本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 Amazon S3 主控台新增儲存貯體政策 您可以使用 [AWS 政策產生器](https://aws.amazon.com/blogs/aws/aws-policy-generator/)和 Amazon S3 主控台新增儲存貯體政策,或編輯現有的儲存貯體政策。儲存貯體政策是資源型 AWS Identity and Access Management (IAM) 政策。您可以將儲存貯體政策新增至儲存貯體,以授予其他 AWS 帳戶 或 IAM 使用者存取儲存貯體和其中物件的許可。物件許可只會套用至該儲存貯體擁有者所建立的物件。如需儲存貯體政策的詳細資訊,請參閱「[Amazon S3 的身分和存取管理](security-iam.md)」。 請務必解決安全性警告、錯誤、一般警告,以及 AWS Identity and Access Management Access Analyzer 建議,然後再儲存政策。IAM Access Analyzer 會比對 IAM [政策文法](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html)和[最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)來執行政策檢查,以驗證您的政策。這些檢查會產生問題清單並提供可行的建議,協助您撰寫具有功能性且符合安全最佳實務的政策。若要進一步了解如何使用 IAM Access Analyzer 驗證政策,請參閱《IAM 使用者指南》**中的 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。若要檢視 IAM Access Analyzer 傳回的警告、錯誤和建議清單,請參閱 [IAM Access Analyzer 政策檢查參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)。 如需對政策錯誤進行故障診斷的指引,請參閱 [對 Amazon S3 中的存取遭拒 (403 Forbidden) 錯誤進行故障診斷](troubleshoot-403-errors.md)。 **建立或編輯儲存貯體政策** 1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 開啟 Amazon S3 主控台。 1. 在左側導覽窗格中,選擇**一般用途儲存貯體**或**目錄儲存貯體**。 1. 在儲存貯體清單中,選擇要建立儲存貯體政策的儲存貯體名稱,或您想編輯之儲存貯體政策的儲存貯體名稱。 1. 選擇**許可**索引標籤。 1. 在 **Bucket policy (儲存貯體政策)** 下方,選擇 **Edit (編輯)**。**Edit bucket policy** (編輯儲存貯體政策) 頁面隨即出現。 1. 在 **Edit bucket policy** (編輯儲存貯體政策) 頁面上,執行下列其中一項動作: + 若要查看儲存貯體政策的範例,請選擇**政策範例**。或者,請參閱《Amazon S3 使用者指南》**中的[Amazon S3 儲存貯體政策的範例](example-bucket-policies.md)。 + 若要自動產生政策,或在 **Policy** (政策) 區段中編輯 JSON,請選擇 **Policy generator** (原則產生器)。 如果您選擇**政策產生器**, AWS 政策產生器會在新視窗中開啟。 1. 在 **AWS 政策產生器**頁面上,針對**選取政策類型**,選擇 **S3 儲存貯體政策**。 1. 在提供的欄位中輸入資訊,以新增陳述式,然後選擇 **Add Statement** (新增陳述式)。針對您想要新增的任意數量陳述式重複此步驟。如需這些欄位的詳細資訊,請參閱《*IAM 使用者指南》*中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。 **注意** 為了您的方便,**編輯儲存貯體政策**頁面會在**政策**文字欄位上方顯示目前儲存貯體的**儲存貯體 ARN **(Amazon Resource Name)。您可以複製此 ARN,以在 **AWS Policy Generator** ( 政策產生器) 頁面上的陳述式中使用。 1. 完成新增陳述式後,選擇 **Generate Policy** (產生政策)。 1. 複製產生的政策文字,選擇 **Close** (關閉),然後退回 Amazon S3 主控台中的 **Edit bucket policy** (編輯儲存貯體政策) 頁面。 1. 在**政策**方塊中,從政策產生器編輯現有政策或貼上儲存貯體 AWS 政策。請務必先處理安全性警告、錯誤、一般警告,以及建議,然後再儲存政策。 **注意** 儲存貯體政策的大小限制為 20 KB。 1. (選用) 選擇右下角的 **Preview external access** (預覽外部存取),以預覽新政策會如何影響資源的公開和跨帳戶存取權。在儲存政策之前,您可以檢查它是否引入新的 IAM Access Analyzer 問題清單,或是解決現有的問題清單。如果您沒有看到作用中的分析器,請選擇 **Go to Access Analyzer** (移至 Access Analyzer),以在 IAM Access Analyzer 中[建立帳戶分析器](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html#access-analyzer-enabling)。如需詳細資訊,請參閱*《IAM 使用者指南》*中的[預覽存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html)。 1. 選擇 **Save changes** (儲存變更),這會讓您回到 **Permissions** (許可) 索引標籤。