Bucket-Operationen und -Berechtigungen Objektoperationen und -berechtigungen Zugangspunkt für Allzweck-Buckets, Operationen und Berechtigungen Operationen und Berechtigungen für Object Lambda Access Points Operationen und Berechtigungen für Multi-Region Access Points Batch-Auftragsoperationen und -berechtigungen S3 Storage Lens – Konfigurationsvorgänge und Berechtigungen S3 Storage Lens – Gruppen, Vorgänge und Berechtigungen S3 Access Erteilt Instance-Operationen und Berechtigungen S3 Access – Gewährung von Ortungsvorgängen und -berechtigungen S3 Access Grants – Gewährungsvorgänge und Berechtigungen Kontovorgänge und Berechtigungen

Erforderliche Berechtigungen für Amazon-S3-API-Operationen

Anmerkung

Auf dieser Seite geht es um Amazon-S3-Richtlinienaktionen für Allzweck-Buckets. Weitere Informationen zu Amazon-S3-Richtlinienaktionen für Verzeichnis-Buckets finden Sie unter Aktionen für Verzeichnis-Buckets.

Sie benötigen Sie die richtigen Berechtigungen, um eine S3-API-Operation durchzuführen. Auf dieser Seite werden S3-API-Operationen den erforderlichen Berechtigungen zugeordnet. Um Berechtigungen zur Durchführung einer S3-API-Operation zu erteilen, müssen Sie eine gültige Richtlinie erstellen (wie eine S3-Bucket-Richtlinie oder eine identitätsbasierte IAM-Richtlinie) und die entsprechenden Aktionen im Action-Element der Richtlinie angeben. Diese Aktionen werden als Richtlinienaktionen bezeichnet. Nicht jede S3-API-Operation wird durch eine einzige Berechtigung (eine einzelne Richtlinienaktion) repräsentiert und einige Berechtigungen (einige Richtlinienaktionen) sind für viele verschiedene API-Operationen erforderlich.

Wenn Sie Richtlinien erstellen, müssen Sie das Resource-Element auf der Grundlage des richtigen Ressourcentyps angeben, der für die entsprechenden Amazon-S3-Richtlinienaktionen erforderlich ist. Auf dieser Seite werden die Berechtigungen für S3-API-Operationen nach Ressourcentypen kategorisiert. Weitere Informationen über Ressourcentypen finden Sie unter Von Amazon S3 definierte Ressourcentypen in der Service-Authorization-Referenz. Eine vollständige Liste der IAM-Berechtigungen, -Ressourcen und -Bedingungsschlüssel zum Verwenden in Richtlinien finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für Amazon S3 in der Service-Authorization-Referenz. Eine vollständige Liste von Amazon-S3-API-Operationen finden Sie unter Amazon-S3-API-Aktionen in der API-Referenz zum Amazon Simple Storage Service.

Weitere Informationen zur Behebung der 403 Forbidden HTTP-Fehler in S3 finden Sie unter Beheben von „Zugriff verweigert“-Fehlern (403 Forbidden) in Amazon S3. Weitere Informationen zu den IAM-Features, die mit S3 verwendet werden können, finden Sie unter Funktionsweise von Amazon S3 mit IAM. Weitere Informationen zu bewährte Methoden für die S3-Sicherheit finden Sie unter Bewährte Methoden für die Sicherheit in Amazon S3.

Themen

Bucket-Operationen und -Berechtigungen
Objektoperationen und -berechtigungen
Zugangspunkt für Allzweck-Buckets, Operationen und Berechtigungen
Operationen und Berechtigungen für Object Lambda Access Points
Operationen und Berechtigungen für Multi-Region Access Points
Batch-Auftragsoperationen und -berechtigungen
S3 Storage Lens – Konfigurationsvorgänge und Berechtigungen
S3 Storage Lens – Gruppen, Vorgänge und Berechtigungen
S3 Access Erteilt Instance-Operationen und Berechtigungen
S3 Access – Gewährung von Ortungsvorgängen und -berechtigungen
S3 Access Grants – Gewährungsvorgänge und Berechtigungen
Kontovorgänge und Berechtigungen

Bucket-Operationen sind S3-API-Operationen, die auf dem Bucket-Ressourcentyp ausgeführt werden. Sie müssen S3-Richtlinienaktionen für Bucket-Operationen in Bucket-Richtlinien oder identitätsbasierten IAM-Richtlinien angeben.

In den Richtlinien muss das Resource-Element der Amazon-Ressourcenname (ARN) für den Bucket sein. Weitere Informationen zum Resource-Elementformat und Beispielrichtlinien finden Sie unter Bucket-Operationen.

Anmerkung

Beachten Sie Folgendes, um Berechtigungen für Bucket-Operationen in Zugangspunktrichtlinien zu erteilen:

Berechtigungen, die in einer Zugangspunktrichtlinie erteilt werden, sind nur wirksam, wenn der zugrunde liegende Bucket auch dieselben Berechtigungen zulässt. Wenn Sie einen Zugangspunkt verwenden, müssen Sie die Zugriffskontrolle vom Bucket an den Zugangspunkt delegieren oder dieselben Berechtigungen in der Zugangspunktrichtlinie zur Richtlinie des zugrunde liegenden Buckets hinzufügen.
In Zugangspunktrichtlinien, die Berechtigungen für Bucket-Operationen gewähren, muss das Resource-Element der accesspoint-ARN sein. Weitere Informationen zum Resource-Elementformat und Beispielrichtlinien finden Sie unter Bucket-Operationen in Richtlinien für Zugangspunkts für Allzweck-Buckets. Weitere Informationen zu Zugangspunktrichtlinien finden Sie unter Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten.
Nicht alle Bucket-Operationen werden von Zugangspunkten unterstützt. Weitere Informationen finden Sie unter Zugangspunkt-Kompatibilität mit S3-Vorgänge.

Im Folgenden werden Bucket-Operationen und erforderliche Richtlinienaktionen zugeordnet.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
CreateBucket	(Erforderlich) `s3:CreateBucket`	Erforderlich, um einen neuen S3-Bucket zu erstellen.
	(Bedingt erforderlich) `s3:PutBucketAcl`	Erforderlich, wenn Sie die Zugriffssteuerungsliste (ACL) verwenden möchten, um bei einer `CreateBucket`-Anforderung Berechtigungen für einen Bucket anzugeben.
	(Bedingt erforderlich) `s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`	Erforderlich, wenn Sie beim Erstellen eines Buckets die Objektsperre aktivieren möchten.
	(Bedingt erforderlich) `s3:PutBucketOwnershipControls`	Erforderlich, wenn Sie S3 Object Ownership angeben möchten, wenn Sie einen Bucket erstellen.
CreateBucketMetadataConfiguration (V2-API-Betrieb. Der Name der IAM-Richtlinienaktion ist für die API-Operationen V1 und V2 derselbe.)	(Erforderlich) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateTableBucket`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`, `s3tables:PutTableEncryption`, `kms:DescribeKey`	Erforderlich, um eine Konfiguration für Metadatentabellen in einem Allzweck-Bucket zu erstellen. Um Ihren von AWS verwalteten Tabellen-Bucket und die in Ihrer Metadatentabellenkonfiguration angegebenen Metadatentabellen zu erstellen, müssen Sie über die angegebenen `s3tables`-Berechtigungen verfügen. Wenn Sie Ihre Metadatentabellen mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) verschlüsseln wollen, benötigen Sie zusätzliche Berechtigungen in Ihrer KMS-Schlüsselrichtlinie. Weitere Informationen finden Sie unter Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen. Wenn Sie Ihren von AWS verwalteten Tabellen-Bucket auch in die AWS-Analytikservices integrieren möchten, um Ihre Metadatentabelle abfragen zu können, benötigen Sie zusätzliche Berechtigungen. Weitere Informationen finden Sie unter Integration von Amazon-S3-Tabellen mit AWS-Analytikservices.
CreateBucketMetadataTableConfiguration (V1-API-Betrieb)	(Erforderlich) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`	Erforderlich, um eine Konfiguration für Metadatentabellen in einem Allzweck-Bucket zu erstellen. Um die Metadatentabelle in dem Tabellen-Bucket zu erstellen, der in Ihrer Konfiguration für Metadatentabellen angegeben ist, benötigen Sie die angegebenen `s3tables`-Berechtigungen. Wenn Sie Ihre Metadatentabellen mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) verschlüsseln wollen, benötigen Sie zusätzliche Berechtigungen. Weitere Informationen finden Sie unter Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen. Wenn Sie Ihren Tabellen-Bucket auch in AWS-Analysedienste integrieren möchten, sodass Sie Ihre Metadatentabelle abfragen können, benötigen Sie zusätzliche Berechtigungen. Weitere Informationen finden Sie unter Integration von Amazon-S3-Tabellen mit AWS-Analytikservices.
DeleteBucket	(Erforderlich) `s3:DeleteBucket`	Erforderlich, um einen S3-Bucket zu löschen.
DeleteBucketAnalyticsConfiguration	(Erforderlich) `s3:PutAnalyticsConfiguration`	Erforderlich, um eine S3-Analysekonfiguration aus einem S3-Bucket zu löschen.
DeleteBucketCors	(Erforderlich) `s3:PutBucketCORS`	Erforderlich, um die Cross-Origin Resource Sharing (CORS)-Konfiguration für einen Bucket zu löschen.
DeleteBucketEncryption	(Erforderlich) `s3:PutEncryptionConfiguration`	Erforderlich, um die Standardverschlüsselungskonfiguration eines S3-Buckets auf serverseitige Verschlüsselung mit von Amazon S3 verwalteten Schlüsseln (SSE-S3) zurückzusetzen.
DeleteBucketIntelligentTieringConfiguration	(Erforderlich) `s3:PutIntelligentTieringConfiguration`	Erforderlich, um die vorhandene S3-Intelligent-Tiering-Konfiguration aus einem S3-Bucket zu löschen.
DeleteBucketInventoryConfiguration	(Erforderlich) `s3:PutInventoryConfiguration`	Erforderlich, um eine S3-Inventory-Konfiguration aus einem S3-Bucket zu löschen.
DeleteBucketLifecycle	(Erforderlich) `s3:PutLifecycleConfiguration`	Erforderlich, um die S3-Lifecycle-Konfiguration für einen S3-Bucket zu löschen.
DeleteBucketMetadataConfiguration (V2-API-Betrieb. Der Name der IAM-Richtlinienaktion ist für die API-Operationen V1 und V2 derselbe.)	(Erforderlich) `s3:DeleteBucketMetadataTableConfiguration`	Erforderlich, um eine Metadatentabellenkonfiguration aus einem Allzweck-Bucket zu löschen.
DeleteBucketMetadataTableConfiguration (V1-API-Betrieb)	(Erforderlich) `s3:DeleteBucketMetadataTableConfiguration`	Erforderlich, um eine Metadatentabellenkonfiguration aus einem Allzweck-Bucket zu löschen.
DeleteBucketMetricsConfiguration	(Erforderlich) `s3:PutMetricsConfiguration`	Erforderlich, um eine Metrikkonfiguration für die Amazon-CloudWatch-Anforderungsmetriken aus einem S3-Bucket zu löschen.
DeleteBucketOwnershipControls	(Erforderlich) `s3:PutBucketOwnershipControls`	Erforderlich, um die Einstellung Object Ownership für einen S3-Bucket zu entfernen. Nach dem Entfernen wird die Einstellung Object Ownership zu `Object writer`.
DeleteBucketPolicy	(Erforderlich) `s3:DeleteBucketPolicy`	Erforderlich, um die Richtlinie eines S3-Buckets zu löschen.
DeleteBucketReplication	(Erforderlich) `s3:PutReplicationConfiguration`	Erforderlich, um die Replikationskonfiguration eines S3-Buckets zu löschen.
DeleteBucketTagging	(Erforderlich) `s3:PutBucketTagging`	Erforderlich, um Tags aus einem S3-Bucket zu löschen.
DeleteBucketWebsite	(Erforderlich) `s3:DeleteBucketWebsite`	Erforderlich, um die Website-Konfiguration für einen S3-Bucket zu entfernen.
DeletePublicAccessBlock (Bucket-Ebene)	(Erforderlich) `s3:PutBucketPublicAccessBlock`	Erforderlich, um die Konfiguration von „Öffentlichen Zugriff blockieren“ für einen S3-Bucket zu entfernen.
GetBucketAccelerateConfiguration	(Erforderlich) `s3:GetAccelerateConfiguration`	Erforderlich, um die Accelerate-Unterquelle zu verwenden, um den Amazon S3-Transfer-Acceleration-Status eines Buckets zurückzugeben, der entweder auf „Aktiviert“ oder „Ausgesetzt“ gesetzt ist.
GetBucketAcl	(Erforderlich) `s3:GetBucketAcl`	Erforderlich, um die Zugriffssteuerungsliste (ACL) eines S3-Buckets zurückzugeben.
GetBucketAnalyticsConfiguration	(Erforderlich) `s3:GetAnalyticsConfiguration`	Erforderlich, um die Analysekonfiguration zurückzugeben, die durch die Analysekonfigurations-ID aus einem S3-Bucket identifiziert wird.
GetBucketCors	(Erforderlich) `s3:GetBucketCORS`	Erforderlich, um die Cross-Origin Resource Sharing (CORS)-Konfiguration für einen S3-Bucket zurückzugeben.
GetBucketEncryption	(Erforderlich) `s3:GetEncryptionConfiguration`	Erforderlich, um die Konfiguration für die Standardverschlüsselung für einen S3-Bucket zurückzugeben.
GetBucketIntelligentTieringConfiguration	(Erforderlich) `s3:GetIntelligentTieringConfiguration`	Erforderlich, um die Konfiguration von S3 Intelligent-Tiering eines S3-Buckets abzurufen.
GetBucketInventoryConfiguration	(Erforderlich) `s3:GetInventoryConfiguration`	Erforderlich, um eine Bestandskonfiguration zurückzugeben, die anhand der Bestandskonfigurations-ID aus dem Bucket identifiziert wird.
GetBucketLifecycle	(Erforderlich) `s3:GetLifecycleConfiguration`	Erforderlich, um die S3-Lifecycle-Konfiguration des Buckets zurückzugeben.
GetBucketLocation	(Erforderlich) `s3:GetBucketLocation`	Erforderlich, um die AWS-Region zurückzugeben, in der sich ein S3-Bucket befindet.
GetBucketLogging	(Erforderlich) `s3:GetBucketLogging`	Erforderlich, um den Protokollierungsstatus eines S3-Buckets sowie die Berechtigungen, die Benutzer zum Anzeigen und Ändern dieses Status haben, zurückzugeben.
GetBucketMetadataConfiguration (V2-API-Betrieb. Der Name der IAM-Richtlinienaktion ist für die API-Operationen V1 und V2 derselbe.)	(Erforderlich) `s3:GetBucketMetadataTableConfiguration`	Erforderlich, um eine Metadatentabellen-Konfiguration für einen Allzweck-Bucket abzurufen.
GetBucketMetadataTableConfiguration (V1-API-Betrieb)	(Erforderlich) `s3:GetBucketMetadataTableConfiguration`	Erforderlich, um eine Metadatentabellen-Konfiguration für einen Allzweck-Bucket abzurufen.
GetBucketMetricsConfiguration	(Erforderlich) `s3:GetMetricsConfiguration`	Erforderlich, um eine Bestandskonfiguration zurückzugeben, die durch die Bestandskonfigurations-ID aus dem Bucket identifiziert wird
GetBucketNotificationConfiguration	(Erforderlich) `s3:GetBucketNotification`	Erforderlich, um die Benachrichtigungskonfiguration eines S3-Buckets zurückzugeben.
GetBucketOwnershipControls	(Erforderlich) `s3:GetBucketOwnershipControls`	Erforderlich, um die Einstellung Object Ownership für einen S3-Bucket zu abzurufen.
GetBucketPolicy	(Erforderlich) `s3:GetBucketPolicy`	Erforderlich, um die Richtlinie eines S3-Buckets zurückzugeben.
GetBucketPolicyStatus	(Erforderlich) `s3:GetBucketPolicyStatus`	Erforderlich, um den Richtlinienstatus eines S3-Buckets abzurufen, der angibt, ob der Bucket öffentlich ist.
GetBucketReplication	(Erforderlich) `s3:GetReplicationConfiguration`	Erforderlich, um die Replikationskonfiguration eines S3-Buckets zurückzugeben.
GetBucketRequestPayment	(Erforderlich) `s3:GetBucketRequestPayment`	Erforderlich, um die Zahlungsanforderungskonfiguration für einen S3-Bucket zurückzugeben.
GetBucketVersioning	(Erforderlich) `s3:GetBucketVersioning`	Erforderlich, um den Versionsverwaltungsstatus eines S3-Buckets zurückzugeben.
GetBucketTagging	(Erforderlich) `s3:GetBucketTagging`	Erforderlich, um den Tag-Satz zurückzugeben, der mit einem S3-Bucket verknüpft ist.
GetBucketWebsite	(Erforderlich) `s3:GetBucketWebsite`	Erforderlich, um die Websitekonfiguration für einen S3-Bucket.
GetObjectLockConfiguration	(Erforderlich) `s3:GetBucketObjectLockConfiguration`	Erforderlich, um die Object-Lock-Konfiguration für einen S3-Bucket abzurufen.
GetPublicAccessBlock (Bucket-Ebene)	(Erforderlich) `s3:GetBucketPublicAccessBlock`	Erforderlich, um die Konfiguration von „Öffentlichen Zugriff blockieren“ für einen S3-Bucket abzurufen.
HeadBucket	(Erforderlich) `s3:ListBucket`	Erforderlich, um festzustellen, ob ein Bucket vorhanden ist und ob Sie Zugriffsberechtigungen für diesen Bucket besitzen.
ListBucketAnalyticsConfigurations	(Erforderlich) `s3:GetAnalyticsConfiguration`	Erforderlich, um die Analysekonfigurationen für einen S3-Bucket aufzulisten.
ListBucketIntelligentTieringConfigurations	(Erforderlich) `s3:GetIntelligentTieringConfiguration`	Erforderlich, um die S3-Intelligent-Tiering-Konfigurationen eines S3-Buckets aufzulisten.
ListBucketInventoryConfigurations	(Erforderlich) `s3:GetInventoryConfiguration`	Erforderlich, um eine Liste von Bestandskonfigurationen für einen S3-Bucket zurückzugeben.
ListBucketMetricsConfigurations	(Erforderlich) `s3:GetMetricsConfiguration`	Erforderlich, um die Metrikkonfigurationen für einen S3-Bucket aufzulisten.
ListObjects	(Erforderlich) `s3:ListBucket`	Erforderlich, um einige oder alle (bis zu 1 000) Objekte in einem S3-Bucket aufzulisten.
	(Bedingt erforderlich) `s3:GetObjectAcl`	Erforderlich, wenn Sie Informationen zum Objekteigentümer anzeigen möchten.
ListObjectsV2	(Erforderlich) `s3:ListBucket`	Erforderlich, um einige oder alle (bis zu 1 000) Objekte in einem S3-Bucket aufzulisten.
	(Bedingt erforderlich) `s3:GetObjectAcl`	Erforderlich, wenn Sie Informationen zum Objekteigentümer anzeigen möchten.
ListObjectVersions	(Erforderlich) `s3:ListBucketVersions`	Erforderlich, um Metadaten zu allen Versionen von Objekten in einem S3-Bucket abzurufen.
PutBucketAccelerateConfiguration	(Erforderlich) `s3:PutAccelerateConfiguration`	Erforderlich, um die Beschleunigungskonfiguration eines vorhandenen Buckets festzulegen.
PutBucketAcl	(Erforderlich) `s3:PutBucketAcl`	Erforderlich, um Zugriffssteuerungslisten (ACL) zu verwenden, um die Berechtigungen für einen vorhandenen Bucket festzulegen.
PutBucketAnalyticsConfiguration	(Erforderlich) `s3:PutAnalyticsConfiguration`	Erforderlich, um eine Analysekonfiguration für einen S3-Bucket festzulegen.
PutBucketCors	(Erforderlich) `s3:PutBucketCORS`	Erforderlich, um die Cross-Origin Resource Sharing (CORS)-Konfiguration für einen S3-Bucket festzulegen.
PutBucketEncryption	(Erforderlich) `s3:PutEncryptionConfiguration`	Erforderlich, um die Standardverschlüsselung für einen S3-Bucket zu konfigurieren.
PutBucketIntelligentTieringConfiguration	(Erforderlich) `s3:PutIntelligentTieringConfiguration`	Erforderlich, um die Konfiguration von S3 Intelligent-Tiering in einen S3-Bucket zu übertragen.
PutBucketInventoryConfiguration	(Erforderlich) `s3:PutInventoryConfiguration`	Erforderlich, um einem S3-Bucket eine Bestandskonfiguration hinzuzufügen.
PutBucketLifecycle	(Erforderlich) `s3:PutLifecycleConfiguration`	Erforderlich, um eine neue S3-Lifecycle-Konfiguration zu erstellen oder eine bestehende Lifecycle-Konfiguration für einen S3-Bucket zu ersetzen.
PutBucketLogging	(Erforderlich) `s3:PutBucketLogging`	Erforderlich, um die Protokollierungsparameter für einen S3-Bucket festzulegen und die Berechtigungen dafür anzugeben, wer die Protokollierungsparameter einsehen und ändern kann.
PutBucketMetricsConfiguration	(Erforderlich) `s3:PutMetricsConfiguration`	Erforderlich, um eine Metrikkonfiguration für die Amazon-CloudWatch-Anforderungsmetriken eines S3-Buckets festzulegen oder zu aktualisieren.
PutBucketNotificationConfiguration	(Erforderlich) `s3:PutBucketNotification`	Erforderlich, um Benachrichtigungen über bestimmte Ereignisse für einen S3-Bucket zu aktivieren.
PutBucketOwnershipControls	(Erforderlich) `s3:PutBucketOwnershipControls`	Erforderlich, um die Object-Ownership-Einstellung für einen S3-Bucket zu erstellen oder zu ändern.
PutBucketPolicy	(Erforderlich) `s3:PutBucketPolicy`	Erforderlich, um eine S3-Bucket-Richtlinie auf einen Bucket anzuwenden.
PutBucketReplication	(Erforderlich) `s3:PutReplicationConfiguration`	Erforderlich, um eine neue Replikationskonfiguration zu erstellen oder eine vorhandene Replikationskonfiguration für einen S3-Bucket zu ersetzen.
PutBucketRequestPayment	(Erforderlich) `s3:PutBucketRequestPayment`	Erforderlich, um die Zahlungsanforderungskonfiguration eines Buckets festlegen
PutBucketTagging	(Erforderlich) `s3:PutBucketTagging`	Erforderlich, um einem S3-Bucket einen Satz von Tags hinzuzufügen.
PutBucketVersioning	(Erforderlich) `s3:PutBucketVersioning`	Erforderlich, um den Versionsverwaltungsstatus eines S3-Buckets festzulegen.
PutBucketWebsite	(Erforderlich) `s3:PutBucketWebsite`	Erforderlich, um einen Bucket als Website zu konfigurieren und die Konfiguration der Website festzulegen.
PutObjectLockConfiguration	(Erforderlich) `s3:PutBucketObjectLockConfiguration`	Erforderlich, um die Object-Lock-Konfiguration auf einem S3-Bucket zu platzieren.
PutPublicAccessBlock (Bucket-Ebene)	(Erforderlich) `s3:PutBucketPublicAccessBlock`	Erforderlich, um die „Öffentlichen Zugriff blockieren“-Konfiguration für einen S3-Bucket zu erstellen oder zu ändern.
UpdateBucketMetadataInventoryTableConfiguration	(Erforderlich) `s3:UpdateBucketMetadataInventoryTableConfiguration`, `s3tables:CreateTableBucket`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`, `s3tables:PutTableEncryption`, `kms:DescribeKey`	Erforderlich zum Aktivieren oder Deaktivieren einer Inventartabelle für eine Metadatentabellenkonfiguration auf einem Allzweck-Bucket. Wenn Sie Ihre Bestandstabelle mit serverseitiger Verschlüsselung mit AWS Key Management Service (AWS KMS) Schlüsseln (SSE-KMS) verschlüsseln möchten, benötigen Sie zusätzliche Berechtigungen in Ihrer KMS-Schlüsselrichtlinie. Weitere Informationen finden Sie unter Einrichten von Berechtigungen für die Konfiguration von Metadatentabellen.
UpdateBucketMetadataJournalTableConfiguration	(Erforderlich) `s3:UpdateBucketMetadataJournalTableConfiguration`	Erforderlich zum Aktivieren oder Deaktivieren des Ablaufs von Journal-Tabellendatensätzen für eine Metadaten-Tabellenkonfiguration auf einem Allzweck-Bucket.

Objektoperationen sind S3-API-Operationen, die auf dem Objektressourcentyp ausgeführt werden. Sie müssen S3-Richtlinienaktionen für Objektoperationen in ressourcenbasierten Richtlinien (wie Bucket-Richtlinien, Zugangspunktrichtlinien, Multi-Region-Access-Point-Richtlinien, VPC-Endpunktrichtlinien) oder identitätsbasierten IAM-Richtlinien angeben.

In den Richtlinien muss das Resource-Element der Objekt ARN sein. Weitere Informationen zum Resource-Elementformat und Beispielrichtlinien finden Sie unter Objektoperationen.

Anmerkung

AWS KMS-Richtlinienaktionen (kms:GenerateDataKey und kms:Decrypt) gelten nur für den AWS KMS-Ressourcentyp und müssen in identitätsbasierten IAM-Richtlinien und ressourcenbasierten AWS KMS-Richtlinien (AWS KMS-Schlüsselrichtlinien) angegeben werden. Sie können keine AWS KMS-Richtlinienaktionen in ressourcenbasierten S3-Richtlinien wie S3-Bucket-Richtlinien angeben.
Wenn Sie Zugangspunkte verwenden, um den Zugriff auf Objektoperationen zu steuern, können Sie Zugangspunktrichtlinien verwenden. Beachten Sie Folgendes, um Berechtigungen für Objektoperationen in Zugangspunktrichtlinien zu erteilen:
- In Zugangspunktrichtlinien, die Berechtigungen für Objektoperationen gewähren, muss das Resource‑Element die ARNs der Objekte enthalten, die über einen Zugangspunkt aufgerufen werden Weitere Informationen zum Resource-Elementformat und Beispielrichtlinien finden Sie unter Objektoperationen in Zugangspunktrichtlinien.
- Nicht alle Objektoperationen werden von Zugangspunkten unterstützt. Weitere Informationen finden Sie unter Zugangspunkt-Kompatibilität mit S3-Vorgänge.
Nicht alle Objektoperationen werden von Multi-Region Access Points unterstützt. Weitere Informationen finden Sie unter Kompatibilität von Multi-Region Access Points mit S3-Operationen.

Im Folgenden wird die Zuordnung von Objektoperationen und erforderlichen Richtlinienaktionen beschrieben.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
AbortMultipartUpload	(Erforderlich) `s3:AbortMultipartUpload`	Erforderlich, um einen mehrteiligen Upload abzubrechen.
CompleteMultipartUpload	(Erforderlich) `s3:PutObject`	Erforderlich, um einen mehrteiligen Upload abzuschließen.
	(Bedingt erforderlich) `kms:Decrypt`	Erforderlich, wenn Sie einen Multipart-Upload für ein mit einem AWS KMS-Kundenschlüssel verschlüsseltes Objekt abschließen möchten.
CopyObject	Für das Quellobjekt:	Für das Quellobjekt:
	(Erforderlich) Entweder `s3:GetObject` oder `s3:GetObjectVersion`	`s3:GetObject` – Erforderlich, wenn Sie ein Objekt aus dem Quell-Bucket kopieren möchten, ohne `versionId` in der Anforderung anzugeben. `s3:GetObjectVersion` – Erforderlich, wenn Sie eine bestimmte Version eines Objekts aus dem Quell-Bucket kopieren möchten, indem Sie `versionId` in der Anforderung angeben.
	(Bedingt erforderlich) `kms:Decrypt`	Erforderlich, wenn Sie ein vom Kunden verwaltetes verschlüsseltes AWS KMS-Schlüsselobjekt aus dem Quell-Bucket kopieren möchten.
	Für das Zielobjekt:	Für das Zielobjekt:
	(Erforderlich) `s3:PutObject`	Erforderlich, um das kopierte Objekt im Ziel-Bucket abzulegen.
	(Bedingt erforderlich) `s3:PutObjectAcl`	Erforderlich, wenn Sie das kopierte Objekt mit der Objektzugriffssteuerungsliste (ACL) im Ziel-Bucket ablegen möchten, wenn Sie eine `CopyObject`-Anforderung stellen.
	(Bedingt erforderlich) `s3:PutObjectTagging`	Erforderlich, wenn Sie das kopierte Objekt mit Objekt-Tagging im Ziel-Bucket platzieren möchten, wenn Sie eine `CopyObject`-Anforderung stellen.
	(Bedingt erforderlich) `kms:GenerateDataKey`	Erforderlich, wenn Sie das kopierte Objekt mit einem vom Kunden verwalteten AWS KMS-Schlüssel verschlüsseln und im Ziel-Bucket ablegen möchten.
	(Bedingt erforderlich) `s3:PutObjectRetention`	Erforderlich, wenn Sie eine Aufbewahrungskonfiguration für die Objektsperre für das neue Objekt festlegen möchten.
	(Bedingt erforderlich) `s3:PutObjectLegalHold`	Erforderlich, wenn Sie eine rechtliche Aufbewahrungspflicht für Objektsperren für das neue Objekt festlegen möchten.
CreateMultipartUpload	(Erforderlich) `s3:PutObject`	Erforderlich für die Erstellung eines mehrteiligen Uploads.
	(Bedingt erforderlich) `s3:PutObjectAcl`	Erforderlich, wenn Sie die Berechtigungen für die Objektzugriffssteuerungsliste (ACL) für das hochgeladene Objekt festlegen möchten.
	(Bedingt erforderlich) `s3:PutObjectTagging`	Erforderlich, wenn Sie dem hochgeladenen Objekt Objekt-Tagging(s) hinzufügen möchten.
	(Bedingt erforderlich) `kms:GenerateDataKey`	Erforderlich, wenn Sie einen vom Kunden verwalteten AWS KMS-Schlüssel verwenden möchten, um ein Objekt zu verschlüsseln, wenn Sie einen mehrteiligen Upload initiieren.
	(Bedingt erforderlich) `s3:PutObjectRetention`	Erforderlich, wenn Sie eine Object-Lock-Aufbewahrungskonfiguration für das hochgeladene Objekt festlegen möchten.
	(Bedingt erforderlich) `s3:PutObjectLegalHold`	Erforderlich, wenn Sie dem hochgeladenen Objekt eine gesetzliche Object-Lock-Aufbewahrungsfrist zuweisen möchten.
DeleteObject	(Erforderlich) Entweder `s3:DeleteObject` oder `s3:DeleteObjectVersion`	`s3:DeleteObject` – Erforderlich, wenn Sie ein Objekt entfernen möchten, ohne `versionId` in der Anforderung anzugeben. `s3:DeleteObjectVersion` – Erforderlich, wenn Sie eine bestimmte Version eines Objekts entfernen möchten, indem Sie `versionId` in der Anforderung angeben.
	(Bedingt erforderlich) `s3:BypassGovernanceRetention`	Erforderlich, wenn Sie ein Objekt löschen möchten, das durch den Governance-Modus für die Aufbewahrung von Objektsperren geschützt ist.
DeleteObjects	(Erforderlich) Entweder `s3:DeleteObject` oder `s3:DeleteObjectVersion`	`s3:DeleteObject` – Erforderlich, wenn Sie ein Objekt entfernen möchten, ohne `versionId` in der Anforderung anzugeben. `s3:DeleteObjectVersion` – Erforderlich, wenn Sie eine bestimmte Version eines Objekts entfernen möchten, indem Sie `versionId` in der Anforderung angeben.
	(Bedingt erforderlich) `s3:BypassGovernanceRetention`	Erforderlich, wenn Sie Objekte löschen möchten, die durch den Governance-Modus für die Aufbewahrung von Objektsperren geschützt sind.
DeleteObjectTagging	(Erforderlich) Entweder `s3:DeleteObjectTagging` oder `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging` – Erforderlich, wenn Sie den gesamten Tag-Satz eines Objekts entfernen möchten, ohne `versionId` in der Anforderung anzugeben. `s3:DeleteObjectVersionTagging` – Erforderlich, wenn Sie Tags einer bestimmten Objektversion löschen möchten, indem Sie `versionId` in der Anforderung angeben.
GetObject	(Erforderlich) Entweder `s3:GetObject` oder `s3:GetObjectVersion`	`s3:GetObject` – Erforderlich, wenn Sie ein Objekt abrufen möchten, ohne `versionId` in der Anforderung anzugeben. `s3:GetObjectVersion` – Erforderlich, wenn Sie eine bestimmte Version eines Objekts abrufen möchten, indem Sie `versionId` in der Anforderung angeben.
	(Bedingt erforderlich) `kms:Decrypt`	Erforderlich, wenn Sie ein vom Kunden verwaltetes verschlüsseltes AWS KMS-Schlüsselobjekt abrufen und entschlüsseln möchten.
	(Bedingt erforderlich) `s3:GetObjectTagging`	Erforderlich, wenn Sie den Tag-Satz eines Objekts abrufen möchten, wenn Sie eine `GetObject`-Anforderung stellen.
	(Bedingt erforderlich) `s3:GetObjectLegalHold`	Erforderlich, wenn Sie den aktuellen Status der gesetzlichen Object-Lock-Aufbewahrungsfrist für ein Objekt abrufen möchten.
	(Bedingt erforderlich) `s3:GetObjectRetention`	Erforderlich, wenn Sie die Object-Lock-Aufbewahrungseinstellungen für ein Objekt abrufen möchten.
GetObjectAcl	(Erforderlich) Entweder `s3:GetObjectAcl` oder `s3:GetObjectVersionAcl`	`s3:GetObjectAcl` – Erforderlich, wenn Sie die Zugriffskontrollliste (ACL) eines Objekts abrufen möchten, ohne `versionId` in der Anforderung anzugeben. `s3:GetObjectVersionAcl` – Erforderlich, wenn Sie die Zugriffskontrollliste (ACL) eines Objekts abrufen möchten, indem Sie `versionId` in der Anforderung angeben.
GetObjectAttributes	(Erforderlich) Entweder `s3:GetObject` oder `s3:GetObjectVersion`	`s3:GetObject` – Erforderlich, wenn Sie objektbezogene Attribute abrufen möchten, ohne `versionId` in der Anforderung anzugeben. `s3:GetObjectVersion` – Erforderlich, wenn Sie Attribute zu einer bestimmten Objektversion abrufen möchten, indem Sie `versionId` in der Anforderung angeben.
	(Bedingt erforderlich) `kms:Decrypt`	Erforderlich, wenn Sie Attribute abrufen möchten, die sich auf ein vom Kunden verwaltetes verschlüsseltes AWS KMS-Schlüsselobjekt beziehen.
GetObjectLegalHold	(Erforderlich) `s3:GetObjectLegalHold`	Erforderlich, um den aktuellen Status der rechtlichen Aufbewahrungspflicht für Objektsperren für einen Objekt abzurufen.
GetObjectRetention	(Erforderlich) `s3:GetObjectRetention`	Erforderlich, um die Einstellungen für die Aufbewahrung von Objektsperren für ein Objekt abzurufen.
GetObjectTagging	(Erforderlich) Entweder `s3:GetObjectTagging` oder `s3:GetObjectVersionTagging`	`s3:GetObjectTagging` – Erforderlich, wenn Sie den Tag-Satz eines Objekts abrufen möchten, ohne `versionId` in der Anforderung anzugeben. `s3:GetObjectVersionTagging` – Erforderlich, wenn Sie die Tags einer bestimmten Objektversion abrufen möchten, indem Sie `versionId` in der Anforderung angeben.
GetObjectTorrent	(Erforderlich) `s3:GetObject`	Erforderlich, um Torrent-Dateien eines Objekts zurückzugeben.
HeadObject	(Erforderlich) `s3:GetObject`	Erforderlich, um Metadaten von einem Objekt abzurufen, ohne das Objekt selbst zurückzugeben.
	(Bedingt erforderlich) `s3:GetObjectLegalHold`	Erforderlich, wenn Sie den aktuellen Status der gesetzlichen Object-Lock-Aufbewahrungsfrist für ein Objekt abrufen möchten.
	(Bedingt erforderlich) `s3:GetObjectRetention`	Erforderlich, wenn Sie die Object-Lock-Aufbewahrungseinstellungen für ein Objekt abrufen möchten.
ListMultipartUploads	(Erforderlich) `s3:ListBucketMultipartUploads`	Erforderlich, um laufende mehrteilige Uploads in einem Bucket aufzulisten.
ListParts	(Erforderlich) `s3:ListMultipartUploadParts`	Erforderlich, um die Teile aufzulisten, die für einen bestimmten mehrteiligen Upload hochgeladen wurden.
	(Bedingt erforderlich) `kms:Decrypt`	Erforderlich, wenn Sie Teile eines mehrteiligen Uploads auflisten möchten, der mit einem AWS KMS-Kundenschlüssel verschlüsselt wurde.
PutObject	(Erforderlich) `s3:PutObject`	Erforderlich, um ein Objekt zu platzieren.
	(Bedingt erforderlich) `s3:PutObjectAcl`	Erforderlich, wenn Sie die Objektzugriffssteuerungsliste (ACL) bei einer `PutObject`-Anforderung angeben möchten.
	(Bedingt erforderlich) `s3:PutObjectTagging`	Erforderlich, wenn Sie bei einer `PutObject`-Anforderung Objekt-Tagging angeben möchten.
	(Bedingt erforderlich) `kms:GenerateDataKey`	Erforderlich, wenn Sie ein Objekt mit einem vom Kunden verwalteten AWS KMS-Schlüssel verschlüsseln möchten.
	(Bedingt erforderlich) `s3:PutObjectRetention`	Erforderlich, wenn Sie eine Konfiguration für die rechtliche Aufbewahrungspflicht für Objektsperren für ein Objekt festlegen möchten.
	(Bedingt erforderlich) `s3:PutObjectLegalHold`	Erforderlich, wenn Sie eine Konfiguration für die rechtliche Aufbewahrungspflicht für Objektsperren auf ein bestimmtes Objekt anwenden möchten.
PutObjectAcl	(Erforderlich) Entweder `s3:PutObjectAcl` oder `s3:PutObjectVersionAcl`	`s3:PutObjectAcl` – Erforderlich, wenn Sie die Berechtigungen für Zugriffssteuerungslisten (ACLs) für ein neues oder ein vorhandenes Objekt festlegen möchten, ohne `versionId` in der Anforderung anzugeben. `s3:PutObjectVersionAcl` – Erforderlich, wenn Sie die Berechtigungen für Zugriffssteuerungslisten (ACLs) für ein neues oder ein vorhandenes Objekt festlegen möchten, indem Sie `versionId` in der Anforderung angeben.
PutObjectLegalHold	(Erforderlich) `s3:PutObjectLegalHold`	Erforderlich, um eine Konfiguration für die rechtliche Aufbewahrungspflicht für Objektsperren anzuwenden.
PutObjectRetention	(Erforderlich) `s3:PutObjectRetention`	Erforderlich, um eine Konfiguration der Aufbewahrung von Objektsperren auf ein Objekt anzuwenden.
	(Bedingt erforderlich) `s3:BypassGovernanceRetention`	Erforderlich, wenn Sie den Governance-Modus einer Konfiguration der Aufbewahrung von Objektsperren umgehen möchten.
PutObjectTagging	(Erforderlich) Entweder `s3:PutObjectTagging` oder `s3:PutObjectVersionTagging`	`s3:PutObjectTagging` – Erforderlich, wenn Sie den bereitgestellten Tag-Satz auf ein Objekt festlegen möchten, das bereits in einem Bucket vorhanden ist, ohne `versionId` in der Anforderung anzugeben. `s3:PutObjectVersionTagging` – Erforderlich, wenn Sie den bereitgestellten Tag-Satz auf ein Objekt festlegen möchten, das bereits in einem Bucket vorhanden ist, indem Sie `versionId` in der Anforderung angeben.
RestoreObject	(Erforderlich) `s3:RestoreObject`	Erforderlich, um eine archivierte Kopie eines Objekts wiederherzustellen.
SelectObjectContent	(Erforderlich) `s3:GetObject`	Erforderlich, um den Inhalt eines S3-Objekts auf der Grundlage einer einfachen SQL (Structured Query Language)-Anweisung zu filtern.
	(Bedingt erforderlich) `kms:Decrypt`	Erforderlich, wenn Sie den Inhalt eines S3-Objekts filtern möchten, das mit einem vom Kunden verwalteten AWS KMS-Schlüssel verschlüsselt ist.
UploadPart	(Erforderlich) `s3:PutObject`	Erforderlich, um einen Teil in einem mehrteiligen Upload hochzuladen.
	(Bedingt erforderlich) `kms:GenerateDataKey`	Erforderlich, wenn Sie einen Upload-Teil hochladen und mit einem vom Kunden verwalteten AWS KMS-Schlüssel verschlüsseln möchten.
UploadPartCopy	Für das Quellobjekt:	Für das Quellobjekt:
	(Erforderlich) Entweder `s3:GetObject` oder `s3:GetObjectVersion`	`s3:GetObject` – Erforderlich, wenn Sie ein Objekt aus dem Quell-Bucket kopieren möchten, ohne `versionId` in der Anforderung anzugeben. `s3:GetObjectVersion` – Erforderlich, wenn Sie eine bestimmte Version eines Objekts aus dem Quell-Bucket kopieren möchten, indem Sie `versionId` in der Anforderung angeben.
	(Bedingt erforderlich) `kms:Decrypt`	Erforderlich, wenn Sie ein vom Kunden verwaltetes verschlüsseltes AWS KMS-Schlüsselobjekt aus dem Quell-Bucket kopieren möchten.
	Für den Zielteil:	Für den Zielteil:
	(Erforderlich) `s3:PutObject`	Erforderlich, um einen Teil eines mehrteiligen Uploads in den Ziel-Bucket hochzuladen.
	(Bedingt erforderlich) `kms:GenerateDataKey`	Erforderlich, wenn Sie einen Teil mit einem vom Kunden verwalteten AWS KMS-Schlüssel verschlüsseln möchten, wenn Sie den Teil in den Ziel-Bucket hochladen.

Zugangspunktoperationen sind S3-API-Operationen, die auf dem accesspoint-Ressourcentyp ausgeführt werden. Sie müssen S3-Richtlinienaktionen für Zugangspunktoperationen in identitätsbasierten IAM-Richtlinien angeben, nicht in Bucket-Richtlinien oder Zugangspunktrichtlinien.

In den Richtlinien muss das Resource-Element der accesspoint-ARN sein. Weitere Informationen zum Resource-Elementformat und Beispielrichtlinien finden Sie unter Zugangspunkt für Allzweck-Bucket-Operationen.

Anmerkung

Wenn Sie Zugangspunkte verwenden möchten, um den Zugriff auf Bucket- oder Objektoperationen zu steuern, beachten Sie Folgendes:

Informationen zur Verwendung von Zugangspunkten zur Steuerung des Zugriffs auf Bucket-Operationen finden Sie unter Bucket-Operationen in Richtlinien für Zugangspunkts für Allzweck-Buckets.
Informationen zur Verwendung von Zugangspunkten zur Steuerung des Zugriffs auf Objektoperationen finden Sie unter Objektoperationen in Zugangspunktrichtlinien.
Weitere Informationen über das Konfigurieren von Zugangspunktrichtlinien finden Sie unter Konfigurieren von IAM-Richtlinien für die Verwendung von Zugriffspunkten.

Im Folgenden werden die Zugangspunktoperationen und die erforderlichen Richtlinienaktionen zugeordnet.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
CreateAccessPoint	(Erforderlich) `s3:CreateAccessPoint`	Erforderlich, um einen Zugangspunkt zu erstellen, der mit einem S3-Bucket verknüpft ist.
DeleteAccessPoint	(Erforderlich) `s3:DeleteAccessPoint`	Erforderlich, um einen Zugangspunkt zu löschen.
DeleteAccessPointPolicy	(Erforderlich) `s3:DeleteAccessPointPolicy`	Erforderlich, um eine Zugangspunktrichtlinie zu löschen.
GetAccessPointPolicy	(Erforderlich) `s3:GetAccessPointPolicy`	Erforderlich, um eine Zugangspunktrichtlinie abzurufen.
GetAccessPointPolicyStatus	(Erforderlich) `s3:GetAccessPointPolicyStatus`	Erforderlich, um Informationen darüber abzurufen, ob der angegebene Zugangspunkt derzeit über eine Richtlinie verfügt, die öffentlichen Zugriff zulässt.
PutAccessPointPolicy	(Erforderlich) `s3:PutAccessPointPolicy`	Erforderlich, um eine Zugangspunktrichtlinie festzulegen.

Object-Lambda-Access-Point-Operationen sind S3-API-Operationen, die auf dem objectlambdaaccesspoint-Ressourcentyp ausgeführt werden. Weitere Informationen zur Konfiguration von Richtlinien für Operationen mit Object Lambda Access Points finden Sie unter Konfigurieren von IAM-Richtlinien für Object Lambda Access Points.

Im Folgenden finden Sie die Zuordnung der Object-Lambda-Access-Point-Operationen und der erforderlichen Richtlinienaktionen.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
CreateAccessPointForObjectLambda	(Erforderlich) `s3:CreateAccessPointForObjectLambda`	Erforderlich, um einen Object Lambda Access Point zu erstellen.
DeleteAccessPointForObjectLambda	(Erforderlich) `s3:DeleteAccessPointForObjectLambda`	Erforderlich, um einen angegebenen Object Lambda Access Point zu löschen.
DeleteAccessPointPolicyForObjectLambda	(Erforderlich) `s3:DeleteAccessPointPolicyForObjectLambda`	Erforderlich, um die Richtlinie auf einem angegebenen Object Lambda Access Point zu löschen.
GetAccessPointConfigurationForObjectLambda	(Erforderlich) `s3:GetAccessPointConfigurationForObjectLambda`	Erforderlich, um die Konfiguration des Object Lambda Access Points abzurufen.
GetAccessPointForObjectLambda	(Erforderlich) `s3:GetAccessPointForObjectLambda`	Erforderlich, um Informationen über den Object Lambda Access Point abzurufen.
GetAccessPointPolicyForObjectLambda	(Erforderlich) `s3:GetAccessPointPolicyForObjectLambda`	Erforderlich, um die Zugangspunktrichtlinie zurückzugeben, die dem angegebenen Object Lambda Access Point zugeordnet ist.
GetAccessPointPolicyStatusForObjectLambda	(Erforderlich) `s3:GetAccessPointPolicyStatusForObjectLambda`	Erforderlich, um den Richtlinienstatus für eine angegebene Object-Lambda-Access-Point-Richtlinie zurückzugeben.
PutAccessPointConfigurationForObjectLambda	(Erforderlich) `s3:PutAccessPointConfigurationForObjectLambda`	Erforderlich, um die Konfiguration des Object Lambda Access Points festzulegen.
PutAccessPointPolicyForObjectLambda	(Erforderlich) `s3:PutAccessPointPolicyForObjectLambda`	Erforderlich, um eine Zugangspunktrichtlinie mit einem angegebenen Object Lambda Access Point zu verknüpfen.

Multi-Region-Access-Point-Operationen sind S3-API-Operationen, die auf dem multiregionaccesspoint-Ressourcentyp ausgeführt werden. Weitere Informationen zur Konfiguration von Richtlinien für Operationen mit Multi-Region Access Points finden Sie unter Beispielrichtlinien für Multi-Region Access Points.

Im Folgenden finden Sie die Zuordnung von Multi-Region-Access-Point-Operationen und erforderlichen Richtlinienaktionen.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
CreateMultiRegionAccessPoint	(Erforderlich) `s3:CreateMultiRegionAccessPoint`	Erforderlich, um einen Multi-Region Access Point zu erstellen und ihn mit S3-Buckets zu verknüpfen.
DeleteMultiRegionAccessPoint	(Erforderlich) `s3:DeleteMultiRegionAccessPoint`	Erforderlich, um einen Multi-Region Access Point.
DescribeMultiRegionAccessPointOperation	(Erforderlich) `s3:DescribeMultiRegionAccessPointOperation`	Erforderlich, um den Status einer asynchronen Anforderung zur Verwaltung eines Multi-Region Access Points abzurufen.
GetMultiRegionAccessPoint	(Erforderlich) `s3:GetMultiRegionAccessPoint`	Erforderlich, um Konfigurationsinformationen über den angegebenen Multi-Region Access Point zurückzugeben.
GetMultiRegionAccessPointPolicy	(Erforderlich) `s3:GetMultiRegionAccessPointPolicy`	Erforderlich, um die Zugriffssteuerungsrichtlinie des angegebenen Multi-Region Access Point zurückzugeben.
GetMultiRegionAccessPointPolicyStatus	(Erforderlich) `s3:GetMultiRegionAccessPointPolicyStatus`	Erforderlich, um den Richtlinienstatus für einen bestimmten Multi-Region Access Point zurückzugeben und anzugeben, ob der angegebene Multi-Region Access Point eine Zugriffssteuerungsrichtlinie hat, die den öffentlichen Zugriff ermöglicht.
GetMultiRegionAccessPointRoutes	(Erforderlich) `s3:GetMultiRegionAccessPointRoutes`	Erforderlich, um die Routing-Konfiguration für einen Multi-Region Access Point zurückzugeben.
PutMultiRegionAccessPointPolicy	(Erforderlich) `s3:PutMultiRegionAccessPointPolicy`	Erforderlich, um die Zugriffskontrollrichtlinie des angegebenen Multi-Region Access Point zu aktualisieren.
SubmitMultiRegionAccessPointRoutes	(Erforderlich) `s3:SubmitMultiRegionAccessPointRoutes`	Erforderlich, um eine aktualisierte Routing-Konfiguration für einen Multi-Region Access Point einzureichen.

(Batch Operations)-Auftragsoperationen sind S3-API-Operationen, die auf dem job-Ressourcentyp ausgeführt werden. Sie müssen S3-Richtlinienaktionen für Aufgabenoperationen in IAM-identitätsbasierten Richtlinien angeben – nicht in Bucket-Richtlinien.

In den Richtlinien muss das Resource-Element der job-ARN sein. Weitere Informationen zum Resource-Elementformat und Beispielrichtlinien finden Sie unter Batch-Auftragsoperationen.

Im Folgenden wird die Zuordnung von Batch-Auftragsoperationen und erforderlichen Richtlinienaktionen beschrieben.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
DeleteJobTagging	(Erforderlich) `s3:DeleteJobTagging`	Erforderlich, um Tags aus einem bestehenden S3-Batch-Operations-Auftrag zu entfernen.
DescribeJob	(Erforderlich) `s3:DescribeJob`	Erforderlich, um die Konfigurationsparameter und den Status für eine Batch-Operations-Aufgabe abzurufen.
GetJobTagging	(Erforderlich) `s3:GetJobTagging`	Erforderlich, um den Tag-Satz einer vorhandenen S3-Batch-Operations-Aufgabe zurückzugeben.
PutJobTagging	(Erforderlich) `s3:PutJobTagging`	Erforderlich, um Tags bei einer vorhandenen S3-Batch-Operations-Aufgabe zu setzen oder zu ersetzen.
UpdateJobPriority	(Erforderlich) `s3:UpdateJobPriority`	Erforderlich, um die Priorität eines vorhandenen Auftrags zu aktualisieren.
UpdateJobStatus	(Erforderlich) `s3:UpdateJobStatus`	Erforderlich, um den Status für die angegebene Aufgabe zu aktualisieren.

S3-Storage-Lens-Konfigurationsvorgänge sind S3-API-Operationen, die auf dem Ressourcentyp storagelensconfiguration ausgeführt werden. Weitere Informationen zur Konfiguration von S3-Storage-Lens-Konfigurationsoperationen finden Sie unter Festlegen der Berechtigungen für Amazon S3 Storage Lens.

Nachstehend werden die Konfigurationsvorgänge von S3 Storage Lens und die erforderlichen Richtlinienaktionen zugeordnet.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
DeleteStorageLensConfiguration	(Erforderlich) `s3:DeleteStorageLensConfiguration`	Erforderlich, um die S3-Storage-Lens-Konfiguration zu löschen.
DeleteStorageLensConfigurationTagging	(Erforderlich) `s3:DeleteStorageLensConfigurationTagging`	Erforderlich, um S3-Storage-Lens-Konfigurations-Tags zu löschen.
GetStorageLensConfiguration	(Erforderlich) `s3:GetStorageLensConfiguration`	Erforderlich, um die S3-Storage-Lens-Konfiguration abzurufen.
GetStorageLensConfigurationTagging	(Erforderlich) `s3:GetStorageLensConfigurationTagging`	Erforderlich, um die Tags der S3-Storage-Lens-Konfiguration abzurufen.
PutStorageLensConfigurationTagging	(Erforderlich) `s3:PutStorageLensConfigurationTagging`	Erforderlich, um Tags für eine bestehende S3-Storage-Lens-Konfiguration zu setzen oder zu ersetzen.

Bei Gruppenoperationen in S3 Storage Lens handelt es sich um S3-API-Operationen, die auf dem Ressourcentyp storagelensgroup ausgeführt werden. Weitere Informationen zur Konfiguration von Gruppenberechtigungen für S3 Storage Lens finden Sie unter Berechtigungen für Storage-Lens-Gruppen.

Im Folgenden wird die Zuordnung von S3-Storage-Lens-Gruppenoperationen und erforderlichen Richtlinienaktionen beschrieben.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
DeleteStorageLensGroup	(Erforderlich) `s3:DeleteStorageLensGroup`	Erforderlich, um eine vorhandene S3-Storage-Lens-Gruppe zu löschen.
GetStorageLensGroup	(Erforderlich) `s3:GetStorageLensGroup`	Erforderlich, um Konfigurationsdetails der S3-Storage-Lens-Gruppe abzurufen.
UpdateStorageLensGroup	(Erforderlich) `s3:UpdateStorageLensGroup`	Erforderlich, um die vorhandene S3-Storage-Lens-Gruppe zu aktualisieren.
CreateStorageLensGroup	(Erforderlich) `s3:CreateStorageLensGroup`	Erforderlich zum Erstellen einer neuen Storage-Lens-Gruppe.
CreateStorageLensGroup, TagResource	(Erforderlich) `s3:CreateStorageLensGroup`, `s3:TagResource`	Erforderlich zum Erstellen einer neuen Storage-Lens-Gruppe mit Tags.
ListStorageLensGroups	(Erforderlich) `s3:ListStorageLensGroups`	Erforderlich für die Auflistung aller Storage-Lens-Gruppen in Ihrer Heimatregion.
ListTagsForResource	(Erforderlich) `s3:ListTagsForResource`	Erforderlich, um die Tags aufzulisten, die zu Ihrer Storage-Lens-Gruppen hinzugefügt wurden.
TagResource	(Erforderlich) `s3:TagResource`	Erforderlich zum Hinzufügen oder Aktualisieren eines Storage-Lens-Gruppen-Tags für eine vorhandene Storage-Lens-Gruppe.
UntagResource	(Erforderlich) `s3:UntagResource`	Erforderlich zum Löschen eines Tags aus einer Storage-Lens-Gruppe.

S3 Access Grants Instance-Vorgänge sind S3-API-Vorgänge, die mit dem Ressourcentyp accessgrantsinstance arbeiten. Eine S3 Access Grants Instance ist ein logischer Container für Ihre Access Grants. Weitere Informationen zur Arbeit mit S3-Access-Grants-Instances finden Sie unter Arbeiten mit S3-Access-Grants-Instances.

Nachfolgend finden Sie die Zuordnung der Konfigurationsvorgänge der S3 Access Grants Instance zu den erforderlichen Richtlinienaktionen.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
AssociateAccessGrantsIdentityCenter	(Erforderlich) `s3:AssociateAccessGrantsIdentityCenter`	Erforderlich, um eine AWS IAM Identity Center Instance mit Ihrer S3 Access Grants Instance zu verknüpfen, so dass Sie Zugriffsrechte für Benutzer und Gruppen in Ihrem Corporate Identity Directory erstellen können. Sie benötigen die folgenden Berechtigungen: `sso:CreateApplication`, `sso:PutApplicationGrant`, und `sso:PutApplicationAuthenticationMethod`.
CreateAccessGrantsInstance	(Erforderlich) `s3:CreateAccessGrantsInstance`	Erforderlich zur Erstellung einer S3 Access Grants Instance (`accessgrantsinstance` Ressource), die einen Container für Ihre individuellen Zugriffsrechte darstellt. Um eine AWS IAM Identity Center-Instance mit Ihrer S3-Access-Grants-Instance zu verknüpfen, benötigen Sie außerdem die Berechtigungen `sso:DescribeInstance`, `sso:CreateApplication`, `sso:PutApplicationGrant` und `sso:PutApplicationAuthenticationMethod`.
DeleteAccessGrantsInstance	(Erforderlich) `s3:DeleteAccessGrantsInstance`	Erforderlich, um eine S3 Access Grants Instance (`accessgrantsinstance` Ressource) aus einer AWS-Region in Ihrem Konto zu löschen.
DeleteAccessGrantsInstanceResourcePolicy	(Erforderlich) `s3:DeleteAccessGrantsInstanceResourcePolicy`	Erforderlich zum Löschen einer Ressourcenrichtlinie für Ihre S3 Access Grants Instance.
DissociateAccessGrantsIdentityCenter	(Erforderlich) `s3:DissociateAccessGrantsIdentityCenter`	Erforderlich, um eine AWS IAM Identity Center Instance von Ihrer S3 Access Grants Instance zu trennen. Sie benötigen die folgenden Berechtigungen: `sso:DeleteApplication`
GetAccessGrantsInstance	(Erforderlich) `s3:GetAccessGrantsInstance`	Erforderlich, um die S3 Access Grants Instance für ein AWS-Region in Ihrem Konto abzurufen.
GetAccessGrantsInstanceForPrefix	(Erforderlich) `s3:GetAccessGrantsInstanceForPrefix`	Erforderlich für das Abrufen einer S3-Access-Grants-Instance, die ein bestimmtes Präfix enthält.
GetAccessGrantsInstanceResourcePolicy	(Erforderlich) `s3:GetAccessGrantsInstanceResourcePolicy`	Erforderlich für die Rückgabe der Ressourcenrichtlinie Ihrer S3 Access Grants Instance.
ListAccessGrantsInstances	(Erforderlich) `s3:ListAccessGrantsInstances`	Erforderlich für die Rückgabe einer Liste der S3-Access-Grants-Instances in Ihrem Konto.
PutAccessGrantsInstanceResourcePolicy	(Erforderlich) `s3:PutAccessGrantsInstanceResourcePolicy`	Erforderlich zur Aktualisierung der Ressourcenrichtlinie der S3 Access Grants Instance.

S3 Access Grants Standortoperationen sind S3-API-Operationen, die mit dem Ressourcentyp accessgrantslocation arbeiten. Weitere Informationen zur Arbeit mit S3 Access Grants-Standorten finden Sie unter Arbeiten mit S3-Access-Grants-Speicherorten.

Nachfolgend finden Sie die Zuordnung der Konfigurationsvorgänge für den S3 Access Grants-Standort zu den erforderlichen Richtlinienaktionen.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
CreateAccessGrantsLocation	(Erforderlich) `s3:CreateAccessGrantsLocation`	Erforderlich zur Registrierung eines Standorts in Ihrer S3 Access Grants Instance (Erstellen einer `accessgrantslocation` Ressource). Sie müssen außerdem über die folgende Berechtigung für die angegebene IAM-Rolle verfügen: `iam:PassRole`
DeleteAccessGrantsLocation	(Erforderlich) `s3:DeleteAccessGrantsLocation`	Erforderlich, um einen registrierten Standort aus Ihrer S3 Access Grants Instance zu entfernen.
GetAccessGrantsLocation	(Erforderlich) `s3:GetAccessGrantsLocation`	Erforderlich, um die Details eines bestimmten Standorts abzurufen, der in Ihrer S3 Access Grants Instance registriert ist.
ListAccessGrantsLocations	(Erforderlich) `s3:ListAccessGrantsLocations`	Erforderlich, um eine Liste der in Ihrer S3 Access Grants Instance registrierten Standorte zurückzugeben.
UpdateAccessGrantsLocation	(Erforderlich) `s3:UpdateAccessGrantsLocation`	Erforderlich zur Aktualisierung der IAM-Rolle eines registrierten Standorts in Ihrer S3 Access Grants Instance.

S3 Access Grants Grant-Operationen sind S3-API-Operationen, die mit dem Ressourcentyp accessgrant arbeiten. Weitere Informationen zur Arbeit mit einzelnen Zuschüssen unter Verwendung von S3 Access Grants finden Sie unter Arbeiten mit Gewährungen in S3 Access Grants.

Nachfolgend finden Sie die Zuordnung zwischen den Konfigurationsvorgängen für S3 Access Grants und den erforderlichen Richtlinienaktionen.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
CreateAccessGrant	(Erforderlich) `s3:CreateAccessGrant`	Erforderlich für die Erstellung einer individuellen Berechtigung (`accessgrant` Ressource) für einen Benutzer oder eine Gruppe in Ihrer S3 Access Grants Instance. Sie benötigen die folgenden Berechtigungen: Für jede Verzeichnisidentität – `sso:DescribeInstance` und `sso:DescribeApplication` Für Verzeichnisbenutzer – `identitystore:DescribeUser`
DeleteAccessGrant	(Erforderlich) `s3:DeleteAccessGrant`	Erforderlich zum Löschen einer einzelnen Zugriffsberechtigung (`accessgrant` Ressource) aus Ihrer S3 Access Grants Instance.
GetAccessGrant	(Erforderlich) `s3:GetAccessGrant`	Erforderlich, um die Details über eine einzelne Zugriffsberechtigung in Ihrer S3 Access Grants Instance zu erhalten.
ListAccessGrants	(Erforderlich) `s3:ListAccessGrants`	Erforderlich, um eine Liste der einzelnen Zugriffsrechte in Ihrer S3 Access Grants Instance zurückzugeben.
ListCallerAccessGrants	(Erforderlich) `s3:ListCallerAccessGrants`	Erforderlich für die Auflistung der Zugriffsrechte, die dem Aufrufer den Zugriff auf Amazon S3-Daten über S3 Access Grants gewähren.

Kontovorgänge sind S3-API-Operationen, die auf Kontoebene ausgeführt werden. Konto ist kein von Amazon S3 definierter Ressourcentyp. Sie müssen S3-Richtlinienaktionen für Kontooperationen in identitätsbasierten IAM-Richtlinien angeben, nicht in Bucket-Richtlinien.

In den Richtlinien muss das Resource-Element "*" sein. Weitere Informationen zu Beispielrichtlinien finden Sie unter Kontooperationen.

Im Folgenden wird die Zuordnung von Kontooperationen und erforderlichen Richtlinienaktionen dargestellt.

API-Operationen	Richtlinienaktionen	Beschreibung der Richtlinienaktionen
CreateJob	(Erforderlich) `s3:CreateJob`	Erforderlich, um einen neuen S3-Batch-Operations-Auftrag zu erstellen.
CreateStorageLensGroup	(Erforderlich) `s3:CreateStorageLensGroup`	Erforderlich, um eine neue S3-Storage-Lens-Gruppe zu erstellen und diese der angegebenen AWS-Konto-ID zuzuordnen.
	(Bedingt erforderlich) `s3:TagResource`	Erforderlich, wenn Sie eine S3-Storage-Lens-Gruppe mit AWS-Ressourcen-Tags erstellen möchten.
DeletePublicAccessBlock (Kontoebene)	(Erforderlich) `s3:PutAccountPublicAccessBlock`	Erforderlich, um die Konfiguration „Öffentlichen Zugriff blockieren“ aus einem AWS-Konto zu entfernen.
GetAccessPoint	(Erforderlich) `s3:GetAccessPoint`	Erforderlich, um Konfigurationsinformationen über den angegebenen Zugangspunkt abzurufen.
GetAccessPointPolicy (Kontoebene)	(Erforderlich) `s3:GetAccountPublicAccessBlock`	Erforderlich, um die Konfiguration „Öffentlichen Zugriff blockieren“ für ein AWS-Konto abzurufen.
ListAccessPoints	(Erforderlich) `s3:ListAccessPoints`	Erforderlich, um die Zugangspunkte eines S3-Buckets aufzulisten, die einem AWS-Konto gehören.
ListAccessPointsForObjectLambda	(Erforderlich) `s3:ListAccessPointsForObjectLambda`	Erforderlich, um Object Lambda Access Points aufzulisten.
ListBuckets	(Erforderlich) `s3:ListAllMyBuckets`	Erforderlich, um eine Liste aller Buckets zurückzugeben, die dem authentifizierten Absender der Anfrage gehören.
ListJobs	(Erforderlich) `s3:ListJobs`	Erforderlich, um aktuelle und kürzlich beendete Aufträge aufzulisten.
ListMultiRegionAccessPoints	(Erforderlich) `s3:ListMultiRegionAccessPoints`	Erforderlich, um eine Liste der Multi-Region Access Points zurückzugeben, die derzeit mit den angegebenen AWS-Konto verknüpft sind.
ListStorageLensConfigurations	(Erforderlich) `s3:ListStorageLensConfigurations`	Erforderlich, um eine Liste der S3-Storage-Lens-Konfigurationen für ein AWS-Konto abzurufen.
ListStorageLensGroups	(Erforderlich) `s3:ListStorageLensGroups`	Erforderlich, um alle S3-Storage-Lens-Gruppen in der angegebenen primären AWS-Region aufzulisten.
PutPublicAccessBlock (Kontoebene)	(Erforderlich) `s3:PutAccountPublicAccessBlock`	Erforderlich, um die Konfiguration „Öffentlichen Zugriff gewähren“ für ein AWS-Konto zu erstellen oder zu ändern.
PutStorageLensConfiguration	(Erforderlich) `s3:PutStorageLensConfiguration`	Erforderlich, um eine S3-Storage-Lens-Konfiguration zu platzieren.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Für eine Objekt-Operation

Richtlinien und Berechtigungen