengan yang ditentukan Akun AWS.
ListStorageLensConfigurations	(Diperlukan) `s3:ListStorageLensConfigurations`	Diperlukan untuk mendapatkan daftar konfigurasi Lensa Penyimpanan S3 untuk file. Akun AWS
ListStorageLensGroups	(Diperlukan) `s3:ListStorageLensGroups`	Diperlukan untuk mencantumkan semua grup Lensa Penyimpanan S3 di rumah Wilayah AWS yang ditentukan.
PutPublicAccessBlock(Tingkat akun)	(Diperlukan) `s3:PutAccountPublicAccessBlock`	Diperlukan untuk membuat atau memodifikasi konfigurasi blokir akses publik untuk file Akun AWS.
PutStorageLensConfiguration	(Diperlukan) `s3:PutStorageLensConfiguration`	Diperlukan untuk menempatkan konfigurasi Lensa Penyimpanan S3.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Untuk Operasi Objek

Kebijakan dan Izin