# 适用于 Amazon S3 Files 的 AWS 托管式策略
<a name="s3-files-security-iam-awsmanpol"></a>

AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住，AWS 托管式策略可能不会为您的特定使用案例授予最低权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限，则更新会影响该策略所附加到的所有主体身份（用户、组和角色）。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时，AWS 最有可能更新 AWS 托管式策略。

有关更多信息，请参阅《*IAM 用户指南*》中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 托管式策略：AmazonS3FilesFullAccess
<a name="s3-files-security-iam-awsmanpol-amazons3filesfullaccess"></a>

您可以将 `AmazonS3FilesFullAccess` 策略附加到 IAM 身份。此策略授予对 Amazon S3 Files 的完全访问权限，包括创建和管理文件系统、挂载目标和接入点的权限。有关此策略的更多信息，请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesFullAccess.html)。

## AWS 托管式策略：AmazonS3FilesReadOnlyAccess
<a name="s3-files-security-iam-awsmanpol-amazons3filesreadonlyaccess"></a>

您可以将 `AmazonS3FilesReadOnlyAccess` 策略附加到 IAM 身份。此策略授予对 Amazon S3 Files 的只读访问权限，包括查看文件系统、挂载目标、接入点和相关配置的权限。有关此策略的更多信息，请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesReadOnlyAccess.html)。

## AWS 托管式策略：AmazonS3FilesClientFullAccess
<a name="s3-files-security-iam-awsmanpol-amazons3filesclientfullaccess"></a>

您可以将 `AmazonS3FilesClientFullAccess` 策略附加到 IAM 身份。此策略授予客户端对 S3 Files 文件系统的完全访问权限，包括以根用户身份挂载、读取、写入和访问文件的能力。有关此策略的更多信息，请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientFullAccess.html)。

## AWS 托管式策略：AmazonS3FilesClientReadWriteAccess
<a name="s3-files-security-iam-awsmanpol-amazons3filesclientreadwriteaccess"></a>

您可以将 `AmazonS3FilesClientReadWriteAccess` 策略附加到 IAM 身份。此策略授予客户端对 S3 Files 文件系统的读写权限，包括挂载、读取和写入的能力。该策略不授予根访问权限。有关此策略的更多信息，请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadWriteAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadWriteAccess.html)。

## AWS 托管式策略：AmazonS3FilesClientReadOnlyAccess
<a name="s3-files-security-iam-awsmanpol-amazons3filesclientreadonlyaccess"></a>

您可以将 `AmazonS3FilesClientReadOnlyAccess` 策略附加到 IAM 身份。此策略授予客户端对 S3 Files 文件系统的只读访问权限，包括挂载和读取文件系统的能力。有关此策略的更多信息，请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadOnlyAccess.html)。

## AWS 托管式策略：AmazonS3FilesCSIDriverPolicy
<a name="s3-files-security-iam-awsmanpol-amazons3filescsidriverpolicy"></a>

您可以将 `AmazonS3FilesCSIDriverPolicy` 策略附加到 IAM 身份。此策略授予 Amazon EFS Container Storage Interface（CSI）驱动程序代表 Amazon EKS 集群管理 S3 Files 接入点的权限。有关此策略的更多信息，请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html)。

## AWS 托管式策略：AmazonElasticFileSystemUtils
<a name="s3-files-security-iam-awsmanpol-amazonelasticfilesystemutils"></a>

您可以将 `AmazonElasticFileSystemUtils` 策略附加到 IAM 身份。此策略授予 S3 Files 客户端实用程序（amazon-efs-utils）执行诸如描述挂载目标、发布 CloudWatch 指标和日志以及与 AWS Systems Manager 通信之类的操作的权限。有关此策略的更多信息，请参阅《AWS 托管式策略参考》中的 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemUtils.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemUtils.html)。

## Amazon S3 Files 对 AWS 托管式策略的更新
<a name="s3-files-security-iam-awsmanpol-updates"></a>

查看有关自 Amazon S3 Files 开始跟踪更改以来，对 S3 Files 的 AWS 托管式策略进行的更新的详细信息。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
| `AmazonElasticFileSystemUtils`：已更新 | 添加了 Amazon CloudWatch PutMetricData 权限以支持发布客户端连接指标。 | 2026 年 4 月 7 日 | 
| `AmazonS3FilesCSIDriverPolicy`：已添加 | 新的托管式策略，授予 Amazon EFS CSI 驱动程序代表 Amazon EKS 集群管理 S3 Files 接入点的权限。 | 2026 年 4 月 7 日 | 
| `AmazonS3FilesClientReadOnlyAccess`：已添加 | 新的托管式策略，授予客户端对 S3 Files 文件系统的只读访问权限。 | 2026 年 4 月 7 日 | 
| `AmazonS3FilesClientReadWriteAccess`：已添加 | 新的托管式策略，授予客户端对 S3 Files 文件系统的读写访问权限。 | 2026 年 4 月 7 日 | 
| `AmazonS3FilesClientFullAccess`：已添加 | 新的托管式策略，授予客户端对 S3 Files 文件系统的完全访问权限，包括根访问权限。 | 2026 年 4 月 7 日 | 
| `AmazonS3FilesReadOnlyAccess`：已添加 | 新的托管式策略，授予对 S3 Files 资源的只读访问权限。 | 2026 年 4 月 7 日 | 
| `AmazonS3FilesFullAccess`：已添加 | 新的托管式策略，授予对 S3 文件资源的完全访问权限。 | 2026 年 4 月 7 日 | 
| S3 Files 已启动跟踪更改 | Amazon S3 Files 为其 AWS 托管式策略启动了跟踪更改。 | 2026 年 4 月 7 日 |