# AWS 适用于 Amazon S3 的托管策略
<a name="security-iam-awsmanpol"></a>

AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见使用案例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住，AWS 托管式策略可能不会为您的特定使用案例授予最低权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限，则更新会影响该策略所附加到的所有主体身份（用户、组和角色）。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时，AWS 最有可能更新 AWS 托管式策略。

有关更多信息，请参阅《*IAM 用户指南*》中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 托管式策略：AmazonS3FullAccess
<a name="security-iam-awsmanpol-amazons3fullaccess"></a>

您可以将 `AmazonS3FullAccess` 策略附加到 IAM 身份。 此策略授予允许完全访问 Amazon S3 的权限 。

要查看此策略的权限，请参阅 AWS 管理控制台 中的 [https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3FullAccess$jsonEditor)。

## AWS 托管式策略：AmazonS3ReadOnlyAccess
<a name="security-iam-awsmanpol-amazons3readonlyaccess"></a>

您可以将 `AmazonS3ReadOnlyAccess` 策略附加到 IAM 身份。 此策略授予允许对 Amazon S3 进行只读访问的权限。

要查看此策略的权限，请参阅 AWS 管理控制台 中的 [https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess$jsonEditor](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AmazonS3ReadOnlyAccess$jsonEditor)。

## AWS 托管式策略：AmazonS3ObjectLambdaExecutionRolePolicy
<a name="security-iam-awsmanpol-amazons3objectlambdaexecutionrolepolicy"></a>

提供的 AWS Lambda 函数在向 S3 对象 Lambda 接入点发出请求时将数据发送到 S3 对象 Lambda 所需的权限。还授予 Lambda 写入 Amazon CloudWatch Logs 的权限。

要查看此策略的权限，请参阅 AWS 管理控制台 中的 [https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/service-role/AmazonS3ObjectLambdaExecutionRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/service-role/AmazonS3ObjectLambdaExecutionRolePolicy$jsonEditor)。

## AWS 托管式策略：S3UnlockBucketPolicy
<a name="security-iam-awsmanpol-S3UnlockBucketPolicy"></a>

如果您错误地将成员账户的存储桶策略配置为拒绝所有用户访问您的 S3 存储桶，则可以使用此 AWS 托管式策略（`S3UnlockBucketPolicy`）来解锁存储桶。有关如何删除拒绝所有主体访问 Amazon S3 存储桶的错误配置存储桶策略的更多信息，请参阅《AWS Identity and Access Management User Guide》**中的 [Perform a privileged task on an AWS Organizations member account](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user-privileged-task.html)。

## AWS 托管策略的 Amazon S3 更新
<a name="security-iam-awsmanpol-updates"></a>

查看有关 Amazon S3 的 AWS 托管策略的更新的详细信息。


| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  Amazon S3 添加 `S3UnlockBucketPolicy`  |  Amazon S3 添加了一个名为 `S3UnlockBucketPolicy` 的新 AWS 托管式策略，用于解锁存储桶，并删除拒绝所有主体访问 Amazon S3 存储桶的配置错误的存储桶策略。  | 2024 年 11 月 1 日 | 
|  Amazon S3 向 `AmazonS3ReadOnlyAccess` 添加了描述权限  |  Amazon S3 向 `AmazonS3ReadOnlyAccess` 添加了 `s3:Describe*` 权限。  | 2023 年 8 月 11 日 | 
|  Amazon S3 将 S3 对象 Lambda 权限添加到 `AmazonS3FullAccess` 和 `AmazonS3ReadOnlyAccess`  |  Amazon S3 更新 `AmazonS3FullAccess` 和 `AmazonS3ReadOnlyAccess` 策略以包括 S3 对象 Lambda 的权限。  | 2021 年 9 月 27 日 | 
|  Amazon S3 添加 `AmazonS3ObjectLambdaExecutionRolePolicy`  |  Amazon S3 添加了一个新的 AWS 托管策略，称为 `AmazonS3ObjectLambdaExecutionRolePolicy`，它提供了 Lambda 函数权限，以便与 S3 对象 Lambda 交互并写入 CloudWatch Logs。  | 2021 年 8 月 18 日 | 
|  Amazon S3 开始跟踪更改  |  Amazon S3 为其 AWS 托管策略开启了跟踪更改。  | 2021 年 8 月 18 日 |