本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 允許讀取和寫入存取 Amazon S3 儲存貯體
<a name="users-policies-all-access"></a>

本節說明如何建立允許讀取和寫入存取特定 Amazon S3 儲存貯體的 IAM 政策。將具有此 IAM 政策的 IAM 角色指派給您的使用者，可讓該使用者存取指定的 Amazon S3 儲存貯體。

下列政策提供 Amazon S3 儲存貯體的程式設計讀取、寫入和標記存取權。只有在您需要啟用跨帳戶存取時，才需要 `GetObjectACL`和 `PutObjectACL`陳述式。也就是說，您的 Transfer Family 伺服器需要存取不同帳戶中的儲存貯體。

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid":"ReadWriteS3",
      "Action": [
            "s3:ListBucket"
                ],
      "Effect": "Allow",
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:PutObject",
        "s3:GetObject",
        "s3:GetObjectTagging",
        "s3:DeleteObject",              
        "s3:DeleteObjectVersion",
        "s3:GetObjectVersion",
        "s3:GetObjectVersionTagging",
        "s3:GetObjectACL",
        "s3:PutObjectACL"
      ],
      "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket/*"]
    }
  ]
}
```

`ListBucket` 動作需要對儲存貯體本身的許可。`PUT`、`GET` 和 `DELETE` 動作需要物件許可。由於這些是不同的資源，因此會使用不同的 Amazon Resource Name (ARNs) 來指定這些資源。

若要進一步限制使用者只能存取指定 Amazon S3 儲存貯體的`home`字首，請參閱 [為 Amazon S3 儲存貯體建立工作階段政策](users-policies-session.md)。