Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Bagaimana Amazon S3 bekerja dengan IAM
Sebelum Anda menggunakan IAM untuk mengelola akses ke Amazon S3, pelajari fitur IAM apa yang tersedia untuk digunakan dengan Amazon S3.
**Fitur IAM yang dapat Anda gunakan dengan Amazon S3**
| Fitur IAM | Dukungan Amazon S3 |
| --- | --- |
| [Kebijakan berbasis identitas](#security_iam_service-with-iam-id-based-policies) | Ya |
| [Kebijakan berbasis sumber daya](#security_iam_service-with-iam-resource-based-policies) | Ya |
| [Tindakan kebijakan](#security_iam_service-with-iam-id-based-policies-actions) | Ya |
| [Sumber daya kebijakan](#security_iam_service-with-iam-id-based-policies-resources) | Ya |
| [kunci-kunci persyaratan kebijakan (spesifik layanan)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Ya |
| [ACLs](#security_iam_service-with-iam-acls) | Ya |
| [ABAC (tanda dalam kebijakan)](#security_iam_service-with-iam-tags) | Parsial |
| [Kredensial sementara](#security_iam_service-with-iam-roles-tempcreds) | Ya |
| [Sesi akses teruskan (FAS)](#security_iam_service-with-iam-principal-permissions) | Ya |
| [Peran layanan](#security_iam_service-with-iam-roles-service) | Ya |
| [Peran terkait layanan](#security_iam_service-with-iam-roles-service-linked) | Parsial |
*Untuk mendapatkan tampilan tingkat tinggi tentang cara kerja Amazon S3 dan layanan AWS lainnya dengan sebagian besar fitur IAM, [AWS lihat layanan yang bekerja dengan IAM di Panduan Pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) IAM.*
Untuk informasi selengkapnya tentang izin operasi S3 API menurut jenis sumber daya S3, lihat. [Izin yang diperlukan untuk operasi API Amazon S3](using-with-s3-policy-actions.md)
## Kebijakan berbasis identitas untuk Amazon S3
**Mendukung kebijakan berbasis identitas**: Ya
Kebijakan berbasis identitas adalah dokumen kebijakan izin JSON yang dapat Anda lampirkan ke sebuah identitas, seperti pengguna IAM, grup pengguna IAM, atau peran IAM. Kebijakan ini mengontrol jenis tindakan yang dapat dilakukan oleh pengguna dan peran, di sumber daya mana, dan berdasarkan kondisi seperti apa. Untuk mempelajari cara membuat kebijakan berbasis identitas, lihat [Tentukan izin IAM kustom dengan kebijakan terkelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dalam *Panduan Pengguna IAM*.
Dengan kebijakan berbasis identitas IAM, Anda dapat menentukan secara spesifik apakah tindakan dan sumber daya diizinkan atau ditolak, serta kondisi yang menjadi dasar dikabulkan atau ditolaknya tindakan tersebut. Untuk mempelajari semua elemen yang dapat Anda gunakan dalam kebijakan JSON, lihat [Referensi elemen kebijakan JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dalam *Panduan Pengguna IAM*.
### Contoh kebijakan berbasis identitas untuk Amazon S3
Untuk melihat contoh kebijakan berbasis identitas Amazon S3, lihat. [Kebijakan berbasis identitas untuk Amazon S3](security_iam_id-based-policy-examples.md)
## Kebijakan berbasis sumber daya dalam Amazon S3
**Mendukung kebijakan berbasis sumber daya**: Ya
Kebijakan berbasis sumber daya adalah dokumen kebijakan JSON yang Anda lampirkan ke sumber daya. Contoh kebijakan berbasis sumber daya adalah *kebijakan kepercayaan peran* IAM dan *kebijakan bucket* Amazon S3. Dalam layanan yang mendukung kebijakan berbasis sumber daya, administrator layanan dapat menggunakannya untuk mengontrol akses ke sumber daya tertentu. Untuk sumber daya tempat kebijakan dilampirkan, kebijakan menentukan tindakan apa yang dapat dilakukan oleh principal tertentu pada sumber daya tersebut dan dalam kondisi apa. Anda harus [menentukan principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam kebijakan berbasis sumber daya. Prinsipal dapat mencakup akun, pengguna, peran, pengguna federasi, atau. Layanan AWS
Untuk mengaktifkan akses lintas akun, Anda dapat menentukan secara spesifik seluruh akun atau entitas IAM di akun lain sebagai principal dalam kebijakan berbasis sumber daya. Untuk informasi selengkapnya, lihat [Akses sumber daya lintas akun di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dalam *Panduan Pengguna IAM*.
Layanan Amazon S3 mendukung *kebijakan bucket, kebijakan* *titik akses*, dan hibah *akses*:
+ Kebijakan bucket adalah kebijakan berbasis sumber daya yang dilampirkan ke bucket Amazon S3. Kebijakan bucket menentukan prinsipal mana yang dapat melakukan tindakan di bucket.
+ Kebijakan titik akses adalah kebijakan berbasis sumber daya yang dievaluasi bersama dengan kebijakan bucket yang mendasarinya.
+ Hibah akses adalah model yang disederhanakan untuk menentukan izin akses ke data di Amazon S3 berdasarkan awalan, bucket, atau objek. Untuk informasi tentang Hibah Akses S3, lihat. [Mengelola akses dengan S3 Access Grants](access-grants.md)
### Prinsipal untuk kebijakan bucket
`Principal`Elemen menentukan pengguna, akun, layanan, atau entitas lain yang diizinkan atau ditolak akses ke sumber daya. Berikut ini adalah contoh-contoh menentukan `Principal`. Untuk informasi selengkapnya, lihat [Pengguna Utama](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dalam *Panduan Pengguna IAM*.
#### Berikan izin ke Akun AWS
Untuk memberikan izin ke Akun AWS, identifikasi akun menggunakan format berikut.
```
"AWS":"account-ARN"
```
Berikut ini adalah beberapa contohnya.
```
"Principal":{"AWS":"arn:aws:iam::AccountIDWithoutHyphens:root"}
```
```
"Principal":{"AWS":["arn:aws:iam::AccountID1WithoutHyphens:root","arn:aws:iam::AccountID2WithoutHyphens:root"]}
```
**catatan**
Contoh di atas memberikan izin kepada pengguna root, yang mendelegasikan izin ke tingkat akun. Namun, kebijakan IAM masih diperlukan pada peran dan pengguna tertentu di akun.
#### Berikan Izin kepada Pengguna IAM
Untuk memberikan izin kepada pengguna IAM dalam akun Anda, Anda harus memberikan pasangan nama-nilai `"AWS":"user-ARN"`.
```
"Principal":{"AWS":"arn:aws:iam::account-number-without-hyphens:user/username"}
```
Untuk contoh rinci yang memberikan step-by-step instruksi, lihat [Contoh 1: Pemilik bucket yang memberikan izin bucket kepada penggunanya](example-walkthroughs-managing-access-example1.md) dan[Contoh 3: Pemilik bucket yang memberikan izin kepada penggunanya ke objek yang bukan miliknya](example-walkthroughs-managing-access-example3.md).
**catatan**
Jika identitas IAM dihapus setelah Anda memperbarui kebijakan bucket, kebijakan bucket akan menampilkan pengenal unik di elemen utama, bukan ARN. Keunikan ini tidak pernah IDs digunakan kembali, sehingga Anda dapat dengan aman menghapus prinsipal dengan pengenal unik dari semua pernyataan kebijakan Anda. Untuk informasi selengkapnya tentang pengidentifikasi unik, lihat [pengidentifikasi IAM di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-unique-ids) Pengguna *IAM*.
#### Memberikan izin anonim
**Awas**
Berhati-hatilah saat memberikan akses anonim ke bucket Amazon S3. Saat Anda memberikan akses anonim, siapa pun di dunia dapat mengakses bucket Anda. Kami sangat menyarankan agar Anda tidak pernah memberikan akses menulis anonim apa pun ke bucket S3 Anda.
Untuk memberikan izin kepada semua orang, juga disebut sebagai akses anonim, Anda atur wildcard (`"*"`) sebagai nilai `Principal`. Misalnya, jika Anda mengonfigurasi bucket sebagai situs web, maka Anda ingin semua objek yang ada dalam bucket dapat diakses publik.
```
"Principal":"*"
```
```
"Principal":{"AWS":"*"}
```
Menggunakan `"Principal": "*"` dengan `Allow` efek dalam kebijakan berbasis sumber daya memungkinkan siapa pun, meskipun mereka tidak masuk AWS, untuk mengakses sumber daya Anda.
Menggunakan `"Principal" : { "AWS" : "*" }` dengan efek `Allow` dalam kebijakan berbasis sumber daya memungkinkan setiap pengguna root, pengguna IAM, sesi peran yang dianggap, atau pengguna gabungan di akun apa pun di dalam partisi yang sama untuk mengakses sumber daya Anda.
Untuk pengguna anonim, kedua metode ini setara. Untuk informasi selengkapnya, lihat [Semua pengguna](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html#principal-anonymous) utama di *Panduan Pengguna IAM*.
Anda tidak dapat menggunakan wildcard untuk mencocokkan sebagian nama pengguna utama atau ARN.
**penting**
Dalam kebijakan kontrol AWS akses, Prinsipal “\$1” dan \$1”AWS“: “\$1"\$1 berperilaku identik.
#### Batasi izin sumber daya
Anda juga dapat menggunakan kebijakan sumber daya untuk membatasi akses ke sumber daya yang seharusnya tersedia untuk pengguna utama IAM. Gunakan `Deny` pernyataan untuk mencegah akses.
Contoh berikut memblokir akses jika protokol transport aman tidak digunakan:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyBucketAccessIfSTPNotUsed",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"Bool": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
Menggunakan `"Principal": "*"` sehingga pembatasan ini berlaku untuk semua orang adalah praktik terbaik untuk kebijakan ini, daripada mencoba menolak akses hanya ke akun atau pengguna utama tertentu yang menggunakan metode ini.
#### Membutuhkan akses melalui CloudFront URLs
Anda dapat meminta pengguna mengakses konten Amazon S3 Anda hanya dengan menggunakan CloudFront URLs alih-alih Amazon S3. URLs Untuk melakukan ini, buat kontrol akses CloudFront asal (OAC). Kemudian, ubah izin pada data S3 Anda. Dalam kebijakan bucket, Anda dapat menetapkan CloudFront Principal sebagai berikut:
```
"Principal":{"Service":"cloudfront.amazonaws.com"}
```
Gunakan `Condition` elemen dalam kebijakan CloudFront untuk mengizinkan akses bucket hanya jika permintaan tersebut atas nama CloudFront distribusi yang berisi asal S3.
```
"Condition": {
"StringEquals": {
"AWS:SourceArn": "arn:aws:cloudfront::111122223333:distribution/CloudFront-distribution-ID"
}
}
```
Untuk informasi selengkapnya tentang mewajibkan akses S3 CloudFront URLs, lihat [Membatasi akses ke asal Layanan Penyimpanan Sederhana Amazon](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) di Panduan * CloudFront Pengembang Amazon*. Untuk informasi selengkapnya tentang manfaat keamanan dan privasi menggunakan Amazon CloudFront, lihat [Mengonfigurasi akses aman dan membatasi akses ke konten](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecurityAndPrivateContent.html).
### Contoh kebijakan berbasis sumber daya untuk Amazon S3
+ Untuk melihat contoh kebijakan untuk bucket Amazon S3, lihat. [Kebijakan Bucket untuk Amazon S3](bucket-policies.md)
+ Untuk melihat contoh kebijakan untuk titik akses, lihat[Mengonfigurasi kebijakan IAM untuk menggunakan titik akses](access-points-policies.md).
## Tindakan kebijakan untuk Amazon S3
**Mendukung tindakan kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen `Action` dari kebijakan JSON menjelaskan tindakan yang dapat Anda gunakan untuk mengizinkan atau menolak akses dalam sebuah kebijakan. Sertakan tindakan dalam kebijakan untuk memberikan izin untuk melakukan operasi terkait.
Berikut ini menunjukkan berbagai jenis hubungan pemetaan antara operasi API S3 dan tindakan kebijakan yang diperlukan.
+ One-to-one pemetaan dengan nama yang sama. Misalnya, untuk menggunakan operasi `PutBucketPolicy` API, tindakan `s3:PutBucketPolicy` kebijakan diperlukan.
+ One-to-one pemetaan dengan nama yang berbeda. Misalnya, untuk menggunakan operasi `ListObjectsV2` API, tindakan `s3:ListBucket` kebijakan diperlukan.
+ One-to-many pemetaan. Misalnya, untuk menggunakan operasi `HeadObject` API, `s3:GetObject` diperlukan. Selain itu, saat Anda menggunakan Kunci Objek S3 dan ingin mendapatkan status Penahanan Hukum atau pengaturan penyimpanan objek, tindakan terkait `s3:GetObjectLegalHold` atau `s3:GetObjectRetention` kebijakan juga diperlukan sebelum Anda dapat menggunakan operasi `HeadObject` API.
+ Many-to-one pemetaan. Misalnya, untuk menggunakan operasi `ListObjectsV2` atau `HeadBucket` API, tindakan `s3:ListBucket` kebijakan diperlukan.
*Untuk melihat daftar tindakan Amazon S3 untuk digunakan dalam kebijakan, lihat [Tindakan yang ditentukan oleh Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions) di Referensi Otorisasi Layanan.* Untuk daftar lengkap operasi Amazon S3 API, lihat Tindakan API [Amazon S3 di Referensi API](https://docs.aws.amazon.com//AmazonS3/latest/API/API_Operations.html) Layanan *Penyimpanan Sederhana Amazon*.
Untuk informasi selengkapnya tentang izin operasi S3 API menurut jenis sumber daya S3, lihat. [Izin yang diperlukan untuk operasi API Amazon S3](using-with-s3-policy-actions.md)
Tindakan kebijakan di Amazon S3 menggunakan awalan berikut sebelum tindakan:
```
s3
```
Untuk menetapkan secara spesifik beberapa tindakan dalam satu pernyataan, pisahkan tindakan tersebut dengan koma.
```
"Action": [
"s3:action1",
"s3:action2"
]
```
### Operasi bucket
Operasi bucket adalah operasi API S3 yang beroperasi pada tipe sumber daya bucket. Misalnya,`CreateBucket`,`ListObjectsV2`, dan`PutBucketPolicy`. Tindakan kebijakan S3 untuk operasi bucket memerlukan `Resource` elemen dalam kebijakan bucket atau kebijakan berbasis identitas IAM sebagai pengidentifikasi Amazon Resource Name (ARN) tipe bucket S3 dalam format contoh berikut.
```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
```
Kebijakan bucket berikut `Akua` memberi pengguna `s3:ListBucket` izin akun `12345678901` untuk melakukan operasi [https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html)API dan mencantumkan objek dalam bucket S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to list objects in the bucket",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket"
}
]
}
```
------
**Operasi bucket dalam kebijakan untuk titik akses untuk bucket tujuan umum**
Izin yang diberikan di jalur akses untuk kebijakan bucket tujuan umum hanya berlaku jika bucket yang mendasarinya mengizinkan izin yang sama. Saat menggunakan Titik Akses S3, Anda harus mendelegasikan kontrol akses dari bucket ke titik akses atau menambahkan izin yang sama dalam kebijakan titik akses ke kebijakan bucket yang mendasarinya. Untuk informasi selengkapnya, lihat [Mengonfigurasi kebijakan IAM untuk menggunakan titik akses](access-points-policies.md). Dalam kebijakan titik akses, tindakan kebijakan S3 untuk operasi bucket mengharuskan Anda menggunakan titik akses ARN untuk elemen `Resource` dalam format berikut.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point"
```
Kebijakan titik akses berikut `Akua` memberi pengguna akun `12345678901` `s3:ListBucket` izin untuk melakukan operasi [https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html)API melalui titik akses S3 bernama. `example-access-point` Izin ini memungkinkan `Akua` untuk membuat daftar objek di bucket yang terkait dengannya`example-access-point`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAkuaToListObjectsInBucketThroughAccessPoint",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3:us-west-2:111122223333:accesspoint/example-access-point"
}
]
}
```
------
**catatan**
Tidak semua operasi bucket didukung oleh titik akses untuk bucket tujuan umum. Untuk informasi selengkapnya, lihat [Kompatibilitas titik akses dengan operasi S3](access-points-service-api-support.md#access-points-operations-support).
**Operasi bucket dalam kebijakan untuk titik akses untuk bucket direktori**
Izin yang diberikan dalam jalur akses untuk kebijakan bucket direktori hanya efektif jika bucket yang mendasarinya mengizinkan izin yang sama. Saat menggunakan Titik Akses S3, Anda harus mendelegasikan kontrol akses dari bucket ke titik akses atau menambahkan izin yang sama dalam kebijakan titik akses ke kebijakan bucket yang mendasarinya. Untuk informasi selengkapnya, lihat [Mengkonfigurasi kebijakan IAM untuk menggunakan titik akses untuk bucket direktori](access-points-directory-buckets-policies.md). Dalam kebijakan titik akses, tindakan kebijakan S3 untuk operasi bucket mengharuskan Anda menggunakan titik akses ARN untuk elemen `Resource` dalam format berikut.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3"
```
Kebijakan titik akses berikut `Akua` memberi pengguna akun `12345678901` `s3:ListBucket` izin untuk melakukan operasi [https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_ListObjectsV2.html)API melalui titik akses bernama`example-access-point--usw2-az1--xa-s3`. Izin ini memungkinkan `Akua` untuk membuat daftar objek di bucket yang terkait dengannya`example-access-point--usw2-az1--xa-s3`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAkuaToListObjectsInTheBucketThroughAccessPoint",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:ListBucket"
],
"Resource": "arn:aws:s3express:us-east-1:111122223333:accesspoint/example-access-point-usw2-az1-xa-s3"
}
]
}
```
------
**catatan**
Tidak semua operasi bucket didukung oleh titik akses untuk bucket direktori. Untuk informasi selengkapnya, lihat [Operasi objek untuk titik akses untuk bucket direktori](access-points-directory-buckets-service-api-support.md).
### Operasi objek
Operasi objek adalah operasi API S3 yang bertindak berdasarkan jenis sumber daya objek. Misalnya,`GetObject`,`PutObject`, dan`DeleteObject`. Tindakan kebijakan S3 untuk operasi objek memerlukan `Resource` elemen dalam kebijakan menjadi objek ARN S3 dalam format contoh berikut.
```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
```
```
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/prefix/*"
```
**catatan**
Objek ARN harus berisi garis miring ke depan setelah nama bucket, seperti yang terlihat pada contoh sebelumnya.
Kebijakan bucket berikut `Akua` memberi pengguna `s3:PutObject` izin akun`12345678901`. Izin ini memungkinkan `Akua` untuk menggunakan operasi [https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_PutObject.html)API untuk mengunggah objek ke bucket S3 bernama`amzn-s3-demo-bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to upload objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*"
}
]
}
```
------
**Operasi objek dalam kebijakan titik akses**
Bila Anda menggunakan S3 Access Points untuk mengontrol akses ke operasi objek, Anda dapat menggunakan kebijakan titik akses. Saat Anda menggunakan kebijakan titik akses, tindakan kebijakan S3 untuk operasi objek mengharuskan Anda menggunakan titik akses ARN untuk elemen `Resource` dalam format berikut:. `arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource` Untuk operasi objek yang menggunakan titik akses, Anda harus menyertakan `/object/` nilai setelah seluruh titik akses ARN dalam elemen. `Resource` Berikut ini adalah beberapa contoh.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point/object/*"
```
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point/object/prefix/*"
```
Kebijakan jalur akses berikut `Akua` memberi pengguna `s3:GetObject` izin akun`12345678901`. Izin ini memungkinkan `Akua` untuk melakukan operasi [https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html)API melalui titik akses yang diberi nama `example-access-point` pada semua objek di bucket yang terkait dengan titik akses.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to get objects through access point",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/Akua"
},
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-access-point/object/*"
}
]
}
```
------
**catatan**
Tidak semua operasi objek didukung oleh titik akses. Untuk informasi selengkapnya, lihat [Kompatibilitas titik akses dengan operasi S3](access-points-service-api-support.md#access-points-operations-support).
**Operasi objek dalam kebijakan untuk titik akses untuk bucket direktori**
Saat Anda menggunakan titik akses untuk bucket direktori untuk mengontrol akses ke operasi objek, Anda dapat menggunakan kebijakan titik akses. Saat Anda menggunakan kebijakan titik akses, tindakan kebijakan S3 untuk operasi objek mengharuskan Anda menggunakan titik akses ARN untuk elemen `Resource` dalam format berikut:. `arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource` Untuk operasi objek yang menggunakan titik akses, Anda harus menyertakan `/object/` nilai setelah seluruh titik akses ARN dalam elemen. `Resource` Berikut ini adalah beberapa contoh.
```
"Resource": "arn:aws:s3express:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/*"
```
```
"Resource": "arn:aws:s3express:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/prefix/*"
```
Kebijakan jalur akses berikut `Akua` memberi pengguna `s3:GetObject` izin akun`12345678901`. Izin ini memungkinkan `Akua` untuk melakukan operasi [https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_GetObject.html)API melalui titik akses yang diberi nama `example-access-point--usw2-az1--xa-s3` pada semua objek di bucket yang terkait dengan titik akses.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Allow Akua to get objects through access point",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::12345678901:user/Akua"
},
"Action": "s3express:CreateSession","s3:GetObject"
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3/object/*"
}
]
}
```
**catatan**
Tidak semua operasi objek didukung oleh titik akses untuk bucket direktori. Untuk informasi selengkapnya, lihat [Operasi objek untuk titik akses untuk bucket direktori](access-points-directory-buckets-service-api-support.md).
### Titik akses untuk operasi bucket tujuan umum
Operasi titik akses adalah operasi API S3 yang beroperasi pada jenis `accesspoint` sumber daya. Misalnya,`CreateAccessPoint`,`DeleteAccessPoint`, dan`GetAccessPointPolicy`. Tindakan kebijakan S3 untuk operasi titik akses hanya dapat digunakan dalam kebijakan berbasis identitas IAM, bukan dalam kebijakan bucket atau kebijakan jalur akses. Operasi titik akses memerlukan `Resource` elemen untuk menjadi titik akses ARN dalam format contoh berikut.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point"
```
Kebijakan berbasis identitas IAM berikut memberikan `s3:GetAccessPointPolicy` izin untuk melakukan operasi [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html)API pada titik akses S3 bernama. `example-access-point`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GrantPermissionToRetrieveTheAccessPointPolicyOfAccessPointExampleAccessPoint",
"Effect": "Allow",
"Action": [
"s3:GetAccessPointPolicy"
],
"Resource": "arn:aws:s3:*:123456789012:accesspoint/example-access-point"
}
]
}
```
------
Saat Anda menggunakan Titik Akses, untuk mengontrol akses ke operasi bucket, lihat[Operasi bucket dalam kebijakan untuk titik akses untuk bucket tujuan umum](#bucket-operations-ap); untuk mengontrol akses ke operasi objek, lihat[Operasi objek dalam kebijakan titik akses](#object-operations-ap). Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan titik akses, lihat[Mengonfigurasi kebijakan IAM untuk menggunakan titik akses](access-points-policies.md).
### Titik akses untuk operasi bucket direktori
Titik akses untuk operasi bucket direktori adalah operasi API S3 yang beroperasi pada jenis `accesspoint` sumber daya. Misalnya,`CreateAccessPoint`,`DeleteAccessPoint`, dan`GetAccessPointPolicy`. Tindakan kebijakan S3 untuk operasi titik akses hanya dapat digunakan dalam kebijakan berbasis identitas IAM, bukan dalam kebijakan bucket atau kebijakan jalur akses. Titik akses untuk operasi bucket direktori memerlukan `Resource` elemen untuk menjadi titik akses ARN dalam format contoh berikut.
```
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/example-access-point--usw2-az1--xa-s3"
```
Kebijakan berbasis identitas IAM berikut memberikan `s3express:GetAccessPointPolicy` izin untuk melakukan operasi [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetAccessPointPolicy.html)API pada titik akses bernama. `example-access-point--usw2-az1--xa-s3`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "GrantPermissionToRetrieveTheAccessPointPolicyOfAccessPointExampleAccessPointUsw2Az1XaS3",
"Effect": "Allow",
"Action": [
"s3express:CreateSession","s3express:GetAccessPointPolicy"
],
"Resource": "arn:aws:s3:*:111122223333:accesspoint/example-access-point"
}
]
}
```
------
Kebijakan berbasis identitas IAM berikut memberikan `s3express:CreateAccessPoint` izin untuk membuat titik akses untuk bucket direktori.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Grant CreateAccessPoint.",
"Principal": "*",
"Action": "s3express:CreateSession",
"s3express:CreateAccessPoint""Effect": "Allow",
"Resource": "*"
}
]
}
```
Kebijakan berbasis identitas IAM berikut memberikan `s3express:PutAccessPointScope` izin untuk membuat cakupan titik akses untuk titik akses untuk bucket direktori.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Grant PutAccessPointScope",
"Principal": "*",
"Action": "s3express:CreateSession",
"s3express:CreateAccessPoint",
"S3Express:PutAccessPointScope""Effect": "Allow",
"Resource": "*",
}
]
}
```
Saat Anda menggunakan titik akses untuk bucket direktori untuk mengontrol akses ke operasi bucket, lihat[Operasi bucket dalam kebijakan untuk titik akses untuk bucket direktori](#bucket-operations-ap-directory-buckets); untuk mengontrol akses ke operasi objek, lihat[Operasi objek dalam kebijakan untuk titik akses untuk bucket direktori](#object-operations-ap-directory-buckets). Untuk informasi selengkapnya tentang cara mengonfigurasi titik akses untuk kebijakan bucket direktori, lihat[Mengkonfigurasi kebijakan IAM untuk menggunakan titik akses untuk bucket direktori](access-points-directory-buckets-policies.md).
### Operasi Objek Lambda Access Point
Dengan Lambda Objek Amazon S3, Anda dapat menambahkan kode Anda sendiri ke `GET`, `LIST`, dan `HEAD` Amazon S3 dan meminta untuk mengubah dan memproses data saat dikembalikan ke aplikasi. Anda dapat membuat permintaan melalui Object Lambda Access Point, yang berfungsi sama seperti membuat permintaan melalui titik akses lainnya. Untuk informasi selengkapnya, lihat [Mengubah objek dengan S3 Lambda Objek](transforming-objects.md).
Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan untuk operasi Titik Akses Objek Lambda, lihat. [Mengonfigurasi kebijakan IAM untuk Titik Akses Lambda Objek](olap-policies.md)
### Operasi Titik Akses Multi-Wilayah
Titik Akses Multi-Region menyediakan titik akhir global yang dapat digunakan aplikasi untuk memenuhi permintaan dari bucket S3 yang terletak di beberapa. Wilayah AWS Anda dapat menggunakan Titik Akses Multi-Wilayah untuk membangun aplikasi Multi-wilayah dengan arsitektur yang sama yang digunakan di satu Wilayah, dan kemudian menjalankan aplikasi tersebut di mana saja di dunia. Untuk informasi selengkapnya, lihat [Mengelola lalu lintas Multi-wilayah dengan Titik Akses Multi-Wilayah](MultiRegionAccessPoints.md).
Untuk informasi selengkapnya tentang cara mengonfigurasi kebijakan untuk operasi Titik Akses Multi-Wilayah, lihat[Contoh kebijakan Titik Akses Multi-Wilayah](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples).
### Operasi pekerjaan Batch
Operasi pekerjaan (Operasi Batch) adalah operasi API S3 yang beroperasi pada jenis sumber daya pekerjaan. Misalnya, `DescribeJob` dan `CreateJob`. Tindakan kebijakan S3 untuk operasi pekerjaan hanya dapat digunakan dalam kebijakan berbasis identitas IAM, bukan dalam kebijakan bucket. Selain itu, operasi pekerjaan memerlukan `Resource` elemen dalam kebijakan berbasis identitas IAM menjadi `job` ARN dalam format contoh berikut.
```
"Resource": "arn:aws:s3:*:123456789012:job/*"
```
Kebijakan berbasis identitas IAM berikut memberikan `s3:DescribeJob` izin untuk melakukan operasi [DescribeJob](https://docs.aws.amazon.com//AmazonS3/latest/API/API_DescribeJob.html)API pada pekerjaan Operasi Batch S3 yang diberi nama. `example-job`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDescribingBatchOperationJob",
"Effect": "Allow",
"Action": [
"s3:DescribeJob"
],
"Resource": "arn:aws:s3:*:111122223333:job/example-job"
}
]
}
```
------
### Operasi konfigurasi Lensa Penyimpanan S3
Untuk informasi selengkapnya tentang cara mengonfigurasi operasi konfigurasi Lensa Penyimpanan S3, lihat[Menyetel izin Lensa Penyimpanan Amazon S3](storage_lens_iam_permissions.md).
### Operasi akun
Operasi akun adalah operasi API S3 yang beroperasi pada tingkat akun. Misalnya, `GetPublicAccessBlock` (untuk akun). Akun bukanlah jenis sumber daya yang ditentukan oleh Amazon S3. Tindakan kebijakan S3 untuk operasi akun hanya dapat digunakan dalam kebijakan berbasis identitas IAM, bukan dalam kebijakan bucket. Selain itu, operasi akun memerlukan `Resource` elemen dalam kebijakan berbasis identitas IAM. `"*"`
Kebijakan berbasis identitas IAM berikut memberikan `s3:GetAccountPublicAccessBlock` izin untuk melakukan operasi [https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetPublicAccessBlock.html](https://docs.aws.amazon.com//AmazonS3/latest/API/API_control_GetPublicAccessBlock.html)API tingkat akun dan mengambil pengaturan Blok Akses Publik tingkat akun.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"AllowRetrievingTheAccountLevelPublicAccessBlockSettings",
"Effect":"Allow",
"Action":[
"s3:GetAccountPublicAccessBlock"
],
"Resource":[
"*"
]
}
]
}
```
------
### Contoh kebijakan untuk Amazon S3
+ Untuk melihat contoh kebijakan berbasis identitas Amazon S3, lihat. [Kebijakan berbasis identitas untuk Amazon S3](security_iam_id-based-policy-examples.md)
+ Untuk melihat contoh kebijakan berbasis sumber daya Amazon S3, lihat dan. [Kebijakan Bucket untuk Amazon S3](bucket-policies.md) [Mengonfigurasi kebijakan IAM untuk menggunakan titik akses](access-points-policies.md)
## Sumber daya kebijakan untuk Amazon S3
**Mendukung sumber daya kebijakan:** Ya
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, di mana **utama** dapat melakukan **tindakan** pada **sumber daya**, dan dalam **kondisi apa**.
Elemen kebijakan JSON `Resource` menentukan objek yang menjadi target penerapan tindakan. Praktik terbaiknya, tentukan sumber daya menggunakan [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Untuk tindakan yang tidak mendukung izin di tingkat sumber daya, gunakan wildcard (\$1) untuk menunjukkan bahwa pernyataan tersebut berlaku untuk semua sumber daya.
```
"Resource": "*"
```
Beberapa tindakan API Amazon S3 mendukung banyak sumber daya. Misalnya, `s3:GetObject` mengakses `example-resource-1` dan`example-resource-2`, jadi prinsipal harus memiliki izin untuk mengakses kedua sumber daya. Untuk menentukan beberapa sumber daya dalam satu pernyataan, pisahkan ARNs dengan koma, seperti yang ditunjukkan pada contoh berikut.
```
"Resource": [
"example-resource-1",
"example-resource-2"
```
Sumber daya di Amazon S3 adalah bucket, objek, titik akses, atau pekerjaan. Dalam kebijakan, gunakan Amazon Resource Name (ARN) bucket, objek, access point, atau job untuk mengidentifikasi sumber daya.
*Untuk melihat daftar lengkap jenis sumber daya Amazon S3 dan jenisnya ARNs, lihat Sumber daya yang [ditentukan oleh Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) di Referensi Otorisasi Layanan.* Untuk mempelajari tindakan mana yang dapat Anda tentukan ARN dari setiap sumber daya, lihat [Tindakan yang ditentukan oleh Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions).
Untuk informasi selengkapnya tentang izin operasi S3 API menurut jenis sumber daya S3, lihat. [Izin yang diperlukan untuk operasi API Amazon S3](using-with-s3-policy-actions.md)
### Karakter wildcard dalam sumber daya ARNs
Anda dapat menggunakan karakter wildcard sebagai bagian dari ARN sumber daya. Anda dapat menggunakan karakter wildcard (`*`dan`?`) dalam setiap segmen ARN (bagian dipisahkan oleh titik dua). Tanda bintang (`*`) menunjukkan kombinasi apa pun dari nol karakter atau lebih, dan tanda tanya (`?`) menunjukkan karakter tunggal. Anda dapat menggunakan beberapa `*` atau `?` karakter di setiap segmen. Namun, karakter wildcard tidak dapat menjangkau segmen.
+ ARN berikut menggunakan karakter `*` wildcard di `relative-ID` bagian ARN untuk mengidentifikasi semua objek dalam ember. `amzn-s3-demo-bucket`
```
1. arn:aws:s3:::amzn-s3-demo-bucket/*
```
+ ARN berikut digunakan `*` untuk menunjukkan semua ember dan objek S3.
```
arn:aws:s3:::*
```
+ ARN berikut menggunakan kedua karakter wildcard, `*` dan`?`, di bagian tersebut. `relative-ID` ARN ini mengidentifikasi semua objek dalam ember seperti*`amzn-s3-demo-example1bucket`*,, `amzn-s3-demo-example2bucket``amzn-s3-demo-example3bucket`, dan sebagainya.
```
1. arn:aws:s3:::amzn-s3-demo-example?bucket/*
```
### Variabel kebijakan untuk sumber daya ARNs
Anda dapat menggunakan variabel kebijakan di Amazon S3 ARNs. Pada waktu evaluasi kebijakan, variabel-variabel yang telah ditentukan ini digantikan oleh nilai-nilai yang sesuai. Misalkan Anda mengatur bucket Anda sebagai kumpulan folder, dengan satu folder untuk setiap pengguna Anda. Nama folder sama dengan nama pengguna. Untuk memberikan pengguna izin ke folder mereka, Anda dapat menentukan variabel kebijakan di ARN sumber daya:
```
arn:aws:s3:::bucket_name/developers/${aws:username}/
```
Saat runtime, ketika kebijakan dievaluasi, variabel `${aws:username}` dalam ARN sumber daya diganti dengan nama pengguna orang yang membuat permintaan.
### Contoh kebijakan untuk Amazon S3
+ Untuk melihat contoh kebijakan berbasis identitas Amazon S3, lihat. [Kebijakan berbasis identitas untuk Amazon S3](security_iam_id-based-policy-examples.md)
+ Untuk melihat contoh kebijakan berbasis sumber daya Amazon S3, lihat dan. [Kebijakan Bucket untuk Amazon S3](bucket-policies.md) [Mengonfigurasi kebijakan IAM untuk menggunakan titik akses](access-points-policies.md)
## Kunci kondisi kebijakan untuk Amazon S3
**Mendukung kunci kondisi kebijakan khusus layanan:** Yes
Administrator dapat menggunakan kebijakan AWS JSON untuk menentukan siapa yang memiliki akses ke apa. Yaitu, **principal** dapat melakukan **tindakan** pada suatu **sumber daya**, dan dalam suatu **syarat**.
Elemen `Condition` menentukan ketika pernyataan dieksekusi berdasarkan kriteria yang ditetapkan. Anda dapat membuat ekspresi bersyarat yang menggunakan [operator kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), misalnya sama dengan atau kurang dari, untuk mencocokkan kondisi dalam kebijakan dengan nilai-nilai yang diminta. Untuk melihat semua kunci kondisi AWS global, lihat [kunci konteks kondisi AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) di *Panduan Pengguna IAM*.
Setiap kunci kondisi Amazon S3 memetakan ke header permintaan nama yang sama yang diizinkan oleh API tempat kondisinya dapat disetel. Kunci kondisi spesifik Amazon S3 menentukan perilaku header permintaan nama yang sama. Misalnya, kunci kondisi yang `s3:VersionId` digunakan untuk memberikan izin bersyarat untuk `s3:GetObjectVersion` izin menentukan perilaku parameter `versionId` kueri yang Anda tetapkan dalam permintaan GET Object.
*Untuk melihat daftar kunci kondisi Amazon S3, lihat Kunci kondisi [untuk Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-policy-keys) di Referensi Otorisasi Layanan.* Untuk mempelajari tindakan dan sumber daya yang dapat Anda gunakan kunci kondisi, lihat [Tindakan yang ditentukan oleh Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-actions-as-permissions).
### Contoh: Membatasi unggahan objek ke objek dengan kelas penyimpanan tertentu
Misalkan Akun A, yang diwakili oleh ID akun`123456789012`, memiliki ember. Administrator Akun A ingin membatasi*`Dave`*, pengguna di Akun A, sehingga *`Dave`* dapat mengunggah objek ke bucket hanya jika objek disimpan di kelas `STANDARD_IA` penyimpanan. Untuk membatasi unggahan objek ke kelas penyimpanan tertentu, administrator Akun A dapat menggunakan kunci `s3:x-amz-storage-class` kondisi, seperti yang ditunjukkan dalam contoh kebijakan bucket berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Dave"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/*",
"Condition": {
"StringEquals": {
"s3:x-amz-storage-class": [
"STANDARD_IA"
]
}
}
}
]
}
```
------
Dalam contoh ini, blok `Condition` menentukan syarat `StringEquals` yang diterapkan untuk pasangan nilai kunci tertentu, `"s3:x-amz-acl":["public-read"]`. Ada satu pengaturan kunci yang telah ditetapkan yang dapat Anda gunakan dalam mengekspresikan syarat. Contoh tersebut menggunakan kunci kondisi `s3:x-amz-acl`. Kondisi ini mengharuskan pengguna untuk menyertakan `x-amz-acl` header dengan nilai `public-read` di setiap `PutObject` permintaan.
### Contoh kebijakan untuk Amazon S3
+ Untuk melihat contoh kebijakan berbasis identitas Amazon S3, lihat. [Kebijakan berbasis identitas untuk Amazon S3](security_iam_id-based-policy-examples.md)
+ Untuk melihat contoh kebijakan berbasis sumber daya Amazon S3, lihat dan. [Kebijakan Bucket untuk Amazon S3](bucket-policies.md) [Mengonfigurasi kebijakan IAM untuk menggunakan titik akses](access-points-policies.md)
## ACLs di Amazon S3
**Mendukung ACLs:** Ya
Di Amazon S3, kontrol daftar kontrol akses (ACLs) yang Akun AWS memiliki izin untuk mengakses sumber daya. ACLs mirip dengan kebijakan berbasis sumber daya, meskipun mereka tidak menggunakan format dokumen kebijakan JSON.
**penting**
Mayoritas kasus penggunaan modern di Amazon S3 tidak lagi memerlukan penggunaan. ACLs
Untuk informasi tentang penggunaan ACLs untuk mengontrol akses di Amazon S3, lihat. [Mengelola akses dengan ACLs](acls.md)
## ABAC dengan Amazon S3
**Mendukung ABAC (tag dalam kebijakan): Sebagian**
Kontrol akses berbasis atribut (ABAC) adalah strategi otorisasi yang menentukan izin berdasarkan atribut tanda. Anda dapat melampirkan tag ke entitas dan AWS sumber daya IAM, lalu merancang kebijakan ABAC untuk mengizinkan operasi saat tag prinsipal cocok dengan tag pada sumber daya.
Untuk mengendalikan akses berdasarkan tanda, berikan informasi tentang tanda di [elemen kondisi](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dari kebijakan menggunakan kunci kondisi `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, atau `aws:TagKeys`.
Jika sebuah layanan mendukung ketiga kunci kondisi untuk setiap jenis sumber daya, nilainya adalah **Ya** untuk layanan tersebut. Jika suatu layanan mendukung ketiga kunci kondisi untuk hanya beberapa jenis sumber daya, nilainya adalah **Parsial**.
Untuk informasi selengkapnya tentang ABAC, lihat [Tentukan izin dengan otorisasi ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dalam *Panduan Pengguna IAM.* Untuk melihat tutorial yang menguraikan langkah-langkah pengaturan ABAC, lihat [Menggunakan kontrol akses berbasis atribut (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dalam *Panduan Pengguna IAM*.
Untuk informasi tentang sumber daya yang mendukung ABAC di Amazon S3, [lihat Menggunakan tag untuk kontrol akses berbasis atribut](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac) (ABAC).
Untuk melihat contoh kebijakan berbasis identitas untuk membatasi akses ke pekerjaan Operasi Batch S3 berdasarkan tag, lihat. [Mengontrol izin untuk Operasi Batch menggunakan tag pekerjaan](batch-ops-job-tags-examples.md)
### ABAC dan tag objek
Dalam kebijakan ABAC, objek menggunakan `s3:` tag, bukan `aws:` tag. Untuk mengontrol akses ke objek berdasarkan tag objek, Anda memberikan informasi tag dalam [Conditionelemen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) kebijakan menggunakan tag berikut:
+ `s3:ExistingObjectTag/tag-key`
+ `s3:RequestObjectTagKeys`
+ `s3:RequestObjectTag/tag-key`
Untuk informasi tentang penggunaan tag objek untuk mengontrol akses, termasuk contoh kebijakan izin, lihat[Kebijakan pemberian tag dan kontrol akses](tagging-and-policies.md).
## Menggunakan kredensil sementara dengan Amazon S3
**Mendukung kredensial sementara:** Ya
Kredensi sementara menyediakan akses jangka pendek ke AWS sumber daya dan secara otomatis dibuat saat Anda menggunakan federasi atau beralih peran. AWS merekomendasikan agar Anda secara dinamis menghasilkan kredensi sementara alih-alih menggunakan kunci akses jangka panjang. Untuk informasi selengkapnya, lihat [Kredensial keamanan sementara di IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) dan [Layanan AWS yang berfungsi dengan IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dalam *Panduan Pengguna IAM*.
## Teruskan sesi akses untuk Amazon S3
**Mendukung sesi akses terusan (FAS):** Ya
Sesi akses teruskan (FAS) menggunakan izin dari pemanggilan utama Layanan AWS, dikombinasikan dengan permintaan Layanan AWS untuk membuat permintaan ke layanan hilir. Untuk detail kebijakan ketika mengajukan permintaan FAS, lihat [Sesi akses terusan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ FAS digunakan oleh Amazon S3 untuk melakukan panggilan AWS KMS untuk mendekripsi objek ketika SSE-KMS digunakan untuk mengenkripsi itu. Untuk informasi selengkapnya, lihat [Menggunakan enkripsi sisi server dengan AWS KMS kunci (SSE-KMS)](UsingKMSEncryption.md).
+ S3 Access Grants juga menggunakan FAS. Setelah Anda membuat hibah akses ke data S3 Anda untuk identitas tertentu, penerima hibah meminta kredensi sementara dari S3 Access Grants. S3 Access Grants memperoleh kredensi sementara untuk pemohon dari AWS STS dan memberikan kredensi kepada pemohon. Untuk informasi selengkapnya, lihat [Minta akses ke data Amazon S3 melalui S3 Access Grants](access-grants-credentials.md).
## Peran layanan untuk Amazon S3
**Mendukung peran layanan:** Ya
Peran layanan adalah [peran IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat [Buat sebuah peran untuk mendelegasikan izin ke Layanan AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dalam *Panduan pengguna IAM*.
**Awas**
Mengubah izin untuk peran layanan dapat merusak fungsionalitas Amazon S3. Edit peran layanan hanya jika Amazon S3 memberikan panduan untuk melakukannya.
## Peran terkait layanan untuk Amazon S3
**Mendukung peran terkait layanan**: Sebagian
Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.
Amazon S3 mendukung peran terkait layanan untuk Lensa Penyimpanan Amazon S3. Untuk detail tentang membuat atau mengelola peran terkait layanan Amazon S3, lihat. [Menggunakan Peran Terkait Layanan untuk Lensa Penyimpanan Amazon S3](using-service-linked-roles.md)
**Layanan Amazon S3 sebagai Principal**
| Nama layanan dalam kebijakan | Fitur S3 | Informasi selengkapnya |
| --- | --- | --- |
| `s3.amazonaws.com` | Replikasi S3 | [Menyiapkan ikhtisar replikasi langsung](replication-how-setup.md) |
| `s3.amazonaws.com` | Pemberitahuan acara S3 | [Notifikasi Peristiwa Amazon S3](EventNotifications.md) |
| `s3.amazonaws.com` | Inventaris S3 | [Membuat katalog dan menganalisis data Anda dengan S3 Inventory](storage-inventory.md) |
| `access-grants.s3.amazonaws.com` | Pemberian Akses S3 | [Mendaftarkan lokasi](access-grants-location-register.md) |
| `batchoperations.s3.amazonaws.com` | Operasi Batch S3 | [Memberikan izin untuk Batch Operations](batch-ops-iam-role-policies.md) |
| `logging.s3.amazonaws.com` | Pencatatan Akses Server S3 | [Mengaktifkan pencatatan akses server Amazon S3](enable-server-access-logging.md) |
| `storage-lens.s3.amazonaws.com` | Lensa Penyimpanan S3 | [Melihat metrik Lensa Penyimpanan Amazon S3 menggunakan ekspor data](storage_lens_view_metrics_export.md) |