Substituir lista de controle de acesso (ACL) - Amazon Simple Storage Service
Restrições e limitações

Substituir lista de controle de acesso (ACL)

Você pode usar o Operações em Lote do Amazon S3 para executar operações em lote de grande escala em objetos do Amazon S3. A operação Substituir lista de controle de acesso (ACL) substitui as listas de controle de acesso (ACLs) para cada objeto listado no manifesto. Ao usar ACLs, é possível definir quem pode acessar o objeto e quais ações podem ser executadas.

nota

A maioria dos casos de uso modernos no Amazon S3 não exige mais o uso de ACLs. Recomendamos manter as ACLs desabilitadas, exceto em circunstâncias incomuns em que seja necessário controlar o acesso para cada objeto individualmente. Com as ACLs desabilitadas, é possível usar políticas para controlar o acesso a todos os objetos no bucket, independentemente de quem carregou os objetos para o bucket. Para obter mais informações, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.

O Operações em Lote do S3 é compatível com ACLs personalizadas que você define e com ACLs pré-configuradas fornecidas pelo Amazon S3 com um conjunto predefinido de permissões de acesso.

Se os objetos em seu manifesto estiverem em um bucket versionado, é possível aplicar as ACLs a versões específicas de cada objeto. Para fazer isso, especifique um ID de versão para cada objeto no manifesto. Se você não incluir um ID de versão para um objeto, o Operações em Lote do S3 aplicará a ACL à versão mais recente do objeto.

Consulte mais informações sobre ACLs no Amazon S3 em Visão geral da lista de controle de acesso (ACL).

Bloqueio de acesso público do S3

Se quiser limitar o acesso público a todos os objetos em um bucket, recomendamos usar o Bloqueio de Acesso Público do Amazon S3 em vez de usar o Operações em Lote do S3 para aplicar ACLS. O Block Public Access pode limitar o acesso público a cada bucket ou à conta com uma única operação simples, que entra em vigor rapidamente. Esse comportamento torna o Bloqueio de Acesso Público do Amazon S3 uma melhor opção caso seu objetivo seja controlar o acesso público a todos os objetos em um bucket ou uma conta. Use o Operações em Lote do S3 somente quando precisar aplicar uma ACL personalizada a cada objeto no manifesto. Para obter mais informações sobre o S3 Block Public Access, consulte Bloquear o acesso público ao armazenamento do Amazon S3.

Propriedade de objeto do S3

Se os objetos no manifesto estiverem em um bucket que usa a configuração Aplicada pelo proprietário do bucket para Propriedade de Objetos, a operação Substituir lista de controle de acesso (ACL) poderá especificar apenas ACLs do objeto que concedem controle total ao proprietário do bucket. Nesse caso, a operação Substituir lista de controle de acesso (ACL) não pode conceder permissões de ACL de objeto a outros grupos ou Contas da AWS. Para obter mais informações, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.

Restrições e limitações

Quando você usa o Operações em Lote para substituir ACLs, as seguintes restrições e limitações se aplicam:

  • O perfil do AWS Identity and Access Management (IAM) especificado para executar o trabalho Substituir lista de controle de acesso (ACL) deve ter permissões para executar a operação PutObjectAcl subjacente do Amazon S3. Consulte mais informações sobre as permissões necessárias em PutObjectAcl na Referência da API do Amazon Simple Storage Service.

  • O S3 Batch Operations usa a operação PutObjectAcl do Amazon S3 para aplicar a ACL especificada a cada objeto no manifesto. Portanto, todas as restrições e limitações que se aplicam à operação PutObjectAcl subjacente também se aplicam a trabalhos Substituir lista de controle de acesso (ACL) do Operações em Lote do S3.

  • Um único trabalho de substituição da lista de controle de acesso pode comportar um manifesto com até 20 bilhões de objetos.