기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon S3에 사용되는 작업, 리소스 및 조건 키
Amazon S3(서비스 접두사: s3)은 IAM 권한 정책에 사용할 수 있는 다음과 같은 서비스별 리소스, 작업 및 조건 컨텍스트 키를 제공합니다.
참조:
-
이 서비스를 구성하는 방법을 알아봅니다.
-
이 서비스에 사용 가능한 API 작업의 목록을 봅니다.
-
IAM 권한 정책을 사용하여 이 서비스와 리소스를 보호하는 방법을 알아봅니다.
Amazon S3에서 정의한 작업
IAM 정책 설명의 Action 요소에서는 다음 작업을 지정할 수 있습니다. 정책을 사용하여 AWS에서 작업할 수 있는 권한을 부여합니다. 정책에서 작업을 사용하면 일반적으로 이름이 같은 API 작업 또는 CLI 명령에 대한 액세스를 허용하거나 거부합니다. 그러나 경우에 따라 하나의 작업으로 둘 이상의 작업에 대한 액세스가 제어됩니다. 또는 일부 작업을 수행하려면 다양한 작업이 필요합니다.
작업 테이블의 액세스 수준 열은 작업이 분류되는 방법(목록, 읽기, 권한 관리 또는 태그 지정)을 설명합니다. 이 분류는 정책에서 사용하는 작업이 부여하는 액세스 레벨을 이해하는 데 도움이 될 수 있습니다. 액세스 수준에 대한 자세한 내용은 정책 요약의 액세스 수준을 참조하세요.
작업 테이블의 리소스 유형 열에는 각 작업이 리소스 수준 권한을 지원하는지 여부가 표시됩니다. 리소스 열에 값이 없으면 정책 문의 Resource 요소에서 정책이 적용되는 모든 리소스("*")를 지정해야 합니다. 리소스 열에 리소스 유형이 포함되어 있으면 해당 작업 시 문에서 해당 유형의 ARN을 지정할 수 있습니다. 작업에 필요한 리소스가 하나 이상 있는 경우, 호출자에게 해당 리소스와 함께 작업을 사용할 수 있는 권한이 있어야 합니다. 필수 리소스는 테이블에서 별표(*)로 표시됩니다. IAM 정책의 Resource 요소로 리소스 액세스를 제한하는 경우, 각 필수 리소스 유형에 대해 ARN 또는 패턴을 포함해야 합니다. 일부 작업은 다수의 리소스 유형을 지원합니다. 리소스 유형이 옵션(필수 리소스로 표시되지 않은 경우)인 경우에는 선택적 리소스 유형 중 하나를 사용하도록 선택할 수 있습니다.
작업 테이블의 조건 키 열에는 정책 설명의 Condition 요소에서 지정할 수 있는 키가 포함됩니다. 서비스의 리소스와 연결된 조건 키에 대한 자세한 내용은 리소스 유형 테이블의 조건 키 열을 참조하세요.
작업 테이블의 종속 작업 열에는 작업을 성공적으로 호출하는 데 필요할 수 있는 추가 권한이 표시됩니다. 작업 자체에 대한 권한 외에 이러한 권한이 필요할 수 있습니다. 작업이 종속 작업을 지정하는 경우 해당 종속성은 테이블에 나열된 첫 번째 리소스뿐만 아니라 해당 작업에 정의된 추가 리소스에도 적용될 수 있습니다.
참고
리소스 조건 키는 리소스 유형 표에 나열되어 있습니다. 작업에 적용되는 리소스 유형에 대한 링크는 리소스 유형(*필수) 작업 표의 열에서 찾을 수 있습니다. 리소스 유형 테이블의 리소스 유형에는 조건 키 열이 포함되고 이는 작업 표의 작업에 적용되는 리소스 조건 키입니다.
다음 테이블의 열에 대한 자세한 내용은 작업 테이블을 참조하세요.
| 작업 | 설명 | 액세스 레벨 | 리소스 유형(*필수) | 조건 키 | 종속 작업 |
|---|---|---|---|---|---|
| AbortMultipartUpload | 멀티파트 업로드를 중단할 수 있는 권한을 부여합니다. | Write | |||
| AssociateAccessGrantsIdentityCenter | Access Grants Identity Center를 연결할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| BypassGovernanceRetention | 거버넌스 모드 객체 보존 설정의 우회를 허용할 수 있는 권한을 부여합니다. | 권한 관리 | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id |
|||||
| CreateAccessGrant | 액세스 권한 부여를 생성할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| CreateAccessGrantsInstance | Access Grants 인스턴스를 생성할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| CreateAccessGrantsLocation | Access Grants 위치를 생성할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| CreateAccessPoint | 새 액세스 포인트를 생성할 수 있는 권한을 부여합니다. | Write | |||
| CreateAccessPointForObjectLambda | 객체 Lambda 지원 액세스 포인트를 만들 수 있는 권한을 부여합니다. | Write | |||
| CreateBucket | 새 버킷을 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateBucketMetadataTableConfiguration | 지정된 범용 버킷에 대한 새 S3 메타데이터 구성을 생성할 수 있는 권한을 부여합니다. | 쓰기 |
kms:DescribeKey s3tables:CreateNamespace s3tables:CreateTable s3tables:CreateTableBucket s3tables:GetTable s3tables:PutTableEncryption s3tables:PutTablePolicy |
||
| CreateJob | 새 Amazon S3 Batch Operations를 생성할 수 있는 권한을 부여합니다. | 쓰기 |
iam:PassRole |
||
| CreateMultiRegionAccessPoint | 새 Multi-Region Access Point를 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| CreateStorageLensGroup | Amazon S3 Storage Lens 그룹을 생성할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteAccessGrant | 액세스 권한 부여를 삭제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| DeleteAccessGrantsInstance | Access Grants 인스턴스를 삭제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| DeleteAccessGrantsInstanceResourcePolicy | Access Grants 인스턴스 리소스 정책을 읽을 수 있는 권한을 부여합니다. | 권한 관리 | |||
| DeleteAccessGrantsLocation | Access Grants 위치를 삭제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| DeleteAccessPoint | URI에 이름이 지정된 액세스 포인트를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteAccessPointForObjectLambda | URI에 이름이 지정된 객체 Lambda 지원 액세스 포인트를 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteAccessPointPolicy | 지정된 액세스 포인트에서 정책을 삭제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| DeleteAccessPointPolicyForObjectLambda | 지정된 객체 Lambda 지원 액세스 포인트에서 정책을 삭제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| DeleteBucket | URI에 이름이 지정된 버킷을 삭제할 권한을 부여합니다. | 쓰기 | |||
| DeleteBucketMetadataTableConfiguration | 지정된 범용 버킷에 대한 S3 메타데이터 구성을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteBucketPolicy | 지정된 버킷에서 정책을 삭제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| DeleteBucketWebsite | 버킷에 대한 웹 사이트 구성을 제거할 수 있는 권한을 부여합니다. | Write | |||
| DeleteJobTagging | 기존 Amazon S3 Batch Operations에서 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| DeleteMultiRegionAccessPoint | URI에 이름이 지정된 Multi-Region Access Point를 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DeleteObject | 객체의 null 버전을 제거하고 객체의 현재 버전이 되는 삭제 마커를 삽입할 수 있는 권한을 부여합니다. | Write | |||
| DeleteObjectTagging | 태깅 하위 리소스를 사용하여 지정된 객체에서 전체 태그 세트를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| DeleteObjectVersion | 특정 버전의 객체를 제거할 수 있는 권한을 부여합니다. | Write | |||
| DeleteObjectVersionTagging | 특정 버전의 객체의 전체 태그 세트를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| DeleteStorageLensConfiguration | 기존 Amazon S3 Storage Lens 구성을 삭제할 수 있는 권한을 부여합니다. | Write | |||
| DeleteStorageLensConfigurationTagging | 기존 Amazon S3 Storage Lens 구성에서 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| DeleteStorageLensGroup | 기존 S3 Storage Lens 그룹을 삭제할 수 있는 권한을 부여합니다. | 쓰기 | |||
| DescribeJob | 배치 작업의 구성 파라미터 및 상태를 검색할 수 있는 권한을 부여합니다. | Read | |||
| DescribeMultiRegionAccessPointOperation | 다중 리전 액세스 포인트에 대한 구성을 검색할 수 있는 권한을 부여합니다. | Read | |||
| DissociateAccessGrantsIdentityCenter | Access Grants Identity Center의 연결을 해제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| GetAccelerateConfiguration | 가속화 하위 리소스를 사용하여 버킷의 Transfer Acceleration 상태(활성 또는 일시 중지됨)를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetAccessGrant | 액세스 권한 부여를 읽을 수 있는 권한을 부여합니다. | Read | |||
| GetAccessGrantsInstance | Access Grants 인스턴스를 읽을 수 있는 권한을 부여합니다. | Read | |||
| GetAccessGrantsInstanceForPrefix | 접두사를 사용하여 Access Grants 인스턴스를 읽을 수 있는 권한을 부여합니다. | Read | |||
| GetAccessGrantsInstanceResourcePolicy | Access Grants 인스턴스 리소스 정책을 읽을 수 있는 권한을 부여합니다. | Read | |||
| GetAccessGrantsLocation | Access Grants 위치를 읽을 수 있는 권한을 부여합니다. | Read | |||
| GetAccessPoint | 지정된 액세스 포인트에 대한 구성 정보를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetAccessPointConfigurationForObjectLambda | 객체 Lambda 지원 액세스 포인트의 구성을 검색할 수 있는 권한을 부여합니다. | Read | |||
| GetAccessPointForObjectLambda | 객체 Lambda 지원 액세스 포인트를 만들 수 있는 권한을 부여합니다. | Read | |||
| GetAccessPointPolicy | 지정된 액세스 포인트와 연결된 액세스 포인트 정책을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetAccessPointPolicyForObjectLambda | 지정된 객체 Lambda 지원 액세스 포인트와 연결된 액세스 포인트 정책을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetAccessPointPolicyStatus | 특정 액세스 포인트 정책에 대한 정책 상태를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetAccessPointPolicyStatusForObjectLambda | 특정 객체 Lambda 지원 액세스 포인트 정책에 대한 정책 상태를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetAccountPublicAccessBlock | 에 대한 PublicAccessBlock 구성을 검색할 수 있는 권한을 부여합니다. AWS 계정 | Read | |||
| GetAnalyticsConfiguration | 분석 구성 ID로 식별되는 Amazon S3 버킷에서 분석 구성을 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetBucketAcl | ACL 하위 리소스를 사용하여 Amazon S3 버킷의 ACL(액세스 제어 목록)을 반환할 권한을 부여합니다. | Read | |||
| GetBucketCORS | Amazon S3 버킷에 대해 설정된 CORS 구성 정보를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketLocation | Amazon S3 버킷이 상주하는 리전을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketLogging | Amazon S3 버킷의 로깅 상태 및 사용자가 해당 상태를 보거나 수정할 수 있는 권한을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketMetadataTableConfiguration | 지정된 범용 버킷에 대한 S3 메타데이터 구성을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketNotification | Amazon S3 버킷의 알림 구성을 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetBucketObjectLockConfiguration | Amazon S3 버킷의 Object Lock 구성을 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetBucketOwnershipControls | 버킷에 대한 소유권 제어를 검색할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketPolicy | 지정된 버킷의 정책을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketPolicyStatus | 버킷이 퍼블릭 버킷인지 여부를 나타내는 특정 Amazon S3 버킷에 대한 정책 상태를 검색할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketPublicAccessBlock | Amazon S3 버킷에 대한 PublicAccessBlock 구성을 검색할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketRequestPayment | Amazon S3 버킷에 대한 요청 결제 구성을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketTagging | Amazon S3 버킷과 연결된 태그 세트를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketVersioning | Amazon S3 버킷의 버전 관리 상태를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetBucketWebsite | Amazon S3 버킷에 대한 웹 사이트 구성을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetDataAccess | 액세스를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetEncryptionConfiguration | Amazon S3 버킷에 기본 암호화 구성을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetIntelligentTieringConfiguration | S3 버킷의 모든 Amazon S3 Intelligent Tiering 구성을 가져오거나 나열할 수 있는 권한을 부여합니다. | Read | |||
| GetInventoryConfiguration | 인벤토리 구성 ID로 식별되는 Amazon S3 버킷에서 인벤토리 구성을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetJobTagging | 기존 Amazon S3 Batch Operations의 태그 세트를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetLifecycleConfiguration | Amazon S3 버킷에 설정된 수명 주기 구성 정보를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetMetricsConfiguration | Amazon S3 버킷에서 지표 구성을 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetMultiRegionAccessPoint | 지정된 Multi-Region Access Point에 대한 구성 정보를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetMultiRegionAccessPointPolicy | 지정된 다중 리전 액세스 포인트와 연결된 액세스 포인트 정책을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetMultiRegionAccessPointPolicyStatus | 지정된 Multi-Region Access Point 정책에 대한 정책 상태를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetMultiRegionAccessPointRoutes | Multi-Region Access Point에 대한 경로 구성을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetObject | Amazon S3에서 객체를 검색할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectAcl | 객체의 ACL(액세스 제어 목록)을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectAttributes | 특정 객체와 관련된 속성을 검색할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectLegalHold | 객체의 현재 법적 보존 상태를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetObjectRetention | 객체에 대한 보존 설정을 검색할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectTagging | 객체의 태그 세트를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectTorrent | Amazon S3 버킷에서 Torrent 파일을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectVersion | 객체의 특정 버전을 검색할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectVersionAcl | 특정 객체 버전의 ACL(액세스 제어 목록)을 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectVersionAttributes | 객체의 특정 버전과 관련된 속성을 검색할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectVersionForReplication | 암호화되지 않은 객체와 SSE-S3 또는 SSE-KMS로 암호화된 객체를 모두 복제할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectVersionTagging | 특정 버전의 객체에 대한 태그 세트를 반환할 수 있는 권한을 부여합니다. | Read | |||
| GetObjectVersionTorrent | VersionID 하위 리소스를 사용하여 다른 버전에 대한 Torrent 파일을 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetReplicationConfiguration | Amazon S3 버킷에 설정된 복제 구성 정보를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetStorageLensConfiguration | Amazon S3 Storage Lens 구성을 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetStorageLensConfigurationTagging | 기존 Amazon S3 Storage Lens 구성의 태그 세트를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetStorageLensDashboard | Amazon S3 Storage Lens 대시보드를 가져올 수 있는 권한을 부여합니다. | Read | |||
| GetStorageLensGroup | Amazon S3 Storage Lens 그룹을 가져올 수 있는 권한을 부여합니다. | Read | |||
| InitiateReplication [권한만 해당] | 객체의 복제 상태를 보류 중으로 설정하여 복제 프로세스를 시작할 수 있는 권한을 부여합니다. | 쓰기 | |||
| ListAccessGrants | 액세스 권한 부여를 나열할 수 있는 권한을 부여합니다. | List | |||
| ListAccessGrantsInstances | Access Grants 인스턴스를 나열할 수 있는 권한을 부여합니다. | List | |||
| ListAccessGrantsLocations | Access Grants 위치를 나열할 수 있는 권한을 부여합니다. | List | |||
| ListAccessPoints | 액세스 포인트를 나열할 수 있는 권한을 부여합니다. | List | |||
| ListAccessPointsForObjectLambda | 객체 Lambda 지원 액세스 포인트를 나열할 수 있는 권한을 부여합니다. | List | |||
| ListAllMyBuckets | 요청의 인증된 발신자가 소유한 모든 버킷을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListBucket | Amazon S3 버킷의 일부 또는 모든 객체를 나열할 수 있는 권한을 부여합니다(최대 1000개). | 나열 | |||
| ListBucketMultipartUploads | 진행 중인 멀티파트 업로드를 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListBucketVersions | Amazon S3 버킷의 모든 객체 버전에 대한 메타데이터를 나열할 수 있는 권한을 부여합니다. | List | |||
| ListCallerAccessGrants | 호출자의 액세스 권한 부여를 나열할 수 있는 권한을 부여합니다. | List | |||
| ListJobs | 현재 작업 및 최근에 종료된 작업을 나열할 수 있는 권한을 부여합니다. | List | |||
| ListMultiRegionAccessPoints | 다중 리전 액세스 포인트를 나열할 수 있는 권한을 부여합니다. | List | |||
| ListMultipartUploadParts | 특정 멀티파트 업로드를 위해 업로드된 부분을 나열할 수 있는 권한을 부여합니다. | 나열 | |||
| ListStorageLensConfigurations | Amazon S3 Storage Lens 구성을 나열할 수 있는 권한을 부여합니다. | List | |||
| ListStorageLensGroups | S3 Storage Lens 그룹을 나열할 수 있는 권한을 부여합니다. | List | |||
| ListTagsForResource | 지정된 리소스에 연결된 태그를 나열할 수 있는 권한을 부여합니다. | List | |||
| ObjectOwnerOverrideToBucketOwner | 복제본 소유권을 변경할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PauseReplication [권한만 해당] | 대상 소스 버킷에서 대상 버킷으로 S3 복제를 일시 중지할 수 있는 권한을 부여합니다. | 쓰기 |
s3:GetReplicationConfiguration s3:PutReplicationConfiguration |
||
| PutAccelerateConfiguration | 가속화 하위 리소스를 사용하여 기존 S3 버킷의 Transfer Acceleration 상태를 설정할 수 있는 권한을 부여합니다 | 쓰기 | |||
| PutAccessGrantsInstanceResourcePolicy | Access Grants 인스턴스 리소스 정책을 넣을 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutAccessPointConfigurationForObjectLambda | 객체 Lambda 지원 액세스 포인트의 구성을 설정할 수 있는 권한을 부여합니다. | Write | |||
| PutAccessPointPolicy | 액세스 정책을 지정된 액세스 포인트와 연결할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutAccessPointPolicyForObjectLambda | 액세스 정책을 지정된 객체 Lambda 지원 액세스 포인트와 연결할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutAccessPointPublicAccessBlock | 액세스 포인트를 생성하는 동안 퍼블릭 액세스 블록 구성을 지정된 액세스 포인트와 연결할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutAccountPublicAccessBlock | 에 대한 PublicAccessBlock 구성을 생성하거나 수정할 수 있는 권한을 부여합니다. AWS 계정 | 권한 관리 | |||
| PutAnalyticsConfiguration | 분석 구성 ID로 지정된 버킷에 대한 분석 구성을 설정할 수 있는 권한을 부여합니다. | Write | |||
| PutBucketAcl | ACL(액세스 제어 목록)을 사용하여 기존 버킷에 대한 권한을 설정할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutBucketCORS | Amazon S3 버킷에 대한 CORS 구성을 설정할 수 있는 권한을 부여합니다. | Write | |||
| PutBucketLogging | Amazon S3 버킷에 대한 로깅 파라미터를 설정할 수 있는 권한을 부여합니다. | Write | |||
| PutBucketNotification | Amazon S3 버킷에서 특정 이벤트가 발생할 경우 알림을 받을 수 있는 권한을 부여합니다. | Write | |||
| PutBucketObjectLockConfiguration | 특정 버킷에 Object Lock 구성을 적용할 수 있는 권한을 부여합니다. | 쓰기 | |||
| PutBucketOwnershipControls | 버킷에 대한 소유권 제어를 추가, 교체 또는 삭제할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutBucketPolicy | 버킷에 버킷 정책을 추가하거나 교체할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutBucketPublicAccessBlock | 특정 Amazon S3 버킷에 대한 PublicAccessBlock 구성을 생성하거나 수정할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutBucketRequestPayment | 버킷의 요청 결제 구성을 설정할 수 있는 권한을 부여합니다. | Write | |||
| PutBucketTagging | 기존 Amazon S3 버킷에 태그 세트를 추가할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| PutBucketVersioning | 기존 Amazon S3 버킷의 버전 관리 상태를 설정할 수 있는 권한을 부여합니다. | Write | |||
| PutBucketWebsite | 웹 사이트 하위 리소스에 지정된 웹사이트의 구성을 설정할 수 있는 권한을 부여합니다. | Write | |||
| PutEncryptionConfiguration | Amazon S3 버킷에 대한 암호화 구성을 설정할 수 있는 권한을 부여합니다. | Write | |||
| PutIntelligentTieringConfiguration | 새 Amazon S3 Intelligent Tiering 구성을 생성하거나 기존 Amazon S3 Intelligent Tiering 구성을 업데이트하거나 삭제할 권한을 부여합니다. | Write | |||
| PutInventoryConfiguration | 인벤토리 ID로 식별되는 버킷에 인벤토리 구성을 추가할 수 있는 권한을 부여합니다. | Write | |||
| PutJobTagging | 기존 Amazon S3 Batch Operations에서 태그를 교체할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| PutLifecycleConfiguration | 버킷에 대한 명 주기 구성을 새로 생성하거나 기존 수명 주기 구성을 교체할 수 있는 권한을 부여합니다. | Write | |||
| PutMetricsConfiguration | Amazon S3 버킷에서 CloudWatch 요청 지표에 대한 지표 구성을 설정하거나 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| PutMultiRegionAccessPointPolicy | 액세스 정책을 지정된 Multi-Region Access Point와 연결할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutObject | 버킷에 객체를 추가할 수 있는 권한을 부여합니다. | 쓰기 | |||
|
s3:x-amz-server-side-encryption s3:x-amz-server-side-encryption-aws-kms-key-id s3:x-amz-server-side-encryption-customer-algorithm s3:x-amz-website-redirect-location s3:object-lock-retain-until-date |
|||||
| PutObjectAcl | S3 버킷의 새 객체 또는 기존 객체에 대한 ACL(액세스 제어 목록) 권한을 설정할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutObjectLegalHold | 지정된 객체에 법적 보존 구성을 적용할 수 있는 권한을 부여합니다. | Write | |||
| PutObjectRetention | 객체에 객체 보존 구성을 배치할 수 있는 권한을 부여합니다. | Write | |||
| PutObjectTagging | 제공된 태그 집합을 버킷에 이미 존재하는 객체로 설정할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| PutObjectVersionAcl | ACL 하위 리소스를 사용하여 버킷에 이미 존재하는 객체에 대한 ACL(액세스 제어 목록) 권한을 설정할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| PutObjectVersionTagging | 특정 버전의 객체에 대해 제공된 태그 세트를 설정할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| PutReplicationConfiguration | 복제 구성을 새로 생성하거나 기존 복제 구성을 교체할 수 있는 권한을 부여합니다. | Write |
iam:PassRole |
||
| PutStorageLensConfiguration | Amazon S3 Storage Lens 구성을 생성하거나 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| PutStorageLensConfigurationTagging | 기존 Amazon S3 Storage Lens 구성에 태그를 넣거나 교체할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| ReplicateDelete | 대상 버킷에 삭제 마커를 복제할 수 있는 권한을 부여합니다. | Write | |||
| ReplicateObject | 대상 버킷에 객체 및 객체 태그를 복제할 수 있는 권한을 부여합니다. | Write | |||
|
s3:x-amz-server-side-encryption |
|||||
| ReplicateTags | 대상 버킷에 객체 태그를 복제할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| RestoreObject | 객체의 아카이브된 사본을 Amazon S3로 복원할 수 있는 권한을 부여합니다. | 쓰기 | |||
| SubmitMultiRegionAccessPointRoutes | 다중 리전 액세스 포인트에 대한 경로 구성 업데이트를 제출할 수 있는 권한을 부여합니다. | 쓰기 | |||
| TagResource | 지정된 리소스에 태그를 추가할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| UntagResource | 지정된 리소스에서 태그를 제거할 수 있는 권한을 부여합니다. | 태그 지정 | |||
| UpdateAccessGrantsLocation | Access Grants 위치를 업데이트할 수 있는 권한을 부여합니다. | 권한 관리 | |||
| UpdateBucketMetadataInventoryTableConfiguration | 지정된 범용 버킷의 기존 S3 메타데이터 구성에서 인벤토리 테이블 구성을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 |
kms:DescribeKey s3tables:CreateNamespace s3tables:CreateTable s3tables:CreateTableBucket s3tables:GetTable s3tables:PutTableEncryption s3tables:PutTablePolicy |
||
| UpdateBucketMetadataJournalTableConfiguration | 지정된 범용 버킷의 기존 S3 메타데이터 구성에서 저널 테이블 구성을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateJobPriority | 기존 작업의 우선 순위를 업데이트할 수 있는 권한을 부여합니다. | Write | |||
| UpdateJobStatus | 지정된 작업의 상태를 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
| UpdateStorageLensGroup | 기존 S3 Storage Lens 그룹을 업데이트할 수 있는 권한을 부여합니다. | 쓰기 | |||
Amazon S3에서 정의한 리소스 유형
이 서비스에서 정의하는 리소스 유형은 다음과 같으며, IAM 권한 정책 설명의 Resource 요소에서 사용할 수 있습니다. 작업 테이블의 각 작업은 해당 작업으로 지정할 수 있는 리소스 유형을 식별합니다. 리소스 유형은 정책에 포함할 조건 키를 정의할 수도 있습니다. 이러한 키는 리소스 유형 테이블의 마지막 열에 표시됩니다. 다음 테이블의 열에 관한 자세한 내용은 리소스 유형 테이블을 참조하세요.
| 리소스 유형 | ARN | 조건 키 |
|---|---|---|
| accesspoint |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| accesspointobject |
arn:${Partition}:s3:${Region}:${Account}:accesspoint/${AccessPointName}/object/${ObjectName}
|
|
| bucket |
arn:${Partition}:s3:::${BucketName}
|
|
| object |
arn:${Partition}:s3:::${BucketName}/${ObjectName}
|
|
| job |
arn:${Partition}:s3:${Region}:${Account}:job/${JobId}
|
|
| storagelensconfiguration |
arn:${Partition}:s3:${Region}:${Account}:storage-lens/${ConfigId}
|
|
| storagelensgroup |
arn:${Partition}:s3:${Region}:${Account}:storage-lens-group/${Name}
|
|
| objectlambdaaccesspoint |
arn:${Partition}:s3-object-lambda:${Region}:${Account}:accesspoint/${AccessPointName}
|
|
| multiregionaccesspoint |
arn:${Partition}:s3::${Account}:accesspoint/${AccessPointAlias}
|
|
| multiregionaccesspointrequestarn |
arn:${Partition}:s3:us-west-2:${Account}:async-request/mrap/${Operation}/${Token}
|
|
| accessgrantsinstance |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default
|
|
| accessgrantslocation |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/location/${Token}
|
|
| accessgrant |
arn:${Partition}:s3:${Region}:${Account}:access-grants/default/grant/${Token}
|
Amazon S3에 사용되는 조건 키
Amazon S3은 IAM 정책의 Condition 요소에 사용할 수 있는 다음과 같은 조건 키를 정의합니다. 이러한 키를 사용하여 정책 설명이 적용되는 조건을 보다 상세하게 설정할 수 있습니다. 다음 테이블의 열에 대한 자세한 내용은 조건 키 테이블을 참조하세요.
모든 서비스에서 사용할 수 있는 전역 조건 키를 보려면 AWS 전역 조건 컨텍스트 키를 참조하세요.
| 조건 키 | 설명 | Type |
|---|---|---|
| aws:RequestTag/${TagKey} | 요청에서 전달되는 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| aws:ResourceTag/${TagKey} | 리소스와 연결된 태그를 기준으로 액세스를 필터링합니다. | 문자열 |
| aws:TagKeys | 요청에서 전달되는 태그 키를 기준으로 액세스를 필터링합니다. | ArrayOfString |
| s3:AccessGrantScope | 액세스 권한 부여의 권한 부여 범위를 기준으로 액세스를 필터링합니다. | String |
| s3:AccessGrantsInstanceArn | 액세스 권한 부여 인스턴스 ARN을 기준으로 액세스를 필터링합니다. | ARN |
| s3:AccessGrantsLocationScope | 액세스 권한 부여 위치의 위치 범위를 기준으로 액세스를 필터링합니다. | String |
| s3:AccessPointNetworkOrigin | 네트워크 오리진(인터넷 또는 VPC)을 기준으로 액세스를 필터링합니다. | String |
| s3:AccessPointTag/${TagKey} | 기존 액세스 포인트 태그 키 및 값을 기준으로 액세스를 필터링합니다. | String |
| s3:DataAccessPointAccount | 액세스 포인트를 소유한 AWS 계정 ID를 기준으로 액세스를 필터링합니다. | String |
| s3:DataAccessPointArn | 액세스 포인트 Amazon 리소스 이름(ARN)을 기준으로 액세스를 필터링합니다. | ARN |
| s3:ExistingJobOperation | 작업 우선 순위 업데이트에 대한 작업을 기준으로 액세스를 필터링합니다. | String |
| s3:ExistingJobPriority | 우선 순위 범위를 기준으로 기존 작업 취소에 대한 액세스를 필터링합니다. | 숫자 |
| s3:ExistingObjectTag/<key> | 기존 객체 태그 키와 값을 기준으로 액세스를 필터링합니다. | String |
| s3:InventoryAccessibleOptionalFields | S3 인벤토리 보고서를 구성할 때 사용자가 추가할 수 있는 선택적 메타데이터 필드를 제한하여 액세스를 필터링합니다. | ArrayOfString |
| s3:JobSuspendedCause | 특정 작업의 일시 중단 원인(예: AWAITING_CONFIRMATION)을 기준으로 일시 중단된 작업 취소에 대한 액세스를 필터링합니다. | String |
| s3:ObjectCreationOperation | 작업이 객체를 생성하는지 여부를 기준으로 액세스를 필터링합니다. | 부울 |
| s3:RequestJobOperation | 작업을 기준으로 작업 생성에 대한 액세스를 필터링합니다. | String |
| s3:RequestJobPriority | 우선 순위 범위를 기준으로 새 작업 생성에 대한 액세스를 필터링합니다. | Numeric |
| s3:RequestObjectTag/<key> | 객체에 추가할 태그 키와 값을 기준으로 액세스를 필터링합니다. | 문자열 |
| s3:RequestObjectTagKeys | 객체에 추가할 태그 키를 기준으로 액세스를 필터링합니다. | ArrayOfString |
| s3:ResourceAccount | 리소스 소유자 AWS 계정 ID를 기준으로 액세스를 필터링합니다. | String |
| s3:TlsVersion | 클라이언트에 사용된 TLS 버전별로 액세스를 필터링합니다. | 숫자 |
| s3:authType | 인증 방법을 기준으로 액세스를 필터링합니다. | 문자열 |
| s3:delimiter | 구분 기호 파라미터를 기준으로 액세스를 필터링합니다. | String |
| s3:destinationRegion | AWS FIS 작업 aws:s3:bucket-pause-replication의 대상 버킷에 대한 특정 복제 대상 리전을 기준으로 액세스를 필터링합니다. | String |
| s3:if-match | 요청의 'If-Match' 조건부 헤더를 기준으로 액세스를 필터링합니다. | String |
| s3:if-none-match | 요청의 'If-None-Match' 조건부 헤더를 기준으로 액세스를 필터링합니다. | String |
| s3:isReplicationPauseRequest | AWS FIS 작업 aws:s3:bucket-pause-replication을 통해 이루어진 요청을 기준으로 액세스를 필터링합니다. | 부울 |
| s3:locationconstraint | 특정 리전을 기준으로 액세스를 필터링합니다. | 문자열 |
| s3:max-keys | ListBucket 요청에서 반환되는 최대 키 수를 기준으로 액세스를 필터링합니다. | 숫자 |
| s3:object-lock-legal-hold | 객체 법적 보존 상태를 기준으로 액세스를 필터링합니다. | 문자열 |
| s3:object-lock-mode | 객체 보존 모드(COMPLIANCE 또는 GOVERNANCE)를 기준으로 액세스를 필터링합니다. | 문자열 |
| s3:object-lock-remaining-retention-days | 남은 객체 보존 일수를 기준으로 액세스를 필터링합니다. | Numeric |
| s3:object-lock-retain-until-date | 객체 보관 종료 날짜를 기준으로 액세스를 필터링합니다. | 날짜 |
| s3:prefix | 키 이름 접두사를 기준으로 액세스를 필터링합니다. | 문자열 |
| s3:signatureAge | 요청 서명의 시간(밀리초)을 기준으로 액세스를 필터링합니다. | Numeric |
| s3:signatureversion | 요청에 사용된 AWS 서명 버전을 기준으로 액세스를 필터링합니다. | String |
| s3:versionid | 특정 객체 버전을 기준으로 액세스를 필터링합니다. | 문자열 |
| s3:x-amz-acl | 요청의 x-amz-acl 헤더에서 미리 준비된 ACL을 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-content-sha256 | 버킷의 서명되지 않은 콘텐츠를 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-copy-source | 객체 복사 요청 내의 복사 소스 버킷, 접두사 또는 객체를 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-grant-full-control | x-amz-grant-full-control(전체 제어) 헤더를 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-grant-read | x-amz-grant-read(읽기 액세스) 헤더를 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-grant-read-acp | x-amz-grant-read-acp(ACL에 대한 읽기 권한) 헤더를 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-grant-write | x-amz-grant-write(쓰기 액세스) 헤더를 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-grant-write-acp | x-amz-grant-write-acp(ACL에 대한 쓰기 권한) 헤더를 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-metadata-directive | 객체 복사 시 객체 메타데이터 동작(COPY 또는 REPLACE)을 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-object-ownership | 객체 소유권을 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-server-side-encryption | 서버 측 암호화를 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-server-side-encryption-aws-kms-key-id | 서버 측 암호화를 위해 AWS KMS 고객 관리형 CMK를 기준으로 액세스를 필터링합니다. | ARN |
| s3:x-amz-server-side-encryption-customer-algorithm | 서버 측 암호화에 대해 고객 지정 알고리즘을 기준으로 액세스를 필터링합니다. | String |
| s3:x-amz-storage-class | 스토리지 클래스별로 액세스를 필터링합니다. | 문자열 |
| s3:x-amz-website-redirect-location | 정적 웹 사이트로 구성된 버킷의 특정 웹 사이트 리디렉션 위치별로 액세스를 필터링합니다. | String |
