Opérations de compartiment et autorisations Opérations d’objet et autorisations Opérations et autorisations des point d’accès de compartiments à usage général Opérations de point d’accès Object Lambda et autorisations Opérations de point d’accès multi-régions et autorisations Opérations relatives aux tâches par lot et autorisations Opérations de configuration S3 Storage Lens et autorisations Opérations des groupes S3 Storage Lens et autorisations Opérations et autorisations des instances S3 Access Grants Opérations et autorisations des emplacements S3 Access Grants Opérations et autorisations S3 Access Grants Opérations de compte et autorisations

Autorisations requises pour les opérations d’API Amazon S3

Note

Cette page traite des actions de politique Amazon S3 pour les compartiments à usage général. Pour en savoir plus sur les actions de politique Amazon S3 pour les compartiments de répertoires, consultez Actions spécifiques aux compartiments de répertoires.

Pour effectuer une opération d’API S3, vous devez disposer des autorisations appropriées. Cette page associe les opérations d’API S3 aux autorisations requises. Pour accorder des autorisations permettant d’effectuer une opération d’API S3, vous devez élaborer une politique valide (telle qu’une stratégie de compartiment S3 ou une politique basée sur l’identité IAM) et spécifier les actions correspondantes dans l’élément Action de cette politique. Ces actions sont appelées actions de politique. Toutes les opérations d’API S3 ne sont pas représentées par une autorisation unique (une seule action de politique), et certaines autorisations (certaines actions de politique) sont obligatoires pour de nombreuses opérations d’API différentes.

Lorsque vous créez des politiques, vous devez spécifier l’élément Resource en fonction du type de ressource approprié requis par les actions de politique Amazon S3 correspondantes. Cette page classe les autorisations relatives aux opérations d’API S3 par type de ressource. Pour de plus d’informations sur les types de ressources, consultez Types de ressources définis par Amazon S3 dans la Référence de l’autorisation de service. Pour obtenir une liste complète des actions de politique, des clés de condition et des ressources Amazon S3 que vous pouvez utiliser dans les politiques, consultez Actions, ressources et clés de condition pour Amazon S3 dans la Référence de l’autorisation de service. Pour obtenir la liste des opérations d’API Amazon S3, consultez Actions d’API Amazon S3 dans la Référence des API Amazon Simple Storage Service.

Pour plus d’informations sur le traitement des erreurs HTTP 403 Forbidden dans S3, consultez Résolution des erreurs d’accès refusé (403 Forbidden) dans Amazon S3. Pour plus d’informations sur les fonctionnalités IAM à utiliser avec S3, consultez Fonctionnement d’Amazon S3 avec IAM. Pour plus d’informations sur les bonnes pratiques de sécurité de S3, consultez Bonnes pratiques de sécurité pour Amazon S3.

Rubriques

Opérations de compartiment et autorisations
Opérations d’objet et autorisations
Opérations et autorisations des point d’accès de compartiments à usage général
Opérations de point d’accès Object Lambda et autorisations
Opérations de point d’accès multi-régions et autorisations
Opérations relatives aux tâches par lot et autorisations
Opérations de configuration S3 Storage Lens et autorisations
Opérations des groupes S3 Storage Lens et autorisations
Opérations et autorisations des instances S3 Access Grants
Opérations et autorisations des emplacements S3 Access Grants
Opérations et autorisations S3 Access Grants
Opérations de compte et autorisations

Les opérations de compartiment sont des opérations d’API S3 qui opèrent sur le type de ressource du compartiment. Vous devez spécifier les actions de politique S3 pour les opérations de compartiment dans les stratégies de compartiment ou les politiques basées sur l’identité IAM.

Dans les politiques, l’élément Resource doit correspondre à l’Amazon Resource Name (ARN) du compartiment. Pour obtenir plus d’informations sur le format des éléments Resource et pour voir des exemples de politiques, consultez Opérations de compartiment.

Note

Pour accorder des autorisations aux opérations de compartiment dans les stratégies de point d’accès, notez ce qui suit :

Les autorisations accordées pour les opérations de compartiment dans une stratégie de point d’accès ne sont effectives que si le compartiment sous-jacent accorde également les mêmes autorisations. Lorsque vous utilisez un point d’accès, vous devez déléguer le contrôle d’accès du compartiment à ce point d’accès ou ajouter les autorisations de la politique du point d’accès à la politique du compartiment sous-jacent.
Dans les stratégies de point d’accès qui accordent des autorisations pour les opérations de compartiment, l’élément Resource doit être l’ARN d’accesspoint. Pour obtenir plus d’informations sur le format des éléments Resource et pour voir des exemples de politiques, consultez Opérations sur les compartiments dans les stratégies de point d’accès des compartiments à usage général. Pour plus d’informations sur les stratégies des points d’accès, consultez Configuration des politiques IAM pour l’utilisation des points d’accès.
Les opérations de compartiment ne sont pas toutes prises en charge par les points d’accès. Pour plus d’informations, consultez Compatibilité des points d’accès avec les opérations S3.

Vous trouverez ci-dessous le mappage des opérations de compartiment et des actions de politiques requises.

Opérations d’API	Actions de politique	Description des actions de politique
CreateBucket	(Obligatoire) `s3:CreateBucket`	Obligatoire pour créer un compartiment S3.
	(Obligatoire sous condition) `s3:PutBucketAcl`	Obligatoire si vous souhaitez utiliser une liste de contrôle d’accès (ACL) pour spécifier des autorisations sur un compartiment lorsque vous effectuez une demande `CreateBucket`.
	(Obligatoire sous condition) `s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`	Obligatoire si vous souhaitez activer le verrouillage d’objet lors de la création d’un compartiment.
	(Obligatoire sous condition) `s3:PutBucketOwnershipControls`	Obligatoire si vous souhaitez spécifier la propriété d’objets S3 lors de la création d’un compartiment.
CreateBucketMetadataConfiguration (Opération d’API V2. Le nom de l’action de la politique IAM est le même pour les opérations d’API V1 et V2.)	(Obligatoire) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateTableBucket`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`, `s3tables:PutTableEncryption`, `kms:DescribeKey`	Obligatoire pour créer une configuration de table de métadonnées sur un compartiment à usage général. Pour créer votre compartiment de table géré par AWS et les tables de métadonnées spécifiés dans la configuration de votre table de métadonnées, vous devez disposer des autorisations `s3tables` spécifiées. Si vous souhaitez chiffrer vos tables de métadonnées côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS), vous avez besoin d’autorisations supplémentaires dans votre stratégie de clé KMS. Pour plus d’informations, consultez Définition des autorisations pour la configuration des tables de métadonnées. Si vous souhaitez également intégrer votre compartiment de table géré par AWS aux services d’analytique AWS pour pouvoir interroger votre table de métadonnées, vous avez besoin d’autorisations supplémentaires. Pour plus d’informations, consultez Intégration d’Amazon S3 Tables aux services d’analytique AWS.
CreateBucketMetadataTableConfiguration (opération d’API V1)	(Obligatoire) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`	Obligatoire pour créer une configuration de table de métadonnées sur un compartiment à usage général. Pour créer la table de métadonnées dans le compartiment de table indiqué dans la configuration de votre table de métadonnées, vous devez disposer des autorisations `s3tables` spécifiées. Si vous souhaitez chiffrer vos tables de métadonnées côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS), vous avez besoin d’autorisations supplémentaires. Pour plus d’informations, consultez Définition des autorisations pour la configuration des tables de métadonnées. Si vous souhaitez également intégrer votre compartiment de table aux services d’analytique AWS afin de pouvoir interroger votre table de métadonnées, vous avez besoin d’autorisations supplémentaires. Pour plus d’informations, consultez Intégration d’Amazon S3 Tables aux services d’analytique AWS.
DeleteBucket	(Obligatoire) `s3:DeleteBucket`	Obligatoire pour supprimer un compartiment S3.
DeleteBucketAnalyticsConfiguration	(Obligatoire) `s3:PutAnalyticsConfiguration`	Obligatoire pour supprimer une configuration d’analytique S3 d’un compartiment S3.
DeleteBucketCors	(Obligatoire) `s3:PutBucketCORS`	Obligatoire pour supprimer la configuration du partage des ressources cross-origin (CORS) pour un compartiment.
DeleteBucketEncryption	(Obligatoire) `s3:PutEncryptionConfiguration`	Obligatoire pour réinitialiser la configuration du chiffrement par défaut d’un compartiment S3 en tant que chiffrement côté serveur avec des clés gérées par Amazon S3 (SSE-S3).
DeleteBucketIntelligentTieringConfiguration	(Obligatoire) `s3:PutIntelligentTieringConfiguration`	Obligatoire pour supprimer la configuration S3 Intelligent-Tiering existante d’un compartiment S3.
DeleteBucketInventoryConfiguration	(Obligatoire) `s3:PutInventoryConfiguration`	Obligatoire pour supprimer une configuration S3 Inventory d’un compartiment S3.
DeleteBucketLifecycle	(Obligatoire) `s3:PutLifecycleConfiguration`	Obligatoire pour supprimer la configuration de cycle de vie S3 pour un compartiment S3.
DeleteBucketMetadataConfiguration (Opération d’API V2. Le nom de l’action de la politique IAM est le même pour les opérations d’API V1 et V2.)	(Obligatoire) `s3:DeleteBucketMetadataTableConfiguration`	Obligatoire pour supprimer une configuration de table de métadonnées d’un compartiment à usage général.
DeleteBucketMetadataTableConfiguration (opération d’API V1)	(Obligatoire) `s3:DeleteBucketMetadataTableConfiguration`	Obligatoire pour supprimer une configuration de table de métadonnées d’un compartiment à usage général.
DeleteBucketMetricsConfiguration	(Obligatoire) `s3:PutMetricsConfiguration`	Obligatoire pour supprimer d’un compartiment S3 une configuration de métriques pour les métriques de demande Amazon CloudWatch.
DeleteBucketOwnershipControls	(Obligatoire) `s3:PutBucketOwnershipControls`	Obligatoire pour supprimer le paramètre Propriété d’objets pour un compartiment S3. Après la suppression, le paramètre Propriété d’objets devient `Object writer`.
DeleteBucketPolicy	(Obligatoire) `s3:DeleteBucketPolicy`	Obligatoire pour supprimer la politique d’un compartiment S3.
DeleteBucketReplication	(Obligatoire) `s3:PutReplicationConfiguration`	Obligatoire pour supprimer la configuration de réplication d’un compartiment S3.
DeleteBucketTagging	(Obligatoire) `s3:PutBucketTagging`	Obligatoire pour supprimer des balises d’un compartiment S3.
DeleteBucketWebsite	(Obligatoire) `s3:DeleteBucketWebsite`	Obligatoire pour supprimer la configuration de site web pour un compartiment S3.
DeletePublicAccessBlock (au niveau du compartiment)	(Obligatoire) `s3:PutBucketPublicAccessBlock`	Obligatoire pour supprimer la configuration du blocage de l’accès public pour un compartiment S3.
GetBucketAccelerateConfiguration	(Obligatoire) `s3:GetAccelerateConfiguration`	Obligatoire pour utiliser la sous-ressource d’accélération afin de renvoyer l’état Amazon S3 Transfer Acceleration (Activé ou Suspendu) d’un compartiment.
GetBucketAcl	(Obligatoire) `s3:GetBucketAcl`	Obligatoire pour renvoyer la liste de contrôle d’accès (ACL) d’un compartiment S3.
GetBucketAnalyticsConfiguration	(Obligatoire) `s3:GetAnalyticsConfiguration`	Obligatoire pour renvoyer une configuration d’analytique identifiée par l’ID de configuration d’analytique à partir d’un compartiment S3.
GetBucketCors	(Obligatoire) `s3:GetBucketCORS`	Obligatoire pour renvoyer la configuration du partage des ressources cross-origin (CORS) pour un compartiment S3.
GetBucketEncryption	(Obligatoire) `s3:GetEncryptionConfiguration`	Obligatoire pour renvoyer la configuration du chiffrement par défaut pour un compartiment S3.
GetBucketIntelligentTieringConfiguration	(Obligatoire) `s3:GetIntelligentTieringConfiguration`	Obligatoire pour obtenir la configuration S3 Intelligent-Tiering d’un compartiment S3.
GetBucketInventoryConfiguration	(Obligatoire) `s3:GetInventoryConfiguration`	Obligatoire pour renvoyer une configuration d’inventaire identifiée par l’ID de configuration d’inventaire à partir du compartiment.
GetBucketLifecycle	(Obligatoire) `s3:GetLifecycleConfiguration`	Obligatoire pour renvoyer la configuration de cycle de vie S3 du compartiment.
GetBucketLocation	(Obligatoire) `s3:GetBucketLocation`	Obligatoire pour renvoyer la Région AWS dans laquelle se trouve un compartiment S3.
GetBucketLogging	(Obligatoire) `s3:GetBucketLogging`	Obligatoire pour renvoyer le statut de journalisation d’un compartiment S3 et les autorisations dont disposent les utilisateurs pour afficher et modifier ce statut.
GetBucketMetadataConfiguration (Opération d’API V2. Le nom de l’action de la politique IAM est le même pour les opérations d’API V1 et V2.)	(Obligatoire) `s3:GetBucketMetadataTableConfiguration`	Obligatoire pour récupérer une configuration de table de métadonnées pour un compartiment à usage général.
GetBucketMetadataTableConfiguration (opération d’API V1)	(Obligatoire) `s3:GetBucketMetadataTableConfiguration`	Obligatoire pour récupérer une configuration de table de métadonnées pour un compartiment à usage général.
GetBucketMetricsConfiguration	(Obligatoire) `s3:GetMetricsConfiguration`	Obligatoire pour obtenir une configuration de métriques spécifiée par l’ID de configuration de métriques à partir du compartiment.
GetBucketNotificationConfiguration	(Obligatoire) `s3:GetBucketNotification`	Obligatoire pour renvoyer la configuration de notification d’un compartiment S3.
GetBucketOwnershipControls	(Obligatoire) `s3:GetBucketOwnershipControls`	Obligatoire pour récupérer le paramètre Propriété d’objets pour un compartiment S3.
GetBucketPolicy	(Obligatoire) `s3:GetBucketPolicy`	Obligatoire pour renvoyer la stratégie d’un compartiment S3.
GetBucketPolicyStatus	(Obligatoire) `s3:GetBucketPolicyStatus`	Obligatoire pour récupérer le statut de la politique d’un compartiment S3, indiquant si ce compartiment est public.
GetBucketReplication	(Obligatoire) `s3:GetReplicationConfiguration`	Obligatoire pour renvoyer la configuration de réplication d’un compartiment S3.
GetBucketRequestPayment	(Obligatoire) `s3:GetBucketRequestPayment`	Obligatoire pour renvoyer la configuration du paiement des demandes pour un compartiment S3.
GetBucketVersioning	(Obligatoire) `s3:GetBucketVersioning`	Obligatoire pour renvoyer l’état de la gestion des versions d’un compartiment S3.
GetBucketTagging	(Obligatoire) `s3:GetBucketTagging`	Obligatoire pour renvoyer l’ensemble de balises associé à un compartiment S3.
GetBucketWebsite	(Obligatoire) `s3:GetBucketWebsite`	Obligatoire pour renvoyer la configuration de site web pour un compartiment S3.
GetObjectLockConfiguration	(Obligatoire) `s3:GetBucketObjectLockConfiguration`	Obligatoire pour obtenir la configuration du verrouillage d’objet pour un compartiment S3.
GetPublicAccessBlock (au niveau du compartiment)	(Obligatoire) `s3:GetBucketPublicAccessBlock`	Obligatoire pour récupérer la configuration du blocage de l’accès public pour un compartiment S3.
HeadBucket	(Obligatoire) `s3:ListBucket`	Obligatoire pour déterminer s’il existe un compartiment et si vous avez l’autorisation d’y accéder.
ListBucketAnalyticsConfigurations	(Obligatoire) `s3:GetAnalyticsConfiguration`	Obligatoire pour répertorier les configurations d’analytique pour un compartiment S3.
ListBucketIntelligentTieringConfigurations	(Obligatoire) `s3:GetIntelligentTieringConfiguration`	Obligatoire pour répertorier les configurations S3 Intelligent-Tiering d’un compartiment S3.
ListBucketInventoryConfigurations	(Obligatoire) `s3:GetInventoryConfiguration`	Obligatoire pour renvoyer une liste des configurations d’inventaire pour un compartiment S3.
ListBucketMetricsConfigurations	(Obligatoire) `s3:GetMetricsConfiguration`	Obligatoire pour répertorier les configurations de métriques pour un compartiment S3.
ListObjects	(Obligatoire) `s3:ListBucket`	Obligatoire pour répertorier une partie ou la totalité des objets (jusqu’à 1 000 objets) d’un compartiment S3.
	(Obligatoire sous condition) `s3:GetObjectAcl`	Obligatoire si vous souhaitez afficher les informations relatives au propriétaire de l’objet.
ListObjectsV2	(Obligatoire) `s3:ListBucket`	Obligatoire pour répertorier une partie ou la totalité des objets (jusqu’à 1 000 objets) d’un compartiment S3.
	(Obligatoire sous condition) `s3:GetObjectAcl`	Obligatoire si vous souhaitez afficher les informations relatives au propriétaire de l’objet.
ListObjectVersions	(Obligatoire) `s3:ListBucketVersions`	Obligatoire pour obtenir les métadonnées relatives à toutes les versions des objets d’un compartiment S3.
PutBucketAccelerateConfiguration	(Obligatoire) `s3:PutAccelerateConfiguration`	Obligatoire pour définir la configuration accélérée d’un compartiment existant.
PutBucketAcl	(Obligatoire) `s3:PutBucketAcl`	Obligatoire pour utiliser des listes de contrôle d’accès (ACL) afin de définir les autorisations au niveau d’un compartiment existant.
PutBucketAnalyticsConfiguration	(Obligatoire) `s3:PutAnalyticsConfiguration`	Obligatoire pour définir une configuration d’analytique pour un compartiment S3.
PutBucketCors	(Obligatoire) `s3:PutBucketCORS`	Obligatoire pour définir la configuration du partage des ressources cross-origin (CORS) pour un compartiment S3.
PutBucketEncryption	(Obligatoire) `s3:PutEncryptionConfiguration`	Obligatoire pour configurer le chiffrement par défaut pour un compartiment S3.
PutBucketIntelligentTieringConfiguration	(Obligatoire) `s3:PutIntelligentTieringConfiguration`	Obligatoire pour attribuer la configuration S3 Intelligent-Tiering à un compartiment S3.
PutBucketInventoryConfiguration	(Obligatoire) `s3:PutInventoryConfiguration`	Obligatoire pour ajouter une configuration d’inventaire à un compartiment S3.
PutBucketLifecycle	(Obligatoire) `s3:PutLifecycleConfiguration`	Obligatoire pour créer une configuration de cycle de vie S3 ou pour remplacer une configuration de cycle de vie existante pour un compartiment S3.
PutBucketLogging	(Obligatoire) `s3:PutBucketLogging`	Obligatoire pour définir les paramètres de journalisation d’un compartiment S3 et pour spécifier les autorisations définissant qui peut consulter et modifier ces paramètres.
PutBucketMetricsConfiguration	(Obligatoire) `s3:PutMetricsConfiguration`	Obligatoire pour définir ou mettre à jour une configuration de métriques pour les métriques de demande Amazon CloudWatch d’un compartiment S3.
PutBucketNotificationConfiguration	(Obligatoire) `s3:PutBucketNotification`	Obligatoire pour activer les notifications d’événements spécifiés pour un compartiment S3.
PutBucketOwnershipControls	(Obligatoire) `s3:PutBucketOwnershipControls`	Obligatoire pour créer ou modifier le paramètre Propriété d’objets pour un compartiment S3.
PutBucketPolicy	(Obligatoire) `s3:PutBucketPolicy`	Obligatoire pour appliquer une stratégie de compartiment S3 à un compartiment.
PutBucketReplication	(Obligatoire) `s3:PutReplicationConfiguration`	Obligatoire pour créer une configuration de réplication ou pour remplacer une configuration existante pour un compartiment S3.
PutBucketRequestPayment	(Obligatoire) `s3:PutBucketRequestPayment`	Obligatoire pour définir la configuration du paiement des demandes pour un compartiment.
PutBucketTagging	(Obligatoire) `s3:PutBucketTagging`	Obligatoire pour ajouter un ensemble de balises à un compartiment S3.
PutBucketVersioning	(Obligatoire) `s3:PutBucketVersioning`	Obligatoire pour définir l’état de la gestion des versions d’un compartiment S3.
PutBucketWebsite	(Obligatoire) `s3:PutBucketWebsite`	Obligatoire pour configurer un compartiment en tant que site web et pour définir la configuration de ce site web.
PutObjectLockConfiguration	(Obligatoire) `s3:PutBucketObjectLockConfiguration`	Obligatoire pour appliquer la configuration du verrouillage d’objet à un compartiment S3.
PutPublicAccessBlock (au niveau du compartiment)	(Obligatoire) `s3:PutBucketPublicAccessBlock`	Obligatoire pour créer ou modifier la configuration du blocage de l’accès public pour un compartiment S3.
UpdateBucketMetadataInventoryTableConfiguration	(Obligatoire) `s3:UpdateBucketMetadataInventoryTableConfiguration`, `s3tables:CreateTableBucket`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`, `s3tables:PutTableEncryption`, `kms:DescribeKey`	Obligatoire pour activer ou désactiver une table d’inventaire pour une configuration de table de métadonnées sur un compartiment à usage général. Si vous souhaitez chiffrer votre table d’inventaire côté serveur avec des clés AWS Key Management Service (AWS KMS) (SSE-KMS), vous devez disposer d’autorisations supplémentaires dans votre stratégie de clé KMS. Pour plus d’informations, consultez Définition des autorisations pour la configuration des tables de métadonnées.
UpdateBucketMetadataJournalTableConfiguration	(Obligatoire) `s3:UpdateBucketMetadataJournalTableConfiguration`	Obligatoire pour activer ou désactiver l’expiration des enregistrements de table de journal pour une configuration de table de métadonnées sur un compartiment à usage général.

Les opérations d’objet sont des opérations d’API S3 qui agissent sur le type de ressource de l’objet. Vous devez spécifier les actions de politique S3 pour les opérations d’objet dans des politiques basées sur les ressources (telles que des stratégies de compartiment, des stratégies de point d’accès, des stratégies de point d’accès multi-régions, des politiques de point de terminaison de VPC) ou dans des politiques basées sur l’identité IAM.

Dans les politiques, l’élément Resource doit être l’ARN de l’objet. Pour obtenir plus d’informations sur le format des éléments Resource et pour voir des exemples de politiques, consultez Opérations d’objet.

Note

Les actions de politique AWS KMS (kms:GenerateDataKey et kms:Decrypt) ne s’appliquent qu’au type de ressource AWS KMS et doivent être spécifiées dans les politiques basées sur l’identité IAM et les politiques basées sur les ressources AWS KMS (stratégies de clé AWS KMS). Vous ne pouvez pas spécifier d’actions de politique AWS KMS dans les politiques basées sur les ressources S3, par exemple les stratégies de compartiment S3.
Lorsque vous utilisez des points d’accès pour contrôler l’accès aux opérations d’objet, vous pouvez utiliser des stratégies de point d’accès. Pour accorder des autorisations aux opérations d’objet dans les stratégies de point d’accès, notez ce qui suit :
- Dans les stratégies de point d’accès qui accordent des autorisations pour les opérations d’objet, l’élément Resource doit être l’ARN des objets accessibles via un point d’accès. Pour obtenir plus d’informations sur le format des éléments Resource et pour voir des exemples de politiques, consultez Opérations d’objet dans les stratégies de point d’accès.
- Les opérations d’objet ne sont pas toutes prises en charge par les points d’accès. Pour plus d’informations, consultez Compatibilité des points d’accès avec les opérations S3.
Les opérations d’objet ne sont pas toutes prises en charge par les points d’accès multi-régions. Pour plus d’informations, consultez Compatibilité du point d’accès multi-régions avec les opérations S3.

Vous trouverez ci-dessous le mappage des opérations d’objet et des actions de politiques requises.

Opérations d’API	Actions de politique	Description des actions de politique
AbortMultipartUpload	(Obligatoire) `s3:AbortMultipartUpload`	Obligatoire pour abandonner un chargement partitionné.
CompleteMultipartUpload	(Obligatoire) `s3:PutObject`	Obligatoire pour finaliser un chargement partitionné.
	(Obligatoire sous condition) `kms:Decrypt`	Obligatoire si vous souhaitez finaliser un chargement partitionné pour un objet chiffré à l’aide d’une clé AWS KMS gérée par le client.
CopyObject	Pour l’objet source :	Pour l’objet source :
	(Obligatoire) `s3:GetObject` ou `s3:GetObjectVersion`	`s3:GetObject` : obligatoire si vous souhaitez copier un objet depuis le compartiment source sans spécifier `versionId` dans la demande. `s3:GetObjectVersion` : obligatoire si vous souhaitez copier une version spécifique d’un objet depuis le compartiment source en spécifiant `versionId` dans la demande.
	(Obligatoire sous condition) `kms:Decrypt`	Obligatoire si vous souhaitez copier un objet chiffré à l’aide d’une clé AWS KMS gérée par le client depuis le compartiment source.
	Pour l’objet de destination :	Pour l’objet de destination :
	(Obligatoire) `s3:PutObject`	Obligatoire pour placer l’objet copié dans le compartiment de destination.
	(Obligatoire sous condition) `s3:PutObjectAcl`	Obligatoire si vous souhaitez placer l’objet copié avec la liste de contrôle d’accès (ACL) de cet objet dans le compartiment de destination lorsque vous effectuez une demande `CopyObject`.
	(Obligatoire sous condition) `s3:PutObjectTagging`	Obligatoire si vous souhaitez placer l’objet copié avec le balisage d’objet dans le compartiment de destination lorsque vous effectuez une demande `CopyObject`.
	(Obligatoire sous condition) `kms:GenerateDataKey`	Obligatoire si vous souhaitez chiffrer l’objet copié à l’aide d’une clé AWS KMS gérée par le client et le placer dans le compartiment de destination.
	(Obligatoire sous condition) `s3:PutObjectRetention`	Obligatoire si vous souhaitez définir une configuration de rétention du verrouillage d’objet au nouvel objet.
	(Obligatoire sous condition) `s3:PutObjectLegalHold`	Obligatoire si vous souhaitez appliquer une conservation légale du verrouillage d’objet au niveau du nouvel objet.
CreateMultipartUpload	(Obligatoire) `s3:PutObject`	Obligatoire pour créer un chargement partitionné.
	(Obligatoire sous condition) `s3:PutObjectAcl`	Obligatoire si vous souhaitez définir les autorisations d’une liste de contrôle d’accès (ACL) pour l’objet chargé.
	(Obligatoire sous condition) `s3:PutObjectTagging`	Obligatoire si vous souhaitez ajouter des balises à l’objet chargé.
	(Obligatoire sous condition) `kms:GenerateDataKey`	Obligatoire si vous souhaitez utiliser une clé AWS KMS gérée par le client pour chiffrer un objet lorsque vous lancez un chargement partitionné.
	(Obligatoire sous condition) `s3:PutObjectRetention`	Obligatoire si vous souhaitez définir une configuration de rétention du verrouillage d’objet pour l’objet chargé.
	(Obligatoire sous condition) `s3:PutObjectLegalHold`	Obligatoire si vous souhaitez appliquer une conservation légale du verrouillage d’objet à l’objet chargé.
DeleteObject	(Obligatoire) `s3:DeleteObject` ou `s3:DeleteObjectVersion`	`s3:DeleteObject` : obligatoire si vous souhaitez supprimer un objet sans spécifier `versionId` dans la demande. `s3:DeleteObjectVersion` : obligatoire si vous souhaitez supprimer une version spécifique d’un objet en spécifiant `versionId` dans la demande.
	(Obligatoire sous condition) `s3:BypassGovernanceRetention`	Obligatoire si vous souhaitez supprimer un objet protégé par le mode de gouvernance pour la rétention du verrouillage d’objet.
DeleteObjects	(Obligatoire) `s3:DeleteObject` ou `s3:DeleteObjectVersion`	`s3:DeleteObject` : obligatoire si vous souhaitez supprimer un objet sans spécifier `versionId` dans la demande. `s3:DeleteObjectVersion` : obligatoire si vous souhaitez supprimer une version spécifique d’un objet en spécifiant `versionId` dans la demande.
	(Obligatoire sous condition) `s3:BypassGovernanceRetention`	Obligatoire si vous souhaitez supprimer des objets protégés par le mode de gouvernance pour la rétention du verrouillage d’objet.
DeleteObjectTagging	(Obligatoire) `s3:DeleteObjectTagging` ou `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging` : obligatoire si vous souhaitez supprimer l’ensemble de balises complet d’un objet sans spécifier `versionId` dans la demande. `s3:DeleteObjectVersionTagging` : obligatoire si vous souhaitez supprimer les balises d’une version d’objet spécifique en spécifiant `versionId` dans la demande.
GetObject	(Obligatoire) `s3:GetObject` ou `s3:GetObjectVersion`	`s3:GetObject` : obligatoire si vous souhaitez obtenir un objet sans spécifier `versionId` dans la demande. `s3:GetObjectVersion` : obligatoire si vous souhaitez obtenir une version spécifique d’un objet en spécifiant `versionId` dans la demande.
	(Obligatoire sous condition) `kms:Decrypt`	Obligatoire si vous souhaitez obtenir et déchiffrer un objet chiffré à l’aide d’une clé AWS KMS gérée par le client.
	(Obligatoire sous condition) `s3:GetObjectTagging`	Obligatoire si vous souhaitez obtenir l’ensemble de balises d’un objet lorsque vous effectuez une demande `GetObject`.
	(Obligatoire sous condition) `s3:GetObjectLegalHold`	Obligatoire si vous souhaitez obtenir le statut actuel de la conservation légale du verrouillage d’un objet.
	(Obligatoire sous condition) `s3:GetObjectRetention`	Obligatoire si vous souhaitez récupérer les paramètres de rétention du verrouillage d’un objet.
GetObjectAcl	(Obligatoire) `s3:GetObjectAcl` ou `s3:GetObjectVersionAcl`	`s3:GetObjectAcl` : obligatoire si vous souhaitez obtenir la liste de contrôle d’accès (ACL) d’un objet sans spécifier `versionId` dans la demande. `s3:GetObjectVersionAcl` : obligatoire si vous souhaitez obtenir la liste de contrôle d’accès (ACL) d’un objet en spécifiant `versionId` dans la demande.
GetObjectAttributes	(Obligatoire) `s3:GetObject` ou `s3:GetObjectVersion`	`s3:GetObject` : obligatoire si vous souhaitez récupérer les attributs associés à un objet sans spécifier `versionId` dans la demande. `s3:GetObjectVersion` : obligatoire si vous souhaitez récupérer les attributs liés à une version d’objet spécifique en spécifiant `versionId` dans la demande.
	(Obligatoire sous condition) `kms:Decrypt`	Obligatoire si vous souhaitez récupérer les attributs associés à un objet chiffré à l’aide d’une clé AWS KMS gérée par le client.
GetObjectLegalHold	(Obligatoire) `s3:GetObjectLegalHold`	Obligatoire pour obtenir le statut actuel de la conservation légale du verrouillage d’un objet.
GetObjectRetention	(Obligatoire) `s3:GetObjectRetention`	Obligatoire pour récupérer les paramètres de rétention du verrouillage d’un objet.
GetObjectTagging	(Obligatoire) `s3:GetObjectTagging` ou `s3:GetObjectVersionTagging`	`s3:GetObjectTagging` : obligatoire si vous souhaitez obtenir l’ensemble de balises d’un objet sans spécifier `versionId` dans la demande. `s3:GetObjectVersionTagging` : obligatoire si vous souhaitez obtenir les balises d’une version d’objet spécifique en spécifiant `versionId` dans la demande.
GetObjectTorrent	(Obligatoire) `s3:GetObject`	Obligatoire pour renvoyer les fichiers torrent d’un objet.
HeadObject	(Obligatoire) `s3:GetObject`	Obligatoire pour récupérer les métadonnées d’un objet sans renvoyer l’objet lui-même.
	(Obligatoire sous condition) `s3:GetObjectLegalHold`	Obligatoire si vous souhaitez obtenir le statut actuel de la conservation légale du verrouillage d’un objet.
	(Obligatoire sous condition) `s3:GetObjectRetention`	Obligatoire si vous souhaitez récupérer les paramètres de rétention du verrouillage d’un objet.
ListMultipartUploads	(Obligatoire) `s3:ListBucketMultipartUploads`	Obligatoire pour répertorier les chargements partitionnés en cours dans un compartiment.
ListParts	(Obligatoire) `s3:ListMultipartUploadParts`	Obligatoire pour répertorier les parties qui ont été chargées au cours d’un chargement partitionné spécifique.
	(Obligatoire sous condition) `kms:Decrypt`	Obligatoire si vous souhaitez répertorier les parties d’un chargement partitionné chiffré à l’aide d’une clé AWS KMS gérée par le client.
PutObject	(Obligatoire) `s3:PutObject`	Obligatoire pour placer un objet.
	(Obligatoire sous condition) `s3:PutObjectAcl`	Obligatoire si vous souhaitez placer la liste de contrôle d’accès (ACL) d’un objet lorsque vous effectuez une demande `PutObject`.
	(Obligatoire sous condition) `s3:PutObjectTagging`	Obligatoire si vous souhaitez placer le balisage d’un objet lorsque vous effectuez une demande `PutObject`.
	(Obligatoire sous condition) `kms:GenerateDataKey`	Obligatoire si vous souhaitez chiffrer un objet à l’aide d’une clé AWS KMS gérée par le client.
	(Obligatoire sous condition) `s3:PutObjectRetention`	Obligatoire si vous souhaitez définir une configuration de rétention du verrouillage d’objet au niveau d’un objet.
	(Obligatoire sous condition) `s3:PutObjectLegalHold`	Obligatoire si vous souhaitez appliquer une configuration de conservation légale du verrouillage d’objet à un objet spécifié.
PutObjectAcl	(Obligatoire) `s3:PutObjectAcl` ou `s3:PutObjectVersionAcl`	`s3:PutObjectAcl` : obligatoire si vous souhaitez définir les autorisations de liste de contrôle d’accès (ACL) pour un objet nouveau ou existant sans spécifier `versionId` dans la demande. `s3:PutObjectVersionAcl` : obligatoire si vous souhaitez définir les autorisations de liste de contrôle d’accès (ACL) pour un objet nouveau ou existant en spécifiant `versionId` dans la demande.
PutObjectLegalHold	(Obligatoire) `s3:PutObjectLegalHold`	Obligatoire pour appliquer une configuration de la conservation légale du verrouillage d’objet à un objet.
PutObjectRetention	(Obligatoire) `s3:PutObjectRetention`	Obligatoire pour appliquer une configuration de rétention du verrouillage d’objet à un objet.
	(Obligatoire sous condition) `s3:BypassGovernanceRetention`	Obligatoire si vous souhaitez contourner le mode de gouvernance d’une configuration de rétention du verrouillage d’objet.
PutObjectTagging	(Obligatoire) `s3:PutObjectTagging` ou `s3:PutObjectVersionTagging`	`s3:PutObjectTagging` : obligatoire si vous souhaitez définir l’ensemble de balises fourni pour un objet qui existe déjà dans un compartiment sans spécifier `versionId` dans la demande. `s3:PutObjectVersionTagging` : obligatoire si vous souhaitez définir l’ensemble de balises fourni pour un objet qui existe déjà dans un compartiment en spécifiant `versionId` dans la demande.
RestoreObject	(Obligatoire) `s3:RestoreObject`	Obligatoire pour restaurer une copie d’un objet archivé.
SelectObjectContent	(Obligatoire) `s3:GetObject`	Obligatoire pour filtrer le contenu d’un objet S3 en fonction d’une instruction SQL (Structured Query Language) simple.
	(Obligatoire sous condition) `kms:Decrypt`	Obligatoire si vous souhaitez filtrer le contenu d’un objet S3 chiffré à l’aide d’une clé AWS KMS gérée par le client.
UploadPart	(Obligatoire) `s3:PutObject`	Obligatoire pour charger une partie d’un chargement partitionné.
	(Obligatoire sous condition) `kms:GenerateDataKey`	Obligatoire si vous souhaitez placer une partie du chargement et la chiffrer à l’aide d’une clé AWS KMS gérée par le client.
UploadPartCopy	Pour l’objet source :	Pour l’objet source :
	(Obligatoire) `s3:GetObject` ou `s3:GetObjectVersion`	`s3:GetObject` : obligatoire si vous souhaitez copier un objet depuis le compartiment source sans spécifier `versionId` dans la demande. `s3:GetObjectVersion` : obligatoire si vous souhaitez copier une version spécifique d’un objet depuis le compartiment source en spécifiant `versionId` dans la demande.
	(Obligatoire sous condition) `kms:Decrypt`	Obligatoire si vous souhaitez copier un objet chiffré à l’aide d’une clé AWS KMS gérée par le client depuis le compartiment source.
	Pour la partie de destination :	Pour la partie de destination :
	(Obligatoire) `s3:PutObject`	Obligatoire pour charger une partie du chargement partitionné dans le compartiment de destination.
	(Obligatoire sous condition) `kms:GenerateDataKey`	Obligatoire si vous souhaitez chiffrer une partie à l’aide d’une clé AWS KMS gérée par le client lorsque vous la chargez dans le compartiment de destination.

Les opérations de point d’accès sont des opérations d’API S3 qui agissent sur le type de ressource accesspoint. Vous devez spécifier les actions de politique S3 pour les opérations de point d’accès dans les politiques basées sur l’identité IAM, et non dans les stratégies de compartiment ou les stratégies de point d’accès.

Dans les politiques, l’élément Resource doit être l’ARN d’accesspoint. Pour obtenir plus d’informations sur le format des éléments Resource et pour voir des exemples de politiques, consultez Opérations des point d’accès de compartiments à usage général.

Note

Si vous souhaitez utiliser des points d’accès pour contrôler l’accès aux opérations de compartiment ou d’objet, notez ce qui suit :

Pour utiliser des points d’accès afin de contrôler l’accès aux opérations de compartiment, consultez Opérations sur les compartiments dans les stratégies de point d’accès des compartiments à usage général.
Pour utiliser des points d’accès afin de contrôler l’accès aux opérations d’objet, consultez Opérations d’objet dans les stratégies de point d’accès.
Pour plus d’informations sur la configuration de stratégies de point d’accès, consultez Configuration des politiques IAM pour l’utilisation des points d’accès.

Vous trouverez ci-dessous le mappage des opérations de point d’accès et des actions de politiques requises.

Opérations d’API	Actions de politique	Description des actions de politique
CreateAccessPoint	(Obligatoire) `s3:CreateAccessPoint`	Obligatoire pour créer un point d’accès associé à un compartiment S3.
DeleteAccessPoint	(Obligatoire) `s3:DeleteAccessPoint`	Obligatoire pour supprimer un point d’accès.
DeleteAccessPointPolicy	(Obligatoire) `s3:DeleteAccessPointPolicy`	Obligatoire pour supprimer une stratégie de point d’accès.
GetAccessPointPolicy	(Obligatoire) `s3:GetAccessPointPolicy`	Obligatoire pour récupérer une stratégie de point d’accès.
GetAccessPointPolicyStatus	(Obligatoire) `s3:GetAccessPointPolicyStatus`	Obligatoire pour récupérer les informations indiquant si le point d’accès spécifié dispose actuellement d’une stratégie autorisant l’accès public.
PutAccessPointPolicy	(Obligatoire) `s3:PutAccessPointPolicy`	Obligatoire pour placer une stratégie de point d’accès.

Les opérations de point d’accès Object Lambda sont des opérations d’API S3 qui agissent sur le type de ressource objectlambdaaccesspoint. Pour plus d’informations sur la configuration de politiques pour les opérations de point d’accès Object Lambda, consultez Configuration des politiques IAM pour les points d’accès Object Lambda.

Vous trouverez ci-dessous le mappage des opérations de point d’accès Object Lambda et des actions de politiques requises.

Opérations d’API	Actions de politique	Description des actions de politique
CreateAccessPointForObjectLambda	(Obligatoire) `s3:CreateAccessPointForObjectLambda`	Obligatoire pour créer un point d’accès Object Lambda.
DeleteAccessPointForObjectLambda	(Obligatoire) `s3:DeleteAccessPointForObjectLambda`	Obligatoire pour supprimer un point d’accès Object Lambda spécifié.
DeleteAccessPointPolicyForObjectLambda	(Obligatoire) `s3:DeleteAccessPointPolicyForObjectLambda`	Obligatoire pour supprimer la stratégie au niveau d’un point d’accès Object Lambda spécifié.
GetAccessPointConfigurationForObjectLambda	(Obligatoire) `s3:GetAccessPointConfigurationForObjectLambda`	Obligatoire pour récupérer la configuration du point d’accès Object Lambda.
GetAccessPointForObjectLambda	(Obligatoire) `s3:GetAccessPointForObjectLambda`	Obligatoire pour récupérer des informations sur le point d’accès Object Lambda.
GetAccessPointPolicyForObjectLambda	(Obligatoire) `s3:GetAccessPointPolicyForObjectLambda`	Obligatoire pour renvoyer la politique de point d’accès associée au point d’accès Object Lambda spécifié.
GetAccessPointPolicyStatusForObjectLambda	(Obligatoire) `s3:GetAccessPointPolicyStatusForObjectLambda`	Obligatoire pour renvoyer le statut d’une politique de point d’accès Object Lambda spécifique.
PutAccessPointConfigurationForObjectLambda	(Obligatoire) `s3:PutAccessPointConfigurationForObjectLambda`	Obligatoire pour définir la configuration du point d’accès Object Lambda.
PutAccessPointPolicyForObjectLambda	(Obligatoire) `s3:PutAccessPointPolicyForObjectLambda`	Obligatoire pour associer une stratégie d’accès à un point d’accès Object Lambda spécifié.

Les opérations de point d’accès multi-régions sont des opérations d’API S3 qui agissent sur le type de ressource multiregionaccesspoint. Pour plus d’informations sur la configuration de stratégies pour les opérations de points d’accès multi-régions, consultez Exemples de politique de point d'accès multi-régions.

Voici le mappage des opérations de point d’accès multi-régions et des actions de politique requises.

Opérations d’API	Actions de politique	Description des actions de politique
CreateMultiRegionAccessPoint	(Obligatoire) `s3:CreateMultiRegionAccessPoint`	Obligatoire pour créer un point d’accès multi-régions et l’associer à des compartiments S3.
DeleteMultiRegionAccessPoint	(Obligatoire) `s3:DeleteMultiRegionAccessPoint`	Obligatoire pour supprimer un point d’accès multi-régions.
DescribeMultiRegionAccessPointOperation	(Obligatoire) `s3:DescribeMultiRegionAccessPointOperation`	Obligatoire pour récupérer le statut d’une demande asynchrone pour gérer un point d’accès multi-régions.
GetMultiRegionAccessPoint	(Obligatoire) `s3:GetMultiRegionAccessPoint`	Obligatoire pour renvoyer des informations de configuration sur le point d’accès multi-régions spécifié.
GetMultiRegionAccessPointPolicy	(Obligatoire) `s3:GetMultiRegionAccessPointPolicy`	Obligatoire pour renvoyer la stratégie de contrôle d’accès du point d’accès multi-régions spécifié.
GetMultiRegionAccessPointPolicyStatus	(Obligatoire) `s3:GetMultiRegionAccessPointPolicyStatus`	Obligatoire pour renvoyer le statut de la stratégie d’un point d’accès multi-régions spécifique, indiquant si le point d’accès multi-régions spécifié dispose d’une stratégie de contrôle d’accès qui autorise l’accès public.
GetMultiRegionAccessPointRoutes	(Obligatoire) `s3:GetMultiRegionAccessPointRoutes`	Obligatoire pour renvoyer la configuration de routage pour un point d’accès multi-régions.
PutMultiRegionAccessPointPolicy	(Obligatoire) `s3:PutMultiRegionAccessPointPolicy`	Obligatoire pour mettre à jour la stratégie de contrôle d’accès du point d’accès multi-régions spécifié.
SubmitMultiRegionAccessPointRoutes	(Obligatoire) `s3:SubmitMultiRegionAccessPointRoutes`	Obligatoire pour soumettre une configuration de routage mise à jour pour un point d’accès multi-régions.

Les opérations relatives aux tâches par lot (Batch Operations) sont des opérations d’API S3 qui agissent sur le type de ressource job. Vous devez spécifier les actions de politique S3 pour les opérations relatives aux tâches par lot dans les politiques basées sur l’identité IAM, et non dans les stratégies de compartiment.

Dans les politiques, l’élément Resource doit être l’ARN d’job. Pour obtenir plus d’informations sur le format des éléments Resource et pour voir des exemples de politiques, consultez Opérations relatives aux tâches par lot.

Vous trouverez ci-dessous le mappage des opérations relatives aux tâches par lot et des actions de politique requises.

Opérations d’API	Actions de politique	Description des actions de politique
DeleteJobTagging	(Obligatoire) `s3:DeleteJobTagging`	Obligatoire pour supprimer des balises d’une tâche S3 Batch Operations existante.
DescribeJob	(Obligatoire) `s3:DescribeJob`	Obligatoire pour récupérer les paramètres de configuration et le statut d’une tâche Batch Operations.
GetJobTagging	(Obligatoire) `s3:GetJobTagging`	Obligatoire pour renvoyer l’ensemble de balises d’une tâche S3 Batch Operations existante.
PutJobTagging	(Obligatoire) `s3:PutJobTagging`	Obligatoire pour placer ou remplacer des balises au niveau d’une tâche S3 Batch Operations existante.
UpdateJobPriority	(Obligatoire) `s3:UpdateJobPriority`	Obligatoire pour mettre à jour la priorité d’une tâche existante.
UpdateJobStatus	(Obligatoire) `s3:UpdateJobStatus`	Obligatoire pour mettre à jour le statut de la tâche spécifiée.

Les opérations de configuration S3 Storage Lens sont des opérations d’API S3 qui agissent sur le type de ressource storagelensconfiguration. Pour plus d’informations sur les opérations de configuration S3 Storage Lens, consultez Définition d’autorisations Amazon S3 Storage Lens.

Vous trouverez ci-dessous le mappage des opérations de configuration S3 Storage Lens et des actions de politique requises.

Opérations d’API	Actions de politique	Description des actions de politique
DeleteStorageLensConfiguration	(Obligatoire) `s3:DeleteStorageLensConfiguration`	Obligatoire pour supprimer la configuration S3 Storage Lens.
DeleteStorageLensConfigurationTagging	(Obligatoire) `s3:DeleteStorageLensConfigurationTagging`	Obligatoire pour supprimer les balises de configuration S3 Storage Lens.
GetStorageLensConfiguration	(Obligatoire) `s3:GetStorageLensConfiguration`	Obligatoire pour obtenir la configuration S3 Storage Lens.
GetStorageLensConfigurationTagging	(Obligatoire) `s3:GetStorageLensConfigurationTagging`	Obligatoire pour obtenir les balises de configuration S3 Storage Lens.
PutStorageLensConfigurationTagging	(Obligatoire) `s3:PutStorageLensConfigurationTagging`	Obligatoire pour placer ou remplacer des balises au niveau d’une configuration Amazon S3 Storage Lens existante.

Les opérations des groupes S3 Storage Lens sont des opérations d’API S3 qui agissent sur le type de ressource storagelensgroup. Pour plus d’informations sur la configuration de S3 Storage Lens, consultez Autorisations pour les groupes Storage Lens.

Vous trouverez ci-dessous le mappage des opérations des groupes S3 Storage Lens et des actions de politique requises.

Opérations d’API	Actions de politique	Description des actions de politique
DeleteStorageLensGroup	(Obligatoire) `s3:DeleteStorageLensGroup`	Obligatoire pour supprimer un groupe S3 Storage Lens existant.
GetStorageLensGroup	(Obligatoire) `s3:GetStorageLensGroup`	Obligatoire pour récupérer les détails de configuration d’un groupe S3 Storage Lens.
UpdateStorageLensGroup	(Obligatoire) `s3:UpdateStorageLensGroup`	Obligatoire pour mettre à jour le groupe S3 Storage Lens existant.
CreateStorageLensGroup	(Obligatoire) `s3:CreateStorageLensGroup`	Obligatoire pour créer un groupe Storage Lens.
CreateStorageLensGroup, TagResource	(Obligatoire) `s3:CreateStorageLensGroup`, `s3:TagResource`	Obligatoire pour créer un groupe Storage Lens avec des balises.
ListStorageLensGroups	(Obligatoire) `s3:ListStorageLensGroups`	Obligatoire pour répertorier tous les groupes Storage Lens de votre région d’origine.
ListTagsForResource	(Obligatoire) `s3:ListTagsForResource`	Obligatoire pour répertorier les balises qui ont été ajoutées à votre groupe Storage Lens.
TagResource	(Obligatoire) `s3:TagResource`	Obligatoire pour ajouter ou mettre à jour une balise d’un groupe Storage Lens existant.
UntagResource	(Obligatoire) `s3:UntagResource`	Obligatoire pour supprimer une balise d’un groupe Storage Lens.

Les opérations des instances S3 Access Grants sont des opérations d’API S3 qui agissent sur le type de ressource accessgrantsinstance. Une instance S3 Access Grants est le conteneur logique de vos autorisations d’accès. Pour plus d’informations sur l’utilisation des instances Amazon S3 Access Grants, consultez Utilisation de S3 Access Grants.

Vous trouverez ci-dessous le mappage des opérations de configuration des instances Amazon S3 Access Grants et des actions de stratégie requises.

Opérations d’API	Actions de politique	Description des actions de politique
AssociateAccessGrantsIdentityCenter	(Obligatoire) `s3:AssociateAccessGrantsIdentityCenter`	Obligatoire pour associer une instance AWS IAM Identity Center à votre instance S3 Access Grants, et ainsi créer des autorisations d’accès pour les utilisateurs et les groupes de votre répertoire d’identités d’entreprise. Vous devez également posséder les autorisations suivantes : `sso:CreateApplication`, `sso:PutApplicationGrant`, et `sso:PutApplicationAuthenticationMethod`.
CreateAccessGrantsInstance	(Obligatoire) `s3:CreateAccessGrantsInstance`	Obligatoire pour créer une instance S3 Access Grants (ressource `accessgrantsinstance`) qui est le conteneur de vos autorisations d’accès individuelles. Pour associer une instance AWS IAM Identity Center à votre instance S3 Access Grants, vous devez également disposer des autorisations `sso:DescribeInstance`, `sso:CreateApplication`, `sso:PutApplicationGrant` et `sso:PutApplicationAuthenticationMethod`.
DeleteAccessGrantsInstance	(Obligatoire) `s3:DeleteAccessGrantsInstance`	Obligatoire pour supprimer une instance S3 Access Grants (ressource `accessgrantsinstance`) d’une Région AWS de votre compte.
DeleteAccessGrantsInstanceResourcePolicy	(Obligatoire) `s3:DeleteAccessGrantsInstanceResourcePolicy`	Obligatoire pour supprimer une stratégie de ressources de votre instance S3 Access Grants.
DissociateAccessGrantsIdentityCenter	(Obligatoire) `s3:DissociateAccessGrantsIdentityCenter`	Obligatoire pour dissocier une instance AWS IAM Identity Center de votre instance S3 Access Grants. Vous devez également posséder les autorisations suivantes : `sso:DeleteApplication`
GetAccessGrantsInstance	(Obligatoire) `s3:GetAccessGrantsInstance`	Obligatoire pour récupérer l’instance S3 Access Grants d’une Région AWS dans votre compte.
GetAccessGrantsInstanceForPrefix	(Obligatoire) `s3:GetAccessGrantsInstanceForPrefix`	Obligatoire pour récupérer l’instance S3 Access Grants qui contient un préfixe particulier.
GetAccessGrantsInstanceResourcePolicy	(Obligatoire) `s3:GetAccessGrantsInstanceResourcePolicy`	Obligatoire pour renvoyer la stratégie de ressources de votre instance S3 Access Grants.
ListAccessGrantsInstances	(Obligatoire) `s3:ListAccessGrantsInstances`	Obligatoire pour renvoyer la liste des instances S3 Access Grants de votre compte.
PutAccessGrantsInstanceResourcePolicy	(Obligatoire) `s3:PutAccessGrantsInstanceResourcePolicy`	Obligatoire pour ajouter ou mettre à jour la stratégie de ressources d’une instance S3 Access Grants.

Les opérations sur les emplacements S3 Access Grants sont des opérations d’API S3 qui agissent sur le type de ressource accessgrantslocation. Pour plus d’informations sur l’utilisation des emplacements S3 Access Grants, consultez Utilisation des emplacements S3 Access Grants.

Vous trouverez ci-dessous le mappage des opérations de configuration des emplacements S3 Access Grants et des actions de stratégie requises.

Opérations d’API	Actions de politique	Description des actions de politique
CreateAccessGrantsLocation	(Obligatoire) `s3:CreateAccessGrantsLocation`	Obligatoire pour enregistrer un emplacement de votre instance S3 Access Grants (créer une ressource `accessgrantslocation`). Vous devez également posséder l’autorisation suivante pour le rôle IAM spécifié : `iam:PassRole`
DeleteAccessGrantsLocation	(Obligatoire) `s3:DeleteAccessGrantsLocation`	Obligatoire pour supprimer un emplacement enregistré de votre instance S3 Access Grants.
GetAccessGrantsLocation	(Obligatoire) `s3:GetAccessGrantsLocation`	Obligatoire pour récupérer les détails d’un emplacement spécifique enregistré dans votre instance S3 Access Grants.
ListAccessGrantsLocations	(Obligatoire) `s3:ListAccessGrantsLocations`	Obligatoire pour renvoyer la liste des emplacements enregistrés dans votre instance S3 Access Grants.
UpdateAccessGrantsLocation	(Obligatoire) `s3:UpdateAccessGrantsLocation`	Obligatoire pour mettre à jour le rôle IAM d’un emplacement enregistré dans votre instance S3 Access Grants.

Les opérations sur les autorisations S3 Access Grants sont des opérations d’API S3 qui agissent sur le type de ressource accessgrant. Pour plus d’informations sur l’utilisation d’autorisations avec S3 Access Grants, consultez Octroi d’autorisations avec S3 Access Grants.

Vous trouverez ci-dessous le mappage des opérations de configuration des autorisations S3 Access Grants et des actions de stratégie requises.

Opérations d’API	Actions de politique	Description des actions de politique
CreateAccessGrant	(Obligatoire) `s3:CreateAccessGrant`	Obligatoire pour créer une autorisation (ressource `accessgrant`) pour un utilisateur ou un groupe de votre instance S3 Access Grants. Vous devez également posséder les autorisations suivantes : Pour toute identité du répertoire : `sso:DescribeInstance` et `sso:DescribeApplication` Pour les utilisateurs du répertoire : `identitystore:DescribeUser`
DeleteAccessGrant	(Obligatoire) `s3:DeleteAccessGrant`	Obligatoire pour supprimer une autorisation d’accès (ressource `accessgrant`) de votre instance S3 Access Grants.
GetAccessGrant	(Obligatoire) `s3:GetAccessGrant`	Obligatoire pour obtenir les détails d’une autorisation d’accès de votre instance S3 Access Grants.
ListAccessGrants	(Obligatoire) `s3:ListAccessGrants`	Obligatoire pour renvoyer la liste des autorisations d’accès de votre instance S3 Access Grants.
ListCallerAccessGrants	(Obligatoire) `s3:ListCallerAccessGrants`	Obligatoire pour répertorier les autorisations permettant à l’appelant d’accéder aux données Amazon S3 via S3 Access Grants.

Les opérations de compte sont des opérations d’API S3 qui agissent au niveau du compte. Le compte n’est pas un type de ressource défini par Amazon S3. Vous devez spécifier les actions de politique S3 pour les opérations de compte dans les politiques basées sur l’identité IAM, et non dans les stratégies de compartiment.

Dans les politiques, l’élément Resource doit être "*". Pour plus d’informations sur les exemples de politiques, consultez Opérations de compte.

Vous trouverez ci-dessous le mappage des opérations de compte et des actions de politique requises.

Opérations d’API	Actions de politique	Description des actions de politique
CreateJob	(Obligatoire) `s3:CreateJob`	Obligatoire pour créer une tâche S3 Batch Operations.
CreateStorageLensGroup	(Obligatoire) `s3:CreateStorageLensGroup`	Obligatoire pour créer un groupe S3 Storage Lens et pour l’associer à l’ID du Compte AWS spécifié.
	(Obligatoire sous condition) `s3:TagResource`	Obligatoire si vous souhaitez créer un groupe S3 Storage Lens avec des balises de ressources AWS.
DeletePublicAccessBlock (au niveau du compte)	(Obligatoire) `s3:PutAccountPublicAccessBlock`	Obligatoire pour supprimer la configuration du blocage de l’accès public d’un Compte AWS.
GetAccessPoint	(Obligatoire) `s3:GetAccessPoint`	Obligatoire pour récupérer des informations de configuration sur le point d’accès.
GetAccessPointPolicy (au niveau du compte)	(Obligatoire) `s3:GetAccountPublicAccessBlock`	Obligatoire pour récupérer la configuration du blocage de l’accès public pour un Compte AWS.
ListAccessPoints	(Obligatoire) `s3:ListAccessPoints`	Obligatoire pour répertorier les points d’accès d’un compartiment S3 appartenant à un Compte AWS.
ListAccessPointsForObjectLambda	(Obligatoire) `s3:ListAccessPointsForObjectLambda`	Obligatoire pour répertorier les points d’accès Object Lambda.
ListBuckets	(Obligatoire) `s3:ListAllMyBuckets`	Obligatoire pour renvoyer une liste de tous les compartiments appartenant à l’expéditeur authentifié de la demande.
ListJobs	(Obligatoire) `s3:ListJobs`	Obligatoire pour répertorier les tâches en cours et les tâches qui se sont terminées récemment.
ListMultiRegionAccessPoints	(Obligatoire) `s3:ListMultiRegionAccessPoints`	Obligatoire pour renvoyer une liste des points d’accès multi-régions actuellement associés au Compte AWS spécifié.
ListStorageLensConfigurations	(Obligatoire) `s3:ListStorageLensConfigurations`	Obligatoire pour obtenir la liste des configurations de S3 Storage Lens pour un Compte AWS.
ListStorageLensGroups	(Obligatoire) `s3:ListStorageLensGroups`	Obligatoire pour répertorier tous les groupes S3 Storage Lens dans la Région AWS d’origine.
PutPublicAccessBlock (au niveau du compte)	(Obligatoire) `s3:PutAccountPublicAccessBlock`	Obligatoire pour créer ou modifier la configuration du blocage de l’accès public pour un Compte AWS.
PutStorageLensConfiguration	(Obligatoire) `s3:PutStorageLensConfiguration`	Obligatoire pour placer une configuration S3 Storage Lens.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Pour une opération sur les objets

Politiques et autorisations