本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon S3 API 操作所需的許可
<a name="using-with-s3-policy-actions"></a>

**注意**  
此頁面與一般用途儲存貯體的 Amazon S3 政策動作相關。若要進一步了解目錄儲存貯體的 Amazon S3 政策動作，請參閱[目錄儲存貯體的動作](s3-express-security-iam.md#s3-express-security-iam-actions)。

若要執行 S3 API 操作，您必須具備正確的許可。此頁面會將 S3 API 操作映射到所需的許可。若要授予執行 S3 API 操作的許可，您必須撰寫有效的政策 (例如 S3 儲存貯體政策或 IAM 身分型政策)，並在政策的 `Action` 元素中指定對應的動作。這些動作稱為政策動作。並非每個 S3 API 操作都會由單一許可 (單一政策動作) 表示，許多不同的 API 操作需要一些許可 (一些政策動作)。

當您撰寫政策時，您必須根據對應 Amazon S3 政策動作所需的正確資源類型指定 `Resource` 元素。此頁面會依資源類型分類 S3 API 操作的許可。如需資源類型的詳細資訊，請參閱服務授權參考**中的 [Amazon S3 定義的資源類型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies)。如需 Amazon S3 政策中所使用政策動作、資源和條件索引鍵的完整清單，請參閱 服務授權參考**中的 [Amazon S3 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)。如需 Amazon S3 API 操作的完整清單，請參閱 Amazon Simple Storage Service API 參考**中的 [Amazon S3 API 動作](https://docs.aws.amazon.com//AmazonS3/latest/API/API_Operations.html)。

如需如何解決 S3 中 HTTP `403 Forbidden` 錯誤的詳細資訊，請參閱 [對 Amazon S3 中的存取遭拒 (403 Forbidden) 錯誤進行故障診斷](troubleshoot-403-errors.md)。如需有關搭配 S3 使用之 IAM 功能的詳細資訊，請參閱 [Amazon S3 如何搭配 IAM 運作](security_iam_service-with-iam.md)。如需有關 S3 安全性最佳實務的詳細資訊，請參閱 [Amazon S3 的安全最佳實務](security-best-practices.md)。

**Topics**
+ [儲存貯體操作和許可](#using-with-s3-policy-actions-related-to-buckets)
+ [物件操作和許可](#using-with-s3-policy-actions-related-to-objects)
+ [一般用途儲存貯體操作和權限的存取點](#using-with-s3-policy-actions-related-to-accesspoint)
+ [Object Lambda 存取點操作和許可](#using-with-s3-policy-actions-related-to-olap)
+ [多區域存取點操作和許可](#using-with-s3-policy-actions-related-to-mrap)
+ [批次作業操作和許可](#using-with-s3-policy-actions-related-to-batchops)
+ [S3 Storage Lens 組態操作和許可](#using-with-s3-policy-actions-related-to-lens)
+ [S3 Storage Lens 群組操作和許可](#using-with-s3-policy-actions-related-to-lens-groups)
+ [S3 存取授權執行個體操作和權限](#using-with-s3-policy-actions-related-to-s3ag-instances)
+ [S3 存取授權位置操作和權限](#using-with-s3-policy-actions-related-to-s3ag-locations)
+ [S3 存取授權授予操作和權限](#using-with-s3-policy-actions-related-to-s3ag-grants)
+ [帳戶操作和許可](#using-with-s3-policy-actions-related-to-accounts)

## 儲存貯體操作和許可
<a name="using-with-s3-policy-actions-related-to-buckets"></a>

儲存貯體操作是在儲存貯體資源類型上執行的 S3 API 操作。您必須為儲存貯體政策或 IAM 身分型政策中的儲存貯體操作指定 S3 政策動作。

在政策中，`Resource`元素必須是儲存貯體的 Amazon Resource Name (ARN)。如需 `Resource` 元素格式和範例政策的詳細資訊，請參閱[儲存貯體操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-buckets)。

**注意**  
若要在存取點政策中授予儲存貯體操作的許可，請注意下列事項：  
存取點政策中授予的儲存貯體操作許可只有在基礎儲存貯體允許相同的許可時才有效。當您使用存取點時，您必須將存取控制從儲存貯體委派給存取點，或在存取點政策中將相同的許可新增至基礎儲存貯體的政策。
在授予儲存貯體操作許可的存取點政策中，`Resource` 元素必須是 `accesspoint` ARN。如需 `Resource` 元素格式和範例政策的詳細資訊，請參閱[一般用途儲存貯體的存取點政策中的儲存貯體操作](security_iam_service-with-iam.md#bucket-operations-ap)。如需存取點政策的詳細資訊，請參閱[配置使用存取點的 IAM 原則](access-points-policies.md)。
存取點不支援所有儲存貯體操作。如需詳細資訊，請參閱[存取點與 S3 操作的相容性](access-points-service-api-support.md#access-points-operations-support)。

以下是儲存貯體操作和必要政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html) | (必要) `s3:CreateBucket` | 建立新的 S3 儲存貯體時需要。 | 
|  | (條件式必要) `s3:PutBucketAcl` | 如果您想要在提出 `CreateBucket` 請求時，使用存取控制清單 (ACL) 來指定儲存貯體的許可，則為必要項。 | 
|  | (條件式必要) `s3:PutBucketObjectLockConfiguration`、`s3:PutBucketVersioning` | 如果您想要在建立儲存貯體時啟用物件鎖定，則為必要項。 | 
|  | (條件式必要) `s3:PutBucketOwnershipControls` | 如果您想要在建立儲存貯體時指定 S3 物件擁有權，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html) (V2 API 操作。V1 和 V2 API 操作的 IAM 政策動作名稱相同。) | (必要) `s3:CreateBucketMetadataTableConfiguration`、`s3tables:CreateTableBucket`、`s3tables:CreateNamespace`、`s3tables:CreateTable`、`s3tables:GetTable`、`s3tables:PutTablePolicy`、`s3tables:PutTableEncryption`、`kms:DescribeKey` | 在一般用途儲存貯體上建立中繼資料表組態時需要。<br />若要建立受 AWS 管資料表儲存貯體和中繼資料資料表組態中指定的中繼資料資料表，您必須具有指定的`s3tables`許可。<br />如果您想要使用 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 透過伺服器端加密來加密中繼資料表，那麼您的 KMS 金鑰政策中需要額外的權限。如需詳細資訊，請參閱[設定設定中繼資料表的許可](metadata-tables-permissions.md)。<br />如果您也想要整合 AWS 受管資料表儲存貯體與 AWS 分析服務，以便查詢中繼資料資料表，則需要額外的許可。如需詳細資訊，請參閱[整合 Amazon S3 Tables 與 AWS 分析服務](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-integrating-aws.html)。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html) (V1 API 操作) | (必要) `s3:CreateBucketMetadataTableConfiguration`、`s3tables:CreateNamespace`、`s3tables:CreateTable`、`s3tables:GetTable`、`s3tables:PutTablePolicy` | 在一般用途儲存貯體上建立中繼資料表組態時需要。<br />若要在中繼資料表組態指定的資料表儲存貯體中建立中繼資料表，您必須具有指定的 `s3tables` 許可。<br />如果您想要使用 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 透過伺服器端加密來加密中繼資料表，那麼您需要額外的權限。如需詳細資訊，請參閱[設定設定中繼資料表的許可](metadata-tables-permissions.md)。<br />如果您也想要整合資料表儲存貯體與 AWS 分析服務，以便查詢中繼資料資料表，則需要額外的許可。如需詳細資訊，請參閱[將 Amazon S3 Tables 與 AWS 分析服務整合](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-integrating-aws.html)。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html) | (必要) `s3:DeleteBucket` | 刪除 S3 儲存貯體時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html) | (必要) `s3:PutAnalyticsConfiguration` | 從 S3 儲存貯體中刪除 S3 分析組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html) | (必要) `s3:PutBucketCORS` | 刪除儲存貯體的跨來源資源共用 (CORS) 組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html) | (必要) `s3:PutEncryptionConfiguration` | 將 S3 儲存貯體的預設加密組態重設為使用 Amazon S3 受管金鑰的伺服器端加密 (SSE-S3) 時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html) | (必要) `s3:PutIntelligentTieringConfiguration` | 從 S3 儲存貯體中刪除現有的 S3 Intelligent-Tiering 組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html) | (必要) `s3:PutInventoryConfiguration` | 從 S3 儲存貯體中刪除 S3 庫存清單組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html) | (必要) `s3:PutLifecycleConfiguration` | 刪除 S3 儲存貯體的 S3 生命週期組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (V2 API 操作。V1 和 V2 API 操作的 IAM 政策動作名稱相同。) | (必要) `s3:DeleteBucketMetadataTableConfiguration` | 從一般用途儲存貯體中刪除中繼資料表組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (V1 API 操作) | (必要) `s3:DeleteBucketMetadataTableConfiguration` | 從一般用途儲存貯體中刪除中繼資料表組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html) | (必要) `s3:PutMetricsConfiguration` | 從 S3 儲存貯體中刪除 Amazon CloudWatch 請求指標的指標組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html)  | (必要) `s3:PutBucketOwnershipControls` | 移除 S3 儲存貯體的物件擁有權設定時需要。移除之後，物件擁有權設定會變成 `Object writer`。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html) | (必要) `s3:DeleteBucketPolicy` | 刪除 S3 儲存貯體的政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html) | (必要) `s3:PutReplicationConfiguration` | 刪除 S3 儲存貯體的複寫組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html) | (必要) `s3:PutBucketTagging` | 從 S3 儲存貯體中刪除標籤時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketWebsite.html) | (必要) `s3:DeleteBucketWebsite` | 移除 S3 儲存貯體的網站組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html) (儲存貯體層級) | (必要) `s3:PutBucketPublicAccessBlock` | 移除 S3 儲存貯體的封鎖公開存取組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html) | (必要) `s3:GetAccelerateConfiguration` | 使用 accelerate 子資源傳回儲存貯體的 Amazon S3 Transfer Acceleration 狀態 (即 Enabled 或 Suspended) 時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html) | (必要) `s3:GetBucketAcl` | 傳回 S3 儲存貯體的存取控制清單 (ACL) 時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html) | (必要) `s3:GetAnalyticsConfiguration` | 從 S3 儲存貯體傳回由分析組態 ID 識別的分析組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html) | (必要) `s3:GetBucketCORS` | 傳回 S3 儲存貯體的跨來源資源共用 (CORS) 組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html) | (必要) `s3:GetEncryptionConfiguration` | 傳回 S3 儲存貯體的預設加密組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html) | (必要) `s3:GetIntelligentTieringConfiguration` | 取得 S3 儲存貯體的 S3 Intelligent-Tiering 組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html) | (必要) `s3:GetInventoryConfiguration` | 從儲存貯體傳回由庫存組態 ID 識別的庫存組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html) | (必要) `s3:GetLifecycleConfiguration` | 傳回儲存貯體的 S3 生命週期組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html) | (必要) `s3:GetBucketLocation` | 傳回 AWS 區域 S3 儲存貯體所在的 時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html) | (必要) `s3:GetBucketLogging` | 傳回 S3 儲存貯體的記錄狀態以及使用者檢視和修改該狀態所需的許可時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (V2 API 操作。V1 和 V2 API 操作的 IAM 政策動作名稱相同。) | (必要) `s3:GetBucketMetadataTableConfiguration` | 擷取一般用途儲存貯體的中繼資料表組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (V1 API 操作) | (必要) `s3:GetBucketMetadataTableConfiguration` | 擷取一般用途儲存貯體的中繼資料表組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html) | (必要) `s3:GetMetricsConfiguration` | 從儲存貯體取得指標組態 ID 指定的指標組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html) | (必要) `s3:GetBucketNotification` | 傳回 S3 儲存貯體的通知組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html) | (必要) `s3:GetBucketOwnershipControls` | 擷取 S3 儲存貯體的物件擁有權設定時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html) | (必要) `s3:GetBucketPolicy` | 傳回 S3 儲存貯體的政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html) | (必要) `s3:GetBucketPolicyStatus` | 擷取 S3 儲存貯體的政策狀態以指出儲存貯體是否公開時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html) | (必要) `s3:GetReplicationConfiguration` | 傳回 S3 儲存貯體的複寫組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html) | (必要) `s3:GetBucketRequestPayment` | 傳回 S3 儲存貯體的請求付款組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html) | (必要) `s3:GetBucketVersioning` | 傳回 S3 儲存貯體的版本控制狀態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html) | (必要) `s3:GetBucketTagging` | 傳回與 S3 儲存貯體相關聯的標籤組時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html) | (必要) `s3:GetBucketWebsite` | 傳回 S3 儲存貯體的網站組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html) | (必要) `s3:GetBucketObjectLockConfiguration` | 取得 S3 儲存貯體的物件鎖定組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html) (儲存貯體層級) | (必要) `s3:GetBucketPublicAccessBlock` | 擷取 S3 儲存貯體的封鎖公開存取組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html) | (必要) `s3:ListBucket` | 判斷儲存貯體是否存在以及您是否有許可加以存取時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketAnalyticsConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketAnalyticsConfigurations.html) | (必要) `s3:GetAnalyticsConfiguration` | 列出 S3 儲存貯體的分析組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketIntelligentTieringConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketIntelligentTieringConfigurations.html) | (必要) `s3:GetIntelligentTieringConfiguration` | 列出 S3 儲存貯體的 S3 Intelligent-Tiering 組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketInventoryConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketInventoryConfigurations.html) | (必要) `s3:GetInventoryConfiguration` | 傳回 S3 儲存貯體的庫存組態清單時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketMetricsConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketMetricsConfigurations.html) | (必要) `s3:GetMetricsConfiguration` | 列出 S3 儲存貯體的指標組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html) | (必要) `s3:ListBucket` | 列出 S3 儲存貯體中的部分或全部物件 (最多 1,000 個) 時需要。 | 
|  | (條件式必要) `s3:GetObjectAcl` | 如果您想要顯示物件擁有者資訊，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) | (必要) `s3:ListBucket` | 列出 S3 儲存貯體中的部分或全部物件 (最多 1,000 個) 時需要。 | 
|  | (條件式必要) `s3:GetObjectAcl` | 如果您想要顯示物件擁有者資訊，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html) | (必要) `s3:ListBucketVersions` | 取得 S3 儲存貯體中所有物件版本的中繼資料時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html) | (必要) `s3:PutAccelerateConfiguration` | 設定現有儲存貯體的加速組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html) | (必要) `s3:PutBucketAcl` | 使用存取控制清單 (ACL) 設定現有儲存貯體的許可時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html) | (必要) `s3:PutAnalyticsConfiguration` | 設定 S3 儲存貯體的分析組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html) | (必要) `s3:PutBucketCORS` | 設定 S3 儲存貯體的跨來源資源共用 (CORS) 組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html) | (必要) `s3:PutEncryptionConfiguration` | 設定 S3 儲存貯體的預設加密時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html) | (必要) `s3:PutIntelligentTieringConfiguration` | 將 S3 Intelligent-Tiering 組態放入 S3 儲存貯體時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html) | (必要) `s3:PutInventoryConfiguration` | 將庫存組態新增至 S3 儲存貯體時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html) | (必要) `s3:PutLifecycleConfiguration` | 為 S3 儲存貯體建立新的 S3 生命週期組態或取代現有的生命週期組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html) | (必要) `s3:PutBucketLogging` | 為 S3 儲存貯體設定記錄參數並指定誰可以檢視和修改記錄參數的許可時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html) | (必要) `s3:PutMetricsConfiguration` | 為 S3 儲存貯體的 Amazon CloudWatch 請求指標設定或更新其指標組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotificationConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotificationConfiguration.html) | (必要) `s3:PutBucketNotification` | 為 S3 儲存貯體啟用指定事件的通知時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html) | (必要) `s3:PutBucketOwnershipControls` | 建立或修改現有 S3 儲存貯體的物件擁有權設定時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html) | (必要) `s3:PutBucketPolicy` | 將 S3 儲存貯體政策套用至儲存貯體時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html) | (必要) `s3:PutReplicationConfiguration` | 為 S3 儲存貯體建立新的複寫組態或取代現有的複寫組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html) | (必要) `s3:PutBucketRequestPayment` | 設定儲存貯體的請求付款組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html) | (必要) `s3:PutBucketTagging` | 將一組標籤新增至 S3 儲存貯體時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html) | (必要) `s3:PutBucketVersioning` | 設定 S3 儲存貯體的版本控制狀態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html) | (必要) `s3:PutBucketWebsite` | 將儲存貯體設定為網站並設定網站的組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html) | (必要) `s3:PutBucketObjectLockConfiguration` | 在 S3 儲存貯體上放置物件鎖定組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html) (儲存貯體層級) | (必要) `s3:PutBucketPublicAccessBlock` | 建立或修改特定 S3 儲存貯體的封鎖公開存取組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html) | (必要) `s3:UpdateBucketMetadataInventoryTableConfiguration`、`s3tables:CreateTableBucket`、`s3tables:CreateNamespace`、`s3tables:CreateTable`、`s3tables:GetTable`、`s3tables:PutTablePolicy`、`s3tables:PutTableEncryption`、`kms:DescribeKey` | 需要用於在一般用途儲存貯體上啟用或停用中繼資料表組態的庫存資料表時。<br />如果您想要使用 AWS Key Management Service (AWS KMS) 金鑰 (SSE-KMS) 透過伺服器端加密來加密庫存資料表，那麼您的 KMS 金鑰政策中需要額外的權限。如需詳細資訊，請參閱[設定設定中繼資料表的許可](metadata-tables-permissions.md)。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguration.html) | (必要) `s3:UpdateBucketMetadataJournalTableConfiguration` | 需要用於啟用或停用一般用途儲存貯體上中繼資料表組態的日誌資料表記錄過期功能時。 | 

## 物件操作和許可
<a name="using-with-s3-policy-actions-related-to-objects"></a>

物件操作是對物件資源類型執行的 S3 API 操作。您必須在資源型政策 (例如儲存貯體政策、存取點政策、多區域存取點政策、VPC 端點政策) 或 IAM 身分型政策中指定物件操作的 S3 政策動作。

在政策中，`Resource` 元素必須是物件的 ARN。如需 `Resource` 元素格式和範例政策的詳細資訊，請參閱[物件操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-objects)。

**注意**  
AWS KMS 政策動作 (`kms:GenerateDataKey` 和 `kms:Decrypt`) 僅適用於 AWS KMS 資源類型，且必須在 IAM 身分型政策和資源 AWS KMS 型政策 (AWS KMS 金鑰政策） 中指定。您無法在 S3 資源型政策中指定 AWS KMS 政策動作，例如 S3 儲存貯體政策。
當您使用存取點控制對物件操作的存取時，您可以使用存取點政策。若要在存取點政策中授予物件操作的許可，請注意下列事項：  
在授予物件操作許可的存取點政策中，`Resource` 元素必須是透過存取點存取之物件的 ARN。如需 `Resource` 元素格式和範例政策的詳細資訊，請參閱[存取點政策中的物件操作](security_iam_service-with-iam.md#object-operations-ap)。
存取點不支援所有物件操作。如需詳細資訊，請參閱[存取點與 S3 操作的相容性](access-points-service-api-support.md#access-points-operations-support)。
多區域存取點不支援所有物件操作。如需詳細資訊，請參閱[多區域存取點與 S3 操作的相容性](MrapOperations.md#mrap-operations-support)。

以下是物件操作和必要政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html) | (必要) `s3:AbortMultipartUpload` | 中止分段上傳時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html) | (必要) `s3:PutObject` | 完成分段上傳時需要。 | 
|  | (條件式必要) `kms:Decrypt` | 如果您想要完成 AWS KMS 客戶受管金鑰加密物件的分段上傳，則為必要項目。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html) | 對於來源物件： | 對於來源物件： | 
|  | (必要) `s3:GetObject` 或 `s3:GetObjectVersion` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | (條件式必要) `kms:Decrypt` | 如果您想要從來源儲存貯體複製 AWS KMS 客戶受管金鑰加密物件，則為必要項目。 | 
|  | 對於目的地物件： | 對於目的地物件： | 
|  | (必要) `s3:PutObject` | 將複製的物件放入目的地儲存貯體時需要。 | 
|  | (條件式必要) `s3:PutObjectAcl` | 如果您想要在提出 `CopyObject` 請求時，將具有物件存取控制清單 (ACL) 的複製物件放入目的地儲存貯體，則為必要項。 | 
|  | (條件式必要) `s3:PutObjectTagging` | 如果您想要在提出 `CopyObject` 請求時，將具有物件標記的複製物件放入目的地儲存貯體，則為必要項。 | 
|  | (條件式必要) `kms:GenerateDataKey` | 如果您想要使用 AWS KMS 客戶受管金鑰加密複製的物件，並將其放入目的地儲存貯體，則為必要項目。 | 
|  | (條件式必要) `s3:PutObjectRetention` | 如果您想要為新物件設定物件鎖定保留組態，則為必要項。 | 
|  | (條件式必要) `s3:PutObjectLegalHold` | 如果您想要在新物件上放置物件鎖定法務保存，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html) | (必要) `s3:PutObject` | 建立分段上傳時需要。 | 
|  | (條件式必要) `s3:PutObjectAcl` | 如果您想要為上傳的物件設定物件存取控制清單 (ACL) 許可，則為必要項。 | 
|  | (條件式必要) `s3:PutObjectTagging` | 如果您想要將一或多個物件標記新增至上傳的物件，則為必要項。 | 
|  | (條件式必要) `kms:GenerateDataKey` | 如果您想要在啟動分段上傳時，使用 AWS KMS 客戶受管金鑰來加密物件，則為必要項目。 | 
|  | (條件式必要) `s3:PutObjectRetention` | 如果您想要為上傳的物件設定物件鎖定保留組態，則為必要項。 | 
|  | (條件式必要) `s3:PutObjectLegalHold` | 如果您想要將物件鎖定法務保存套用至上傳的物件，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html) | (必要) `s3:DeleteObject` 或 `s3:DeleteObjectVersion` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | (條件式必要) `s3:BypassGovernanceRetention` | 如果您想要刪除受物件鎖定保留控管模式保護的物件，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html) | (必要) `s3:DeleteObject` 或 `s3:DeleteObjectVersion` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | (條件式必要) `s3:BypassGovernanceRetention` | 如果您想要刪除受物件鎖定保留控管模式保護的物件，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html) | (必要) `s3:DeleteObjectTagging` 或 `s3:DeleteObjectVersionTagging` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) | (必要) `s3:GetObject` 或 `s3:GetObjectVersion` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | (條件式必要) `kms:Decrypt` | 如果您想要取得和解密 AWS KMS 客戶受管金鑰加密物件，則為必要項目。 | 
|  | (條件式必要) `s3:GetObjectTagging` | 如果您想要在提出 `GetObject` 請求時取得物件的標籤組，則為必要項。 | 
|  | (條件式必要) `s3:GetObjectLegalHold` | 如果您想要取得物件的目前物件鎖定法務保存狀態，則為必要項。 | 
|  | (條件式必要) `s3:GetObjectRetention` | 如果您想要擷取物件的物件鎖定保留設定，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html) | (必要) `s3:GetObjectAcl` 或 `s3:GetObjectVersionAcl` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html) | (必要) `s3:GetObject` 或 `s3:GetObjectVersion` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | (條件式必要) `kms:Decrypt` | 如果您想要擷取 AWS KMS 與客戶受管金鑰加密物件相關的屬性，則為必要項目。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html) | (必要) `s3:GetObjectLegalHold` | 取得物件的目前物件鎖定法務保存狀態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html) | (必要) `s3:GetObjectRetention` | 擷取物件的物件鎖定保留設定時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html) | (必要) `s3:GetObjectTagging` 或 `s3:GetObjectVersionTagging` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTorrent.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTorrent.html) | (必要) `s3:GetObject` | 傳回物件的 torrent 檔案時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html) | (必要) `s3:GetObject` | 從物件擷取中繼資料而不傳回物件本身時需要。 | 
|  | (條件式必要) `s3:GetObjectLegalHold` | 如果您想要取得物件的目前物件鎖定法務保存狀態，則為必要項。 | 
|  | (條件式必要) `s3:GetObjectRetention` | 如果您想要擷取物件的物件鎖定保留設定，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html) | (必要) `s3:ListBucketMultipartUploads` | 列出儲存貯體中正在進行的分段上傳時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html) | (必要) `s3:ListMultipartUploadParts` | 列出特定分段上傳已上傳的組件時需要。 | 
|  | (條件式必要) `kms:Decrypt` | 如果您想要列出 AWS KMS 客戶受管金鑰加密分段上傳的部分，則為必要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) | (必要) `s3:PutObject` | 放置物件時需要。 | 
|  | (條件式必要) `s3:PutObjectAcl` | 如果您想要在提出 `PutObject` 請求時放置物件存取控制清單 (ACL)，則為必要項。 | 
|  | (條件式必要) `s3:PutObjectTagging` | 如果您想要在提出 `PutObject` 請求時放置物件標記，則為必要項。 | 
|  | (條件式必要) `kms:GenerateDataKey` | 如果您想要使用 AWS KMS 客戶受管金鑰加密物件，則為必要項目。 | 
|  | (條件式必要) `s3:PutObjectRetention` | 如果您想要在物件上設定物件鎖定保留組態，則為必要項。 | 
|  | (條件式必要) `s3:PutObjectLegalHold` | 如果您想要將物件鎖定法務保存組態套用至指定的物件，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html) | (必要) `s3:PutObjectAcl` 或 `s3:PutObjectVersionAcl` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html) | (必要) `s3:PutObjectLegalHold` | 將物件鎖定法務保存組態套用至物件時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html) | (必要) `s3:PutObjectRetention` | 將物件鎖定保留組態套用至物件時需要。 | 
|  | (條件式必要) `s3:BypassGovernanceRetention` | 如果您想要略過物件鎖定保留組態的控管模式，則為必要項。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html) | (必要) `s3:PutObjectTagging` 或 `s3:PutObjectVersionTagging` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html) | (必要) `s3:RestoreObject` | 還原已封存的物件複本時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_SelectObjectContent.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_SelectObjectContent.html) | (必要) `s3:GetObject` | 根據簡單的結構化查詢語言 (SQL) 陳述式篩選 S3 物件的內容時需要。 | 
|  | (條件式必要) `kms:Decrypt` | 如果您想要篩選使用 AWS KMS 客戶受管金鑰加密的 S3 物件內容，則為必要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateObjectEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateObjectEncryption.html) | （必要）`s3:UpdateObjectEncryption`、`s3:PutObject`、`kms:Encrypt`、`kms:Decrypt`、`kms:GenerateDataKey`、 `kms:ReEncrypt*` | 如果您想要在具有 Amazon S3 受管加密 (SSE-S3) 的伺服器端加密與具有 AWS Key Management Service (AWS KMS) 加密金鑰 (SSE-KMS) 的伺服器端加密之間變更加密物件，則為必要。您也可以使用 `UpdateObjectEncryption`操作來套用 S3 儲存貯體金鑰，以降低 AWS KMS 請求成本或變更用於加密資料的客戶受管 KMS 金鑰，以便您符合自訂金鑰輪換標準。 | 
|  | (條件式必要) `organizations:DescribeAccount` | 如果您使用的是 AWS Organizations，若要搭配 AWS 帳戶 組織內其他 的客戶受管 KMS 金鑰來使用 `UpdateObjectEncryption`操作，您必須擁有 `organizations:DescribeAccount`許可。 您還必須聯絡 ，請求能夠使用組織內其他成員帳戶 AWS KMS keys 擁有的功能 AWS 支援。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html) | (必要) `s3:PutObject` | 在分段上傳中上傳組件時需要。 | 
|  | (條件式必要) `kms:GenerateDataKey` | 如果您想要放置上傳組件並使用 AWS KMS 客戶受管金鑰進行加密，則為必要項目。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html) | 對於來源物件： | 對於來源物件： | 
|  | (必要) `s3:GetObject` 或 `s3:GetObjectVersion` |  [See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  | (條件式必要) `kms:Decrypt` | 如果您想要從來源儲存貯體複製 AWS KMS 客戶受管金鑰加密物件，則為必要項目。 | 
|  | 對於目的地組件： | 對於目的地組件： | 
|  | (必要) `s3:PutObject` | 將分段上傳組件上傳至目的地儲存貯體時需要。 | 
|  | (條件式必要) `kms:GenerateDataKey` | 當您將組件上傳至目的地儲存貯體時，如果您想要使用 AWS KMS 客戶受管金鑰加密組件，則為必要項目。 | 

## 一般用途儲存貯體操作和權限的存取點
<a name="using-with-s3-policy-actions-related-to-accesspoint"></a>

存取點操作是在 `accesspoint` 資源類型上執行的 S3 API 操作。您必須在 IAM 身分型政策中 (而不是在儲存貯體政策或存取點政策中) 指定存取點操作的 S3 政策動作。

在政策中，`Resource` 元素必須是 `accesspoint` ARN。如需 `Resource` 元素格式和範例政策的詳細資訊，請參閱[一般用途儲存貯體的存取點操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-accesspoint)。

**注意**  
如果您想要使用存取點來控制對儲存貯體或物件操作的存取，請注意下列事項：  
如需使用存取點控制對儲存貯體操作的存取，請參閱[一般用途儲存貯體的存取點政策中的儲存貯體操作](security_iam_service-with-iam.md#bucket-operations-ap)。
如需使用存取點控制物件操作的存取，請參閱[存取點政策中的物件操作](security_iam_service-with-iam.md#object-operations-ap)。
如需如何設定存取點政策的詳細資訊，請參閱[配置使用存取點的 IAM 原則](access-points-policies.md)。

以下是存取點操作和必要政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html) | (必要) `s3:CreateAccessPoint` | 建立與 S3 儲存貯體相關聯的存取點時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html) | (必要) `s3:DeleteAccessPoint` | 刪除存取點時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html) | (必要) `s3:DeleteAccessPointPolicy` | 刪除存取點政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) | (必要) `s3:GetAccessPointPolicy` | 擷取存取點政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicyStatus.html) | (必要) `s3:GetAccessPointPolicyStatus` | 擷取資訊以了解指定的存取點目前是否有允許公開存取的政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html) | (必要) `s3:PutAccessPointPolicy` | 放置存取點政策時需要。 | 

## Object Lambda 存取點操作和許可
<a name="using-with-s3-policy-actions-related-to-olap"></a>

Object Lambda 存取點操作是在 `objectlambdaaccesspoint` 資源類型上執行的 S3 API 操作。如需如何為 Object Lambda 存取點操作設定政策的詳細資訊，請參閱[設定 Object Lambda 存取點的 IAM 政策](olap-policies.md)。

以下是 Object Lambda 存取點操作和必要政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPointForObjectLambda.html) | (必要) `s3:CreateAccessPointForObjectLambda` | 建立 Object Lambda 存取點時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointForObjectLambda.html) | (必要) `s3:DeleteAccessPointForObjectLambda` | 刪除指定的 Object Lambda 存取點時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicyForObjectLambda.html) | (必要) `s3:DeleteAccessPointPolicyForObjectLambda` | 刪除指定 Object Lambda 存取點上的政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointConfigurationForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointConfigurationForObjectLambda.html) | (必要) `s3:GetAccessPointConfigurationForObjectLambda` | 擷取 Object Lambda 存取點的組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointForObjectLambda.html) | (必要) `s3:GetAccessPointForObjectLambda` | 擷取 Object Lambda 存取點的相關資訊時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyForObjectLambda.html) | (必要) `s3:GetAccessPointPolicyForObjectLambda` | 傳回與指定 Object Lambda 存取點相關聯的存取點政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyStatusForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyStatusForObjectLambda.html) | (必要) `s3:GetAccessPointPolicyStatusForObjectLambda` | 傳回特定 Object Lambda 存取點政策的政策狀態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointConfigurationForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointConfigurationForObjectLambda.html) | (必要) `s3:PutAccessPointConfigurationForObjectLambda` | 設定 Object Lambda 存取點的組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointPolicyForObjectLambda.html) | (必要) `s3:PutAccessPointPolicyForObjectLambda` | 將存取政策與指定的 Object Lambda 存取點建立關聯時需要。 | 

## 多區域存取點操作和許可
<a name="using-with-s3-policy-actions-related-to-mrap"></a>

多區域存取點操作是在 `multiregionaccesspoint` 資源類型上執行的 S3 API 操作。如需如何為多區域存取點操作設定政策的詳細資訊，請參閱[多區域存取點政策範例](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples)。

以下是多區域存取點操作和必要政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html) | (必要) `s3:CreateMultiRegionAccessPoint` | 建立多區域存取點並將其與 S3 儲存貯體建立關聯時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteMultiRegionAccessPoint.html) | (必要) `s3:DeleteMultiRegionAccessPoint` | 刪除多區域存取點時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html) | (必要) `s3:DescribeMultiRegionAccessPointOperation` | 擷取非同步請求的狀態以管理多區域存取點時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html) | (必要) `s3:GetMultiRegionAccessPoint` | 傳回指定多區域存取點的相關組態資訊時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html) | (必要) `s3:GetMultiRegionAccessPointPolicy` | 傳回指定多區域存取點的存取控制政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html) | (必要) `s3:GetMultiRegionAccessPointPolicyStatus` | 傳回特定多區域存取點的政策狀態，以指出指定的多區域存取點是否具有允許公開存取的存取控制政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html) | (必要) `s3:GetMultiRegionAccessPointRoutes` | 傳回多區域存取點的路由組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html) | (必要) `s3:PutMultiRegionAccessPointPolicy` | 更新指定多區域存取點的存取控制政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html) | (必要) `s3:SubmitMultiRegionAccessPointRoutes` | 提交多區域存取點的更新路由組態時需要。 | 

## 批次作業操作和許可
<a name="using-with-s3-policy-actions-related-to-batchops"></a>

(批次操作) 作業操作是在 `job` 資源類型上執行的 S3 API 操作。您必須在 IAM 身分型政策中 (而不是在儲存貯體政策中) 指定作業操作的 S3 政策動作。

在政策中，`Resource` 元素必須是 `job` ARN。如需 `Resource` 元素格式和範例政策的詳細資訊，請參閱[批次作業操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-batchops)。

以下是批次作業操作和必要政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteJobTagging.html) | (必要) `s3:DeleteJobTagging` | 移除現有 S3 Batch Operations 作業的標籤時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeJob.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeJob.html) | (必要) `s3:DescribeJob` | 擷取 Batch Operations 作業的組態參數和狀態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetJobTagging.html) | (必要) `s3:GetJobTagging` | 傳回現有 S3 Batch Operations 作業的標籤組時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutJobTagging.html) | (必要) `s3:PutJobTagging` | 在現有的 S3 Batch Operations 作業上放置或取代標籤時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobPriority.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobPriority.html) | (必要) `s3:UpdateJobPriority` | 更新現有作業的優先順序時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobStatus.html) | (必要) `s3:UpdateJobStatus` | 更新指定作業的狀態時需要。 | 

## S3 Storage Lens 組態操作和許可
<a name="using-with-s3-policy-actions-related-to-lens"></a>

S3 Storage Lens 組態操作是在 `storagelensconfiguration` 資源類型上執行的 S3 API 操作。如需如何設定 S3 Storage Lens 組態操作的詳細資訊，請參閱[設定 Amazon S3 Storage Lens 許可](storage_lens_iam_permissions.md)。

以下是 S3 Storage Lens 組態操作和必要政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfiguration.html) | (必要) `s3:DeleteStorageLensConfiguration` | 刪除 S3 Storage Lens 組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfigurationTagging.html) | (必要) `s3:DeleteStorageLensConfigurationTagging` | 刪除 S3 Storage Lens 組態標籤時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfiguration.html) | (必要) `s3:GetStorageLensConfiguration` | 取得 S3 Storage Lens 組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfigurationTagging.html) | (必要) `s3:GetStorageLensConfigurationTagging` | 取得 S3 Storage Lens 組態的標籤時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfigurationTagging.html) | (必要) `s3:PutStorageLensConfigurationTagging` | 在現有的 S3 Storage Lens 組態上放置或取代標籤時需要。 | 

## S3 Storage Lens 群組操作和許可
<a name="using-with-s3-policy-actions-related-to-lens-groups"></a>

S3 Storage Lens 群組操作是在 `storagelensgroup` 資源類型上執行的 S3 API 操作。如需如何設定 S3 Storage Lens 群組的詳細資訊，請參閱[Storage Lens 群組許可](storage-lens-groups.md#storage-lens-group-permissions)。

以下是 S3 Storage Lens 群組操作和必要政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensGroup.html) | (必要) `s3:DeleteStorageLensGroup` | 刪除現有的 S3 Storage Lens 群組時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensGroup.html) | (必要) `s3:GetStorageLensGroup` | 擷取 S3 Storage Lens 群組組態詳細資訊時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateStorageLensGroup.html) | (必要) `s3:UpdateStorageLensGroup` | 更新現有的 S3 Storage Lens 群組時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html) | (必要) `s3:CreateStorageLensGroup` | 需要用於建立新的 Storage Lens 群組。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) | (必要) `s3:CreateStorageLensGroup`、`s3:TagResource` | 需要用於建立具有標籤的新 Storage Lens 群組。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html) | (必要) `s3:ListStorageLensGroups` | 需要用於列出您主區域中的所有 Storage Lens 群組。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html) | (必要) `s3:ListTagsForResource` | 需要用於列出新增至 Storage Lens 群組的標籤。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) | (必要) `s3:TagResource` | 需要用於新增或更新現有 Storage Lens 群組的 Storage Lens 群組標籤。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) | (必要) `s3:UntagResource` | 需要用於從 Storage Lens 群組刪除標籤。 | 

## S3 存取授權執行個體操作和權限
<a name="using-with-s3-policy-actions-related-to-s3ag-instances"></a>

S3 存取授權執行個體操作，是在 `accessgrantsinstance` 資源類型上執行的 S3 API 操作。S3 存取授權執行個體是存取授權的邏輯容器。如需使用 S3 存取授權執行個體的詳細資訊，請參閱 [使用 S3 存取授權執行個體](access-grants-instance.md)。

以下是 S3 存取授權執行個體組態操作，和必要的政策動作映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_AssociateAccessGrantsIdentityCenter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_AssociateAccessGrantsIdentityCenter.html) | (必要) `s3:AssociateAccessGrantsIdentityCenter` | 將 AWS IAM Identity Center 執行個體與 S3 Access Grants 執行個體建立關聯時需要，因此可讓您為公司身分目錄中的使用者和群組建立存取授權。您還須具備下列權限：<br />`sso:CreateApplication`、`sso:PutApplicationGrant` 和 `sso:PutApplicationAuthenticationMethod`。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsInstance.html) | (必要) `s3:CreateAccessGrantsInstance` | 需要用於建立 S3 存取授權執行個體 (`accessgrantsinstance` 資源)，這是您的個別存取授權的容器。<br />若要將 AWS IAM Identity Center 執行個體與您的 S3 Access Grants 執行個體建立關聯，您還必須擁有 `sso:DescribeInstance`、`sso:PutApplicationGrant`、 `sso:CreateApplication`和 `sso:PutApplicationAuthenticationMethod`許可。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstance.html) | (必要) `s3:DeleteAccessGrantsInstance` | 從您帳戶中 AWS 區域 的 刪除 S3 Access Grants 執行個體 (`accessgrantsinstance` 資源） 時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstanceResourcePolicy.html) | (必要) `s3:DeleteAccessGrantsInstanceResourcePolicy` | 需要用於刪除 S3 存取授權執行個體的資源政策時。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DissociateAccessGrantsIdentityCenter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DissociateAccessGrantsIdentityCenter.html) | (必要) `s3:DissociateAccessGrantsIdentityCenter` | 取消 AWS IAM Identity Center 執行個體與 S3 Access Grants 執行個體的關聯時需要。您還須具備下列權限：<br />`sso:DeleteApplication` | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstance.html) | (必要) `s3:GetAccessGrantsInstance` | 擷取 AWS 區域 您帳戶中 的 S3 Access Grants 執行個體時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceForPrefix.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceForPrefix.html) | (必要) `s3:GetAccessGrantsInstanceForPrefix` | 需要用於擷取包含特定字首的 S3 存取授權執行個體時。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceResourcePolicy.html) | (必要) `s3:GetAccessGrantsInstanceResourcePolicy` | 傳回 S3 Access Grants 執行個體的資源政策時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsInstances.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsInstances.html) | (必要) `s3:ListAccessGrantsInstances` | 需要用於傳回您帳戶中 S3 存取授權執行個體的清單時。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessGrantsInstanceResourcePolicy.html) | (必要) `s3:PutAccessGrantsInstanceResourcePolicy` | 需要用於更新 S3 存取授權執行個體的資源政策時。 | 

## S3 存取授權位置操作和權限
<a name="using-with-s3-policy-actions-related-to-s3ag-locations"></a>

S3 存取授權位置操作，是在 `accessgrantslocation` 資源類型上執行的 S3 API 操作。如需使用 S3 存取授權位置的詳細資訊，請參閱 [使用 S3 存取授權位置](access-grants-location.md)。

以下是 S3 存取授權位置組態操作，和必要的政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsLocation.html) | (必要) `s3:CreateAccessGrantsLocation` | 需要用於在 S3 存取授權執行個體中註冊位置 (建立 `accessgrantslocation` 資源) 時。您還須具有指定之 IAM 角色的下列權限：<br />`iam:PassRole` | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsLocation.html) | (必要) `s3:DeleteAccessGrantsLocation` | 需要用於從 S3 存取授權執行個體移除註冊位置時。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsLocation.html) | (必要) `s3:GetAccessGrantsLocation` | 需要用於擷取在 S3 存取授權執行個體中註冊的特定位置詳細資訊時。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsLocations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsLocations.html) | (必要) `s3:ListAccessGrantsLocations` | 需要用於傳回在 S3 存取授權執行個體中註冊的位置清單時。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateAccessGrantsLocation.html) | (必要) `s3:UpdateAccessGrantsLocation` | 需要用於更新在 S3 存取授權執行個體註冊之位置的 IAM 角色時。 | 

## S3 存取授權授予操作和權限
<a name="using-with-s3-policy-actions-related-to-s3ag-grants"></a>

S3 存取授權授予操作是在 `accessgrant` 資源類型上執行的 S3 API 操作。如需有關使用 S3 存取授權來處理個別授權的詳細資訊，請參閱 [在 S3 存取授權中使用授權](access-grants-grant.md)。

以下是 S3 存取授權之授予組態操作和必要政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrant.html) | (必要) `s3:CreateAccessGrant` | 需要用於為 S3 存取授權執行個體中的使用者或群組建立個別授權 (`accessgrant` 資源) 時。您還須具備下列權限：<br />對於任何目錄身分 — `sso:DescribeInstance` 和 `sso:DescribeApplication`<br />對於目錄使用者 — `identitystore:DescribeUser` | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html) | (必要) `s3:DeleteAccessGrant` | 需要用於從 S3 存取授權執行個體刪除個別存取授權 (`accessgrant` 資源) 時。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html) | (必要) `s3:GetAccessGrant` | 需要用於取得 S3 存取授權執行個體中個別存取授權的詳細資訊時。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html) | (必要) `s3:ListAccessGrants` | 需要用於傳回 S3 存取授權執行個體中個別存取授權的清單時。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html) | (必要) `s3:ListCallerAccessGrants` | 需要用於列出透過 S3 存取授權授予呼叫者存取 Amazon S3 資料的存取權時。 | 

## 帳戶操作和許可
<a name="using-with-s3-policy-actions-related-to-accounts"></a>

帳戶操作是在帳戶層級執行的 S3 API 操作。帳戶不是 Amazon S3 定義的資源類型。您必須在 IAM 身分型政策中 (而不是在儲存貯體政策中) 指定帳戶操作的 S3 政策動作。

在政策中，`Resource` 元素必須是 `"*"`。如需範例政策的詳細資訊，請參閱[帳戶操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-accounts)。

以下是帳戶操作和必要政策動作的映射。


| API 操作 | 政策動作 | 政策動作的描述 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateJob.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateJob.html) | (必要) `s3:CreateJob` | 建立新的 S3 Batch Operations 作業時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html) | (必要) `s3:CreateStorageLensGroup` | 建立新 S3 Storage Lens 群組並將其與指定的 AWS 帳戶 ID 建立關聯時需要。 | 
|  | (條件式必要) `s3:TagResource` | 如果您想要使用 AWS 資源標籤建立 S3 Storage Lens 群組，則為必要項目。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html) (帳戶層級) | (必要) `s3:PutAccountPublicAccessBlock` | 從 AWS 帳戶中移除封鎖公開存取組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html) | (必要) `s3:GetAccessPoint` | 擷取指定存取點的相關組態資訊時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) (帳戶層級) | (必要) `s3:GetAccountPublicAccessBlock` | 擷取 AWS 帳戶的封鎖公開存取組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html) | (必要) `s3:ListAccessPoints` | 列出 AWS 帳戶擁有的 S3 儲存貯體存取點時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForObjectLambda.html) | (必要) `s3:ListAccessPointsForObjectLambda` | 列出 Object Lambda 存取點時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html) | (必要) `s3:ListAllMyBuckets` | 傳回已驗證的請求發送者擁有的所有儲存貯體清單時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListJobs.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListJobs.html) | (必要) `s3:ListJobs` | 列出目前作業和最近結束的作業時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html) | (必要) `s3:ListMultiRegionAccessPoints` | 傳回目前與指定 AWS 帳戶相關聯的多區域存取點清單時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensConfigurations.html) | (必要) `s3:ListStorageLensConfigurations` | 取得 的 S3 Storage Lens 組態清單時需要 AWS 帳戶。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html) | (必要) `s3:ListStorageLensGroups` | 列出指定主要 AWS 區域中的所有 S3 Storage Lens 群組時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html) (帳戶層級) | (必要) `s3:PutAccountPublicAccessBlock` | 建立或修改 AWS 帳戶的封鎖公開存取組態時需要。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfiguration.html) | (必要) `s3:PutStorageLensConfiguration` | 放置 S3 Storage Lens 組態時需要。 |