Amazon S3 Express のアクション、リソース、および条件キー

Amazon S3 Express (サービスプレフィックス: s3express) では、IAM アクセス許可ポリシーで使用できるように、以下のサービス固有のリソース、アクション、および条件コンテキストキーが用意されています。

リファレンス:

このサービスを設定する方法について説明します。
このサービスで使用可能な API オペレーションのリストを表示します。
IAM アクセス許可ポリシーを使用して、このサービスとそのリソースを保護する方法を学びます。

トピック

Amazon S3 Express で定義されるアクション
Amazon S3 Express で定義されるリソースタイプ
Amazon S3 Express の条件キー

Amazon S3 Express で定義されるアクション

IAM ポリシーステートメントの Action エレメントでは、以下のアクションを指定できます。ポリシーを使用して、 AWSでオペレーションを実行するアクセス許可を付与します。ポリシーでアクションを使用する場合は、通常、同じ名前の API オペレーションまたは CLI コマンドへのアクセスを許可または拒否します。ただし、場合によっては、1 つのアクションによって複数のオペレーションへのアクセスが制御されます。あるいは、いくつかのオペレーションはいくつかの異なるアクションを必要とします。

Actions テーブルのアクセスレベル列は、アクションの分類方法 (List、Read、Permissions Management、Tagging) を示しています。このように分類することで、ポリシーで使用する際にアクションで付与するアクセスレベルを理解しやすくなります。アクセスレベルの詳細については、ポリシー概要の「アクセスレベル」を参照してください。

[アクション] テーブルの [リソースタイプ] 列は、各アクションがリソースレベルの許可をサポートしているかどうかを示します。この列に値がない場合は、ポリシーステートメントの Resource 要素で、ポリシーが適用されるすべてのリソース (「*」) を指定する必要があります。列にリソースタイプが含まれる場合、そのアクションを含むステートメントでそのタイプの ARN を指定できます。アクションで 1 つ以上のリソースが必須となっている場合、呼び出し元には、それらのリソースを伴うアクションを使用するための許可が付与されている必要があります。必須リソースは、アスタリスク (*) でテーブルに示されています。IAM ポリシーの Resource 要素でリソースアクセスを制限する場合は、必要なリソースタイプごとに ARN またはパターンを含める必要があります。一部のアクションでは、複数のリソースタイプがサポートされています。リソースタイプがオプション (必須として示されていない) の場合、オプションのリソースタイプのいずれかを使用することを選択できます。

[アクション] テーブルの [条件キー] 列には、ポリシーステートメントの Condition 要素で指定できるキーが含まれます。サービスのリソースに関連付けられている条件キーの詳細については、[リソースタイプ] テーブルの [条件キー] 列を参照してください。

注記

リソース条件キーは、リソースタイプテーブルに一覧表示されています。アクションに適用されるリソースタイプへのリンクは、[アクション] テーブルの [リソースタイプ (* 必須)] 列にあります。[リソースタイプ] テーブルのリソースタイプには、[アクション] テーブルのアクションに適用されるリソース条件キーである、[条件キー] 列が含まれています。

以下の表の列の詳細については、「アクションテーブル」を参照してください。

アクション	説明	アクセスレベル	リソースタイプ (* 必須)	条件キー
CreateAccessPoint	新しいアクセスポイントを作成するアクセス許可を付与します	Write	accesspoint*
CreateAccessPoint	新しいアクセスポイントを作成するアクセス許可を付与します	Write		s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:LocationName s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
CreateBucket	新しいバケットを作成するアクセス許可を付与します	書き込み	bucket*
CreateBucket	新しいバケットを作成するアクセス許可を付与します	書き込み		s3express:authType s3express:LocationName s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256 aws:RequestTag/${TagKey} aws:TagKeys
CreateSession	PutObject、GetObject などのオブジェクト APIs に使用されるセッショントークンを作成するアクセス許可を付与します	書き込み	bucket*
			accesspoint	s3express:Permissions
				s3express:authType s3express:ResourceAccount s3express:SessionMode s3express:signatureAge s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256 s3express:x-amz-server-side-encryption s3express:x-amz-server-side-encryption-aws-kms-key-id s3express:AllAccessRestrictedToLocalZoneGroup s3express:Permissions
DeleteAccessPoint	URI で指定されたアクセスポイントを削除するアクセス許可を付与します	Write	accesspoint*
DeleteAccessPoint	URI で指定されたアクセスポイントを削除するアクセス許可を付与します	Write		s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
DeleteAccessPointPolicy	指定したアクセスポイントでポリシーを削除するアクセス許可を付与します	権限の管理	accesspoint*
DeleteAccessPointPolicy	指定したアクセスポイントでポリシーを削除するアクセス許可を付与します	権限の管理		s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
DeleteAccessPointScope	指定されたアクセスポイントのスコープ設定を削除するアクセス許可を付与します	権限の管理	accesspoint*
DeleteAccessPointScope	指定されたアクセスポイントのスコープ設定を削除するアクセス許可を付与します	権限の管理		s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
DeleteBucket	URI で指定されたバケットを削除するアクセス許可を付与します	Write	bucket*
DeleteBucket	URI で指定されたバケットを削除するアクセス許可を付与します	Write		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
DeleteBucketPolicy	指定したバケットのポリシーを削除するアクセス許可を付与	権限の管理	bucket*
DeleteBucketPolicy	指定したバケットのポリシーを削除するアクセス許可を付与	権限の管理		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
GetAccessPoint	指定したアクセスポイントに関する設定情報を返すアクセス許可を付与します	読み取り	accesspoint*
GetAccessPoint	指定したアクセスポイントに関する設定情報を返すアクセス許可を付与します	読み取り		s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
GetAccessPointPolicy	指定されたアクセスポイントに関連付けられたアクセスポイントポリシーを返すアクセス許可を付与します	読み取り	accesspoint*
GetAccessPointPolicy	指定されたアクセスポイントに関連付けられたアクセスポイントポリシーを返すアクセス許可を付与します	読み取り		s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
GetAccessPointScope	指定されたアクセスポイントに関連付けられたスコープ設定を返すアクセス許可を付与します	読み取り	accesspoint*
GetAccessPointScope	指定されたアクセスポイントに関連付けられたスコープ設定を返すアクセス許可を付与します	読み取り		s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
GetBucketPolicy	指定したバケットのポリシーを返すアクセス許可を付与します	読み取り	bucket*
GetBucketPolicy	指定したバケットのポリシーを返すアクセス許可を付与します	読み取り		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
GetEncryptionConfiguration	ディレクトリバケットにデフォルトの暗号化設定を返す許可を付与する	読み取り	bucket*
GetEncryptionConfiguration	ディレクトリバケットにデフォルトの暗号化設定を返す許可を付与する	読み取り		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
GetLifecycleConfiguration	ディレクトリバケットに設定されたライフサイクル設定情報を返すアクセス許可を付与します	読み取り	bucket*
GetLifecycleConfiguration	ディレクトリバケットに設定されたライフサイクル設定情報を返すアクセス許可を付与します	読み取り		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
ListAccessPointsForDirectoryBuckets	アクセスポイントを一覧表示する許可を付与	リスト		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
ListAllMyDirectoryBuckets	リクエストの認証された送信者が所有するすべてのディレクトリバケットを一覧表示するためのアクセス許可を付与	リスト		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
ListTagsForResource	指定されたリソースのすべてのタグを一覧表示するアクセス許可を付与します	リスト	bucket*
ListTagsForResource	指定されたリソースのすべてのタグを一覧表示するアクセス許可を付与します	リスト		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
PutAccessPointPolicy	アクセスポリシーを指定されたアクセスポイントに関連付けるアクセス許可を付与します	権限の管理	accesspoint*
PutAccessPointPolicy	アクセスポリシーを指定されたアクセスポイントに関連付けるアクセス許可を付与します	権限の管理		s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
PutAccessPointScope	アクセスポイントを指定されたアクセスポイントスコープ設定に関連付けるアクセス許可を付与します	権限の管理	accesspoint*
PutAccessPointScope	アクセスポイントを指定されたアクセスポイントスコープ設定に関連付けるアクセス許可を付与します	権限の管理		s3express:DataAccessPointAccount s3express:DataAccessPointArn s3express:AccessPointNetworkOrigin s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
PutBucketPolicy	バケットのバケットポリシーを追加または置き換えるアクセス許可を付与します	権限の管理	bucket*
PutBucketPolicy	バケットのバケットポリシーを追加または置き換えるアクセス許可を付与します	権限の管理		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
PutEncryptionConfiguration	ディレクトリバケットの暗号化設定を設定するアクセス許可を付与します	書き込み	bucket*
PutEncryptionConfiguration	ディレクトリバケットの暗号化設定を設定するアクセス許可を付与します	書き込み		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
PutLifecycleConfiguration	ディレクトリバケットの新しいライフサイクル設定を作成するか、既存のライフサイクル設定を置き換えるアクセス許可を付与します	書き込み	bucket*
PutLifecycleConfiguration		書き込み		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256
TagResource	新しいユーザー定義タグを作成したり、既存のタグを更新したりするアクセス許可を付与します	Tagging	bucket*
TagResource	新しいユーザー定義タグを作成したり、既存のタグを更新したりするアクセス許可を付与します	Tagging		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256 aws:RequestTag/${TagKey} aws:TagKeys
UntagResource	S3 リソースから指定されたユーザー定義タグを削除するアクセス許可を付与します	Tagging	bucket*
UntagResource	S3 リソースから指定されたユーザー定義タグを削除するアクセス許可を付与します	Tagging		s3express:authType s3express:ResourceAccount s3express:signatureversion s3express:TlsVersion s3express:x-amz-content-sha256 aws:TagKeys

Amazon S3 Express で定義されるリソースタイプ

以下のリソースタイプは、このサービスによって定義され、IAM アクセス許可ポリシーステートメントの Resource エレメントで使用できます。アクションテーブルの各アクションは、そのアクションで指定できるリソースタイプを示しています。リソースタイプは、ポリシーに含めることができる条件キーを定義することもできます。これらのキーは、[リソースタイプ] テーブルの最後の列に表示されます。以下の表の列の詳細については、「リソースタイプテーブル」を参照してください。

リソースタイプ ARN 条件キー

リソースタイプ	ARN	条件キー
bucket	`arn:${Partition}:s3express:${Region}:${Account}:bucket/${BucketName}`	aws:ResourceTag/${TagKey} s3express:BucketTag/${TagKey}
accesspoint	`arn:${Partition}:s3express:${Region}:${Account}:accesspoint/${AccessPointName}`

bucket

arn:${Partition}:s3express:${Region}:${Account}:bucket/${BucketName}

aws:ResourceTag/${TagKey}

s3express:BucketTag/${TagKey}

accesspoint arn:${Partition}:s3express:${Region}:${Account}:accesspoint/${AccessPointName}

Amazon S3 Express の条件キー

Amazon S3 Express は、IAM ポリシーの Condition 要素で使用できる以下の条件キーを定義します。これらのキーを使用して、ポリシーステートメントが適用される条件をさらに絞り込むことができます。以下の表の列の詳細については、「条件キーテーブル」を参照してください。

すべてのサービスで使用できるグローバル条件キーを表示するには、AWS 「グローバル条件コンテキストキー」を参照してください。

条件キー	説明	タイプ
aws:RequestTag/${TagKey}	リクエストで渡されたタグでアクセスをフィルタリングします	文字列
aws:ResourceTag/${TagKey}	リソースに関連付けられたタグでアクセスをフィルタリングします	文字列
aws:TagKeys	リクエストで渡されたタグキーでアクセスをフィルタリングします	ArrayOfString
s3express:AccessPointNetworkOrigin	ネットワークオリジン (インターネットまたは VPC) によるアクセスをフィルタリングします	String
s3express:AllAccessRestrictedToLocalZoneGroup	この条件キーで指定された AWS ローカルゾーンネットワーク境界グループ (複数可) でアクセスをフィルタリングします	String
s3express:BucketTag/${TagKey}	バケットにアタッチされたタグキーと値のペアでアクセスをフィルタリングします	String
s3express:DataAccessPointAccount	アクセスポイントを所有する AWS アカウント ID でアクセスをフィルタリングします	String
s3express:DataAccessPointArn	アクセスポイント Amazon リソースネーム (ARN) でアクセスをフィルタリングします	ARN
s3express:LocationName	特定のアベイラビリティーゾーンまたはローカルゾーン ID でアクセスをフィルタリングします	String
s3express:Permissions	GetObject、PutObject などのアクセスポイントスコープ設定によってリクエストされたアクセス許可でアクセスをフィルタリングします	ArrayOfString
s3express:ResourceAccount	リソース所有者 AWS アカウント ID でアクセスをフィルタリングします	String
s3express:SessionMode	CreateSession API でリクエストされたアクセス許可 (ReadOnly、ReadWrite など) でアクセスをフィルタリングします	String
s3express:TlsVersion	クライアントが使用する TLS バージョンでアクセスをフィルタリングします	数値
s3express:authType	認証方式でアクセスをフィルタリングします	文字列
s3express:signatureAge	リクエスト署名の経過時間 (ミリ秒単位) でアクセスをフィルタリングします	数値
s3express:signatureversion	リクエストで使用される AWS 署名バージョンでアクセスをフィルタリングします	String
s3express:x-amz-content-sha256	バケット内の署名されていないコンテンツによりアクセスをフィルタリングします	String
s3express:x-amz-server-side-encryption	サーバー側の暗号化でアクセスをフィルタリングします	String
s3express:x-amz-server-side-encryption-aws-kms-key-id	サーバー側の暗号化用に KMS AWS カスタマーマネージドキーでアクセスをフィルタリングします	ARN

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

Amazon S3

Amazon S3 Glacier