# Amazon S3 API オペレーションに必要なアクセス許可
<a name="using-with-s3-policy-actions"></a>

**注記**  
このページでは、汎用バケットの Amazon S3 ポリシーアクションについて説明します。ディレクトリバケットの Amazon S3 ポリシーアクションの詳細については、「[ディレクトリバケットのアクション](s3-express-security-iam.md#s3-express-security-iam-actions)」を参照してください。

S3 API オペレーションを実行するには、適切なアクセス許可が必要です。このページでは、S3 API オペレーションを必要なアクセス許可にマッピングします。S3 API オペレーションを実行するアクセス許可を付与するには、有効なポリシー (S3 バケットポリシーや IAM アイデンティティベースのポリシーなど) を作成し、ポリシーの `Action` 要素で対応するアクションを指定する必要があります。これらのアクションはポリシーアクションと呼ばれます。すべての S3 API オペレーションが 1 つのアクセス許可 (1 つのポリシーアクション) で表されるわけではなく、さまざまな API オペレーションには複数のアクセス許可 (複数のポリシーアクション) が必要です。

ポリシーを作成するときは、対応する Amazon S3 ポリシーアクションに必要な正しいリソースタイプに基づいて、`Resource` 要素を指定する必要があります。このページでは、アクセス許可をリソースタイプ別に S3 API オペレーションに分類します。リソースタイプの詳細については、「*サービス認可リファレンス*」の「[Resource types defined by Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies)」を参照してください。Amazon S3 ポリシーアクションの完全なリストとポリシーで使用する条件キーについては、「サービス認可リファレンス」の「[Actions, resources, and condition keys for Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)」を参照してください。**Amazon S3 API オペレーションの完全なリストについては、「*Amazon Simple Storage Service API リファレンス*」の「[Amazon S3 API アクション](https://docs.aws.amazon.com//AmazonS3/latest/API/API_Operations.html)」を参照してください。

S3 で HTTP `403 Forbidden` エラーに対処する方法の詳細については、「[Amazon S3 でのアクセス拒否 (403 Forbidden) エラーのトラブルシューティング](troubleshoot-403-errors.md)」を参照してください。S3 で使用する IAM 機能の詳細については、「[Amazon S3 での IAM の機能](security_iam_service-with-iam.md)」を参照してください。S3 セキュリティのベストプラクティスに関する詳細は、「[Amazon S3 のセキュリティのベストプラクティス](security-best-practices.md)」を参照してください。

**Topics**
+ [

## バケットオペレーションとアクセス許可
](#using-with-s3-policy-actions-related-to-buckets)
+ [

## オブジェクトオペレーションとアクセス許可
](#using-with-s3-policy-actions-related-to-objects)
+ [

## 汎用バケットオペレーションのアクセスポイントとアクセス許可
](#using-with-s3-policy-actions-related-to-accesspoint)
+ [

## Object Lambda アクセスポイントのオペレーションとアクセス許可
](#using-with-s3-policy-actions-related-to-olap)
+ [

## マルチリージョンアクセスポイントとアクセス許可
](#using-with-s3-policy-actions-related-to-mrap)
+ [

## バッチジョブのオペレーションとアクセス許可
](#using-with-s3-policy-actions-related-to-batchops)
+ [

## S3 ストレージレンズ設定オペレーションとアクセス許可
](#using-with-s3-policy-actions-related-to-lens)
+ [

## S3 ストレージレンズグループのオペレーションとアクセス許可
](#using-with-s3-policy-actions-related-to-lens-groups)
+ [

## S3 Access Grants インスタンスのオペレーションとアクセス許可
](#using-with-s3-policy-actions-related-to-s3ag-instances)
+ [

## S3 Access Grants ロケーションのオペレーションとアクセス許可
](#using-with-s3-policy-actions-related-to-s3ag-locations)
+ [

## S3 Access Grants の許可付与オペレーションとアクセス許可
](#using-with-s3-policy-actions-related-to-s3ag-grants)
+ [

## API オペレーションとアクセス許可
](#using-with-s3-policy-actions-related-to-accounts)

## バケットオペレーションとアクセス許可
<a name="using-with-s3-policy-actions-related-to-buckets"></a>

バケットオペレーションは、バケットリソースタイプで動作する S3 API オペレーションです。バケットポリシーまたは IAM アイデンティティベースのポリシーでバケットオペレーションに S3 ポリシーアクションを指定する必要があります。

ポリシーでは、`Resource` 要素はバケットの Amazon リソースネーム (ARN) である必要があります。`Resource` 要素形式とポリシーの例の詳細については、「[バケットオペレーション](security_iam_service-with-iam.md#using-with-s3-actions-related-to-buckets)」を参照してください。

**注記**  
アクセスポイントポリシーのバケットオペレーションにアクセス許可を付与する場合は、次の点に注意してください。  
アクセスポイントポリシーのバケットオペレーションで付与されるアクセス許可は、基になるバケットで同じアクセス許可が許される場合にのみ有効です。アクセスポイントを使用する場合は、バケットからアクセスポイントにアクセスコントロールを委任するか、アクセスポイントポリシーで同じアクセス許可を基礎となるバケットのポリシーに追加する必要があります。
バケットオペレーションにアクセス許可を付与するアクセスポイントポリシーでは、`Resource` 要素は `accesspoint` ARN である必要があります。`Resource` 要素形式とポリシーの例の詳細については、「[汎用バケットのアクセスポイントのポリシーでのバケットオペレーション](security_iam_service-with-iam.md#bucket-operations-ap)」を参照してください。アクセスポイントポリシーの詳細については、「[アクセスポイントを使用するための IAM ポリシーの設定](access-points-policies.md)」を参照してください。
すべてのバケットオペレーションがアクセスポイントでサポートされているわけではありません。詳細については、「[S3 オペレーションとアクセスポイントの互換性](access-points-service-api-support.md#access-points-operations-support)」を参照してください。

以下は、バケットオペレーションと必要なポリシーアクションのマッピングです。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)  |  (必須) `s3:CreateBucket`  |  新しい S3 バケットを作成するのに必要です。  | 
|    |  (条件付きで必須) `s3:PutBucketAcl`  |  アクセスコントロールリスト (ACL) を使用して、`CreateBucket` リクエスト時にバケットに対してアクセス許可を指定する場合に必要です。  | 
|    |  (条件付きで必須) `s3:PutBucketObjectLockConfiguration`、`s3:PutBucketVersioning`  |  バケットの作成時に Object Lock を有効にする場合は必須です。  | 
|    |  (条件付きで必須) `s3:PutBucketOwnershipControls`  |  バケットの作成時に S3 オブジェクトの所有権を指定する場合は必須です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataConfiguration.html) (V2 API オペレーション。IAM ポリシーアクション名は、V1 および V2 API オペレーションで同じです。)  |  (必須) `s3:CreateBucketMetadataTableConfiguration`、`s3tables:CreateTableBucket`、`s3tables:CreateNamespace`、`s3tables:CreateTable`、`s3tables:GetTable`、`s3tables:PutTablePolicy`、`s3tables:PutTableEncryption`、`kms:DescribeKey`  |  汎用バケットでメタデータテーブル設定を作成するために必要です。 AWS マネージドテーブルバケットとメタデータテーブル設定で指定されたメタデータテーブルを作成するには、指定された `s3tables` アクセス許可が必要です。 AWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化 (SSE-KMS) を使用してメタデータテーブルを暗号化する場合は、KMS キーポリシーに追加のアクセス許可が必要です。詳細については、「[メタデータテーブルを設定するためのアクセス許可の設定](metadata-tables-permissions.md)」を参照してください。 メタデータテーブルをクエリできるように AWS マネージドテーブルバケットを AWS 分析サービスと統合する場合は、追加のアクセス許可が必要です。詳細については、「[Integrating Amazon S3 Tables with AWS analytics services](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-integrating-aws.html)」を参照してください。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucketMetadataTableConfiguration.html) (V1 API オペレーション)  |  (必須) `s3:CreateBucketMetadataTableConfiguration`、`s3tables:CreateNamespace`、`s3tables:CreateTable`、`s3tables:GetTable`、`s3tables:PutTablePolicy`  |  汎用バケットでメタデータテーブル設定を作成するために必要です。 メタデータテーブル設定で指定されたテーブルバケットにメタデータテーブルを作成するには、指定された `s3tables` アクセス許可が必要です。 AWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化 (SSE-KMS) を使用してメタデータテーブルを暗号化する場合は、追加のアクセス許可が必要です。詳細については、「[メタデータテーブルを設定するためのアクセス許可の設定](metadata-tables-permissions.md)」を参照してください。 メタデータテーブルをクエリできるようにテーブルバケットを AWS 分析サービスと統合する場合は、追加のアクセス許可が必要です。詳細については、「[Integrating Amazon S3 Tables with AWS analytics services](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-tables-integrating-aws.html)」を参照してください。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucket.html)  |  (必須) `s3:DeleteBucket`  |  S3 バケットを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketAnalyticsConfiguration.html)  |  (必須) `s3:PutAnalyticsConfiguration`  |  S3 バケットから S3 分析設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketCors.html)  |  (必須) `s3:PutBucketCORS`  |  バケットのクロスオリジンリソース共有 (CORS) 設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketEncryption.html)  |  (必須) `s3:PutEncryptionConfiguration`  |  Amazon S3 マネージドキーによるサーバー側の暗号化 (SSE-S3) は、S3 のバケットでデフォルトの暗号化設定をリセットするために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketIntelligentTieringConfiguration.html)  |  (必須) `s3:PutIntelligentTieringConfiguration`  |  S3 バケットから既存の S3 Intelligent-Tiering 設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketInventoryConfiguration.html)  |  (必須) `s3:PutInventoryConfiguration`  |  S3 バケットから S3 インベントリ設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketLifecycle.html)  |  (必須) `s3:PutLifecycleConfiguration`  |  S3 バケットの S3 ライフサイクル設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (V2 API オペレーション。IAM ポリシーアクション名は、V1 および V2 API オペレーションで同じです。)  |  (必須) `s3:DeleteBucketMetadataTableConfiguration`  |  汎用バケットからメタデータテーブル設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetadataTableConfiguration.html) (V1 API オペレーション)  |  (必須) `s3:DeleteBucketMetadataTableConfiguration`  |  汎用バケットからメタデータテーブル設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketMetricsConfiguration.html)  |  (必須) `s3:PutMetricsConfiguration`  |  Amazon S3 バケットからの Amazon CloudWatch リクエストメトリクスのメトリクス構成を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketOwnershipControls.html)   |  (必須) `s3:PutBucketOwnershipControls`  |  S3 バケットのオブジェクト所有権設定を削除するために必要です。削除後、オブジェクト所有権の設定は `Object writer` になります。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketPolicy.html)  |  (必須) `s3:DeleteBucketPolicy`  |  S3 バケットのポリシーを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketReplication.html)  |  (必須) `s3:PutReplicationConfiguration`  |  S3 バケットのレプリケーション設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketTagging.html)  |  (必須) `s3:PutBucketTagging`  |  S3 バケットからタグを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteBucketWebsite.html)  |  (必須) `s3:DeleteBucketWebsite`  |  S3 バケットのウェブサイト設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html) (バケットレベル)  |  (必須) `s3:PutBucketPublicAccessBlock`  |  S3 バケットのブロックパブリックアクセス設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAccelerateConfiguration.html)  |  (必須) `s3:GetAccelerateConfiguration`  |  Accelerate サブリソースを使用してバケット のAmazon S3 Transfer Acceleration 状態 (Enabled または Suspended) を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)  |  (必須) `s3:GetBucketAcl`  |  S3 バケットのアクセスコントロールリスト (ACL) を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAnalyticsConfiguration.html)  |  (必須) `s3:GetAnalyticsConfiguration`  |  S3 バケットから分析設定 ID によって識別される分析設定を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)  |  (必須) `s3:GetBucketCORS`  |  S3 バケットのクロスオリジンリソース共有 (CORS) 設定を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketEncryption.html)  |  (必須) `s3:GetEncryptionConfiguration`  |  S3 バケットのデフォルトの暗号化設定を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketIntelligentTieringConfiguration.html)  |  (必須) `s3:GetIntelligentTieringConfiguration`  |  S3 バケットの S3 Intelligent-Tiering 設定を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketInventoryConfiguration.html)  |  (必須) `s3:GetInventoryConfiguration`  |  バケットのインベントリ設定 ID で識別されインベントリ設定を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLifecycle.html)  |  (必須) `s3:GetLifecycleConfiguration`  |  バケットの S3 ライフサイクル設定を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)  |  (必須) `s3:GetBucketLocation`  |  S3 バケットが存在する AWS リージョンを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLogging.html)  |  (必須) `s3:GetBucketLogging`  |  S3 バケットのロギングステータスと、ユーザーがそのステータスを表示および変更するアクセス許可を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (V2 API オペレーション。IAM ポリシーアクション名は、V1 および V2 API オペレーションで同じです。)  |  (必須) `s3:GetBucketMetadataTableConfiguration`  |  汎用バケットのメタデータテーブル設定を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetadataTableConfiguration.html) (V1 API オペレーション)  |  (必須) `s3:GetBucketMetadataTableConfiguration`  |  汎用バケットのメタデータテーブル設定を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketMetricsConfiguration.html)  |  (必須) `s3:GetMetricsConfiguration`  |  メトリクス設定 ID で指定されたメトリクス設定をバケットから取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)  |  (必須) `s3:GetBucketNotification`  |  S3 バケットの通知設定を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketOwnershipControls.html)  |  (必須) `s3:GetBucketOwnershipControls`  |  S3 バケットのオブジェクト所有権設定を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)  |  (必須) `s3:GetBucketPolicy`  |  ポリシーを S3 バケットに返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html)  |  (必須) `s3:GetBucketPolicyStatus`  |  バケットがパブリックかどうかを示す S3 バケットのポリシーステータスを取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketReplication.html)  |  (必須) `s3:GetReplicationConfiguration`  |  S3 バケットのレプリケーション設定を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketRequestPayment.html)  |  (必須) `s3:GetBucketRequestPayment`  |  S3 バケットのリクエスト支払い設定を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketVersioning.html)  |  (必須) `s3:GetBucketVersioning`  |  S3 バケットのバージョニング状態を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketTagging.html)  |  (必須) `s3:GetBucketTagging`  |  S3 バケットに関連付けられているタグセットを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketWebsite.html)  |  (必須) `s3:GetBucketWebsite`  |  S3 バケットのウェブサイト設定を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLockConfiguration.html)  |  (必須) `s3:GetBucketObjectLockConfiguration`  |  S3 バケットの Object Lock 設定を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html) (バケットレベル)  |  (必須) `s3:GetBucketPublicAccessBlock`  |  S3 バケットのブロックパブリックアクセス設定を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)  |  (必須) `s3:ListBucket`  |  バケットが存在し、そのバケットにアクセスする許可があるかどうかを判断するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketAnalyticsConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketAnalyticsConfigurations.html)  |  (必須) `s3:GetAnalyticsConfiguration`  |  S3 バケットの分析設定を一覧表示するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketIntelligentTieringConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketIntelligentTieringConfigurations.html)  |  (必須) `s3:GetIntelligentTieringConfiguration`  |  S3 バケットの S3 Intelligent-Tiering 設定を一覧表示するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketInventoryConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketInventoryConfigurations.html)  |  (必須) `s3:GetInventoryConfiguration`  |  S3 バケットのインベントリ設定のリストを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketMetricsConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBucketMetricsConfigurations.html)  |  (必須) `s3:GetMetricsConfiguration`  |  S3 バケットのメトリクス設定を一覧表示するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)  |  (必須) `s3:ListBucket`  |  S3 バケットのオブジェクトの一部またはすべて (最大 1,000) を一覧表示するために必要です。  | 
|    |  (条件付きで必須) `s3:GetObjectAcl`  |  オブジェクト所有者情報を表示する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)  |  (必須) `s3:ListBucket`  |  S3 バケットのオブジェクトの一部またはすべて (最大 1,000) を一覧表示するために必要です。  | 
|    |  (条件付きで必須) `s3:GetObjectAcl`  |  オブジェクト所有者情報を表示する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)  |  (必須) `s3:ListBucketVersions`  |  S3 バケット内のすべてのバージョンのオブジェクトに関するメタデータを取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAccelerateConfiguration.html)  |  (必須) `s3:PutAccelerateConfiguration`  |  既存のバケットの加速設定を指定するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAcl.html)  |  (必須) `s3:PutBucketAcl`  |  アクセスコントロールリスト (ACL) を使用して、既存のバケットに対するアクセス許可を設定するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketAnalyticsConfiguration.html)  |  (必須) `s3:PutAnalyticsConfiguration`  |  S3 バケットの分析設定を行うために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketCors.html)  |  (必須) `s3:PutBucketCORS`  |  S3 バケットのクロスオリジンリソース共有 (CORS) 設定を指定するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketEncryption.html)  |  (必須) `s3:PutEncryptionConfiguration`  |  S3 バケットにデフォルトの暗号化を設定するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketIntelligentTieringConfiguration.html)  |  (必須) `s3:PutIntelligentTieringConfiguration`  |  S3 Intelligent-Tiering 設定を S3 バケットに配置するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketInventoryConfiguration.html)  |  (必須) `s3:PutInventoryConfiguration`  |  S3 バケットにインベントリ設定を追加するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLifecycle.html)  |  (必須) `s3:PutLifecycleConfiguration`  |  S3 バケットの新しい S3 ライフサイクル設定を作成するか、既存のライフサイクル設定を置き換えるために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketLogging.html)  |  (必須) `s3:PutBucketLogging`  |  S3 バケットのログ記録パラメータを設定し、ログ記録パラメータを表示および変更できるユーザーのアクセス許可を指定するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketMetricsConfiguration.html)  |  (必須) `s3:PutMetricsConfiguration`  |  S3 バケットの Amazon CloudWatch リクエストメトリクスのメトリクス設定を実行または更新するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotificationConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketNotificationConfiguration.html)  |  (必須) `s3:PutBucketNotification`  |  S3 バケットの指定されたイベントの通知を有効にするために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketOwnershipControls.html)  |  (必須) `s3:PutBucketOwnershipControls`  |  S3 バケットのオブジェクト所有権設定を作成または変更するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketPolicy.html)  |  (必須) `s3:PutBucketPolicy`  |  S3 バケットポリシーをバケットに適用するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketReplication.html)  |  (必須) `s3:PutReplicationConfiguration`  |  新しいレプリケーション設定を作成するか、S3 バケットの既存のレプリケーション設定を置き換えるために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketRequestPayment.html)  |  (必須) `s3:PutBucketRequestPayment`  |  バケットのリクエスト支払い設定を実行するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketTagging.html)  |  (必須) `s3:PutBucketTagging`  |  S3 バケットにタグのセットを追加するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketVersioning.html)  |  (必須) `s3:PutBucketVersioning`  |  S3 バケットのバージョニング状態を設定するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutBucketWebsite.html)  |  (必須) `s3:PutBucketWebsite`  |  バケットをウェブサイトとして設定し、ウェブサイトの設定を行うために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLockConfiguration.html)  |  (必須) `s3:PutBucketObjectLockConfiguration`  |  S3 バケットに Object Lock 設定を追加するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html) (バケットレベル)  |  (必須) `s3:PutBucketPublicAccessBlock`  |  S3 バケットのブロックパブリックアクセス設定を作成または変更するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataInventoryTableConfiguration.html)  |  (必須) `s3:UpdateBucketMetadataInventoryTableConfiguration`、`s3tables:CreateTableBucket`、`s3tables:CreateNamespace`、`s3tables:CreateTable`、`s3tables:GetTable`、`s3tables:PutTablePolicy`、`s3tables:PutTableEncryption`、`kms:DescribeKey`  |  汎用バケットのメタデータテーブル設定のインベントリテーブルを有効または無効にするために必要です。 AWS Key Management Service (AWS KMS) キーによるサーバー側の暗号化 (SSE-KMS) を使用してインベントリテーブルを暗号化する場合は、KMS キーポリシーに追加のアクセス許可が必要です。詳細については、「[メタデータテーブルを設定するためのアクセス許可の設定](metadata-tables-permissions.md)」を参照してください。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateBucketMetadataJournalTableConfiguration.html)  |  (必須) `s3:UpdateBucketMetadataJournalTableConfiguration`  |  汎用バケットのメタデータテーブル設定のジャーナルテーブルレコードの有効期限を有効または無効にするために必要です。  | 

## オブジェクトオペレーションとアクセス許可
<a name="using-with-s3-policy-actions-related-to-objects"></a>

オブジェクトオペレーションは、オブジェクトリソースタイプで動作する S3 API オペレーションです。リソースベースのポリシー (バケットポリシー、アクセスポイントポリシー、マルチリージョンアクセスポイントポリシー、VPC エンドポイントポリシーなど) または IAM アイデンティティベースのポリシーでオブジェクトオペレーションに S3 ポリシーアクションを指定する必要があります。

ポリシーでは、`Resource` 要素はオブジェクト ARN である必要があります。`Resource` 要素形式とポリシーの例の詳細については、「[オブジェクト操作](security_iam_service-with-iam.md#using-with-s3-actions-related-to-objects)」を参照してください。

**注記**  
AWS KMS ポリシーアクション (`kms:GenerateDataKey` および `kms:Decrypt`) は AWS KMS リソースタイプにのみ適用され、IAM アイデンティティベースのポリシーと AWS KMS リソースベースのポリシー (AWS KMS キーポリシー) で指定する必要があります。S3 バケットポリシーなど、S3 リソースベースのポリシーでは AWS KMS ポリシーアクションを指定できません。
アクセスポイントを使用してオブジェクトオペレーションへのアクセスを制御する場合、アクセスポイントポリシーを使用できます。アクセスポイントポリシーのオブジェクトオペレーションにアクセス許可を付与するには、次の点に注意してください。  
オブジェクトオペレーションへのアクセス許可を付与するアクセスポイントポリシーでは、`Resource` 要素はアクセスポイントを介してアクセスされるオブジェクトの ARN である必要があります。`Resource` 要素形式とポリシーの例の詳細については、「[アクセスポイントポリシーでのオブジェクトオペレーション](security_iam_service-with-iam.md#object-operations-ap)」を参照してください。
すべてのオブジェクトオペレーションがアクセスポイントでサポートされているわけではありません。詳細については、「[S3 オペレーションとアクセスポイントの互換性](access-points-service-api-support.md#access-points-operations-support)」を参照してください。
すべてのオブジェクトオペレーションがマルチリージョンアクセスポイントでサポートされているわけではありません。詳細については、「[S3 オペレーションとマルチリージョンアクセスポイントの互換性](MrapOperations.md#mrap-operations-support)」を参照してください。

オブジェクトオペレーションと必要なポリシーアクションのマッピングを次に示します。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)  |  (必須) `s3:AbortMultipartUpload`  |  マルチパートアップロードを中止するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)  |  (必須) `s3:PutObject`  |  マルチパートアップロードを完了するために必要です。  | 
|    |  (条件付きで必須) `kms:Decrypt`  |  AWS KMS カスタマーマネージドキー暗号化オブジェクトのマルチパートアップロードを完了する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)  |  ソースオブジェクトの場合:  |  ソースオブジェクトの場合:  | 
|    |  (必須) `s3:GetObject` または `s3:GetObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (条件付きで必須) `kms:Decrypt`  |  ソースバケットから AWS KMS カスタマーマネージドキーで暗号化されたオブジェクトをコピーする場合に必要です。  | 
|    |  送信先オブジェクトの場合:  |  送信先オブジェクトの場合:  | 
|    |  (必須) `s3:PutObject`  |  コピーしたたオブジェクトを送信先バケットに配置するために必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectAcl`  |  `CopyObject` リクエストを行うときに、オブジェクトアクセスコントロールリスト (ACL) を持つコピーしたオブジェクトを送信先バケットに配置する場合に必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectTagging`  |  `CopyObject` リクエストを行うときに、オブジェクトのタグが付いたコピーしたオブジェクトを送信先バケットに配置する場合に必要です。  | 
|    |  (条件付きで必須) `kms:GenerateDataKey`  |  コピーしたオブジェクトを AWS KMS カスタマーマネージドキーで暗号化し、送信先バケットに配置する場合に必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectRetention`  |  新しいオブジェクトの Object Lock 保持設定を行う場合に必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectLegalHold`  |  新しいオブジェクトに Object Lock のリーガルホールドを適用する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)  |  (必須) `s3:PutObject`  |  マルチパートアップロードを作成するために必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectAcl`  |  アップロードしたオブジェクトのオブジェクトアクセスコントロールリスト (ACL) アクセス許可を設定する場合に必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectTagging`  |  アップロードしたオブジェクトにオブジェクトのタグ付け (複数可) を追加する場合に必要です。  | 
|    |  (条件付きで必須) `kms:GenerateDataKey`  |  マルチパートアップロードを開始するときに、AWS KMS カスタマーマネージドキーを使用してオブジェクトを暗号化する場合に必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectRetention`  |  アップロードしたオブジェクトの Object Lock 保持設定を実行する場合に必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectLegalHold`  |  アップロードしたオブジェクトに Object Lock のリーガルホールドを適用する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)  |  (必須) `s3:DeleteObject` または `s3:DeleteObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (条件付きで必須) `s3:BypassGovernanceRetention`  |  Object Lock 保持のガバナンスモードで保護されているオブジェクトを削除する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)  |  (必須) `s3:DeleteObject` または `s3:DeleteObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (条件付きで必須) `s3:BypassGovernanceRetention`  |  Object Lock 保持のガバナンスモードで保護されているオブジェクトを削除する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)  |  (必須) `s3:DeleteObjectTagging` または `s3:DeleteObjectVersionTagging`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)  |  (必須) `s3:GetObject` または `s3:GetObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (条件付きで必須) `kms:Decrypt`  |  AWS KMS カスタマーマネージドキーで暗号化されたオブジェクトを取得および復号する場合に必要です。  | 
|    |  (条件付きで必須) `s3:GetObjectTagging`  |  `GetObject` リクエストを行うときにオブジェクトのタグセットを取得する場合に必要です。  | 
|    |  (条件付きで必須) `s3:GetObjectLegalHold`  |  オブジェクトの現在の Object Lock のリーガルホールドステータスを取得する場合に必要です。  | 
|    |  (条件付きで必須) `s3:GetObjectRetention`  |  オブジェクトの Object Lock 保持設定を取得する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)  |  (必須) `s3:GetObjectAcl` または `s3:GetObjectVersionAcl`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)  |  (必須) `s3:GetObject` または `s3:GetObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (条件付きで必須) `kms:Decrypt`  |  AWS KMS カスタマーマネージドキー暗号化オブジェクトに関連する属性を取得する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)  |  (必須) `s3:GetObjectLegalHold`  |  オブジェクトの現在の Object Lock のリーガルホールドステータスを取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)  |  (必須) `s3:GetObjectRetention`  |  オブジェクトの Object Lock 保持設定を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)  |  (必須) `s3:GetObjectTagging` または `s3:GetObjectVersionTagging`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTorrent.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTorrent.html)  |  (必須) `s3:GetObject`  |  オブジェクトの torrent ファイルを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)  |  (必須) `s3:GetObject`  |  オブジェクト自体を返さずにオブジェクトからメタデータを取得するために必要です。  | 
|    |  (条件付きで必須) `s3:GetObjectLegalHold`  |  オブジェクトの現在の Object Lock のリーガルホールドステータスを取得する場合に必要です。  | 
|    |  (条件付きで必須) `s3:GetObjectRetention`  |  オブジェクトの Object Lock 保持設定を取得する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)  |  (必須) `s3:ListBucketMultipartUploads`  |  バケット内の進行中のマルチパートアップロードを一覧表示するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)  |  (必須) `s3:ListMultipartUploadParts`  |  特定のマルチパートアップロードでアップロードされている部分を一覧表示するために必要です。  | 
|    |  (条件付きで必須) `kms:Decrypt`  |  AWS KMS カスタマーマネージドキー暗号化マルチパートアップロードの一部を一覧表示する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)  |  (必須) `s3:PutObject`  |  オブジェクトを配置するために必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectAcl`  |  `PutObject` リクエストを行うときにオブジェクトアクセスコントロールリスト (ACL) を配置する場合に必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectTagging`  |  `PutObject` リクエストを行うときにオブジェクトのタグ付けを行う場合に必要です。  | 
|    |  (条件付きで必須) `kms:GenerateDataKey`  |  AWS KMS カスタマーマネージドキーを使用してオブジェクトを暗号化する場合に必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectRetention`  |  オブジェクトに Object Lock 保持設定を行う場合に必要です。  | 
|    |  (条件付きで必須) `s3:PutObjectLegalHold`  |  指定されたオブジェクトに Object Lock のリーガルホールド設定を適用する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)  |  (必須) `s3:PutObjectAcl` または `s3:PutObjectVersionAcl`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)  |  (必須) `s3:PutObjectLegalHold`  |  Object Lock のリーガルホールド設定をオブジェクトに適用するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)  |  (必須) `s3:PutObjectRetention`  |  Object Lock 保持設定をオブジェクトに適用するために必要です。  | 
|    |  (条件付きで必須) `s3:BypassGovernanceRetention`  |  Object Lock 保持設定のガバナンスモードをバイパスする場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)  |  (必須) `s3:PutObjectTagging` または `s3:PutObjectVersionTagging`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)  |  (必須) `s3:RestoreObject`  |  アーカイブしたオブジェクトのコピーを復元するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_SelectObjectContent.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_SelectObjectContent.html)  |  (必須) `s3:GetObject`  |  シンプルな構造化クエリ言語 (SQL) ステートメントに基づいて S3 オブジェクトのコンテンツをフィルタリングするために必要です。  | 
|    |  (条件付きで必須) `kms:Decrypt`  |  AWS KMS カスタマーマネージドキーで暗号化された S3 オブジェクトのコンテンツをフィルタリングする場合に必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateObjectEncryption.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UpdateObjectEncryption.html) | (必須) `s3:UpdateObjectEncryption`、`s3:PutObject`、`kms:Encrypt`、`kms:Decrypt`、`kms:GenerateDataKey`、`kms:ReEncrypt*` | Amazon S3 マネージド暗号化 (SSE-S3) によるサーバー側の暗号化と AWS Key Management Service (AWS KMS) 暗号化キーによるサーバー側の暗号化 (SSE-KMS) の間で暗号化されたオブジェクトを変更する場合に必要です。`UpdateObjectEncryption` オペレーションを使用して S3 バケットキーを適用し、AWS KMS リクエストのコストを削減したり、データの暗号化に使用されるカスタマーマネージド KMS キーを変更して、カスタムキーローテーション標準に準拠することもできます。 | 
|    | (条件付きで必須) `organizations:DescribeAccount` | AWS Organizations を使用している場合、組織内の他の AWS アカウントのカスタマーマネージド KMS キーで `UpdateObjectEncryption` オペレーションを使用するには、`organizations:DescribeAccount` アクセス許可が必要です。  また、AWS サポート に連絡して、組織内の他のメンバーアカウントが所有する AWS KMS keys を使用する機能をリクエストする必要があります。   | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)  |  (必須) `s3:PutObject`  |  マルチパートアップロードでパートをアップロードするために必要です。  | 
|    |  (条件付きで必須) `kms:GenerateDataKey`  |  アップロードパートを配置し、AWS KMS カスタマーマネージドキーで暗号化する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)  |  ソースオブジェクトの場合:  |  ソースオブジェクトの場合:  | 
|    |  (必須) `s3:GetObject` または `s3:GetObjectVersion`  |  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/AmazonS3/latest/userguide/using-with-s3-policy-actions.html)  | 
|    |  (条件付きで必須) `kms:Decrypt`  |  ソースバケットから AWS KMS カスタマーマネージドキーで暗号化されたオブジェクトをコピーする場合に必要です。  | 
|    |  送信先のパートの場合:  |  送信先のパートの場合:  | 
|    |  (必須) `s3:PutObject`  |  マルチパートアップロードのパートを送信先バケットにアップロードするために必要です。  | 
|    |  (条件付きで必須) `kms:GenerateDataKey`  |  パートを送信先バケットにアップロードするときに、AWS KMS カスタマーマネージドキーを使用してパートを暗号化する場合に必要です。  | 

## 汎用バケットオペレーションのアクセスポイントとアクセス許可
<a name="using-with-s3-policy-actions-related-to-accesspoint"></a>

アクセスポイントオペレーションは、`accesspoint` リソースタイプで動作する S3 API オペレーションです。アクセスポイントオペレーションの S3 ポリシーアクションは、バケットポリシーやアクセスポイントポリシーではなく、IAM アイデンティティベースのポリシーで指定する必要があります。

ポリシーでは、`Resource` 要素は `accesspoint` ARN である必要があります。`Resource` 要素形式とポリシーの例の詳細については、「[汎用バケットオペレーションのアクセスポイント](security_iam_service-with-iam.md#using-with-s3-actions-related-to-accesspoint)」を参照してください。

**注記**  
アクセスポイントを使用してバケットまたはオブジェクトオペレーションへのアクセスを制御する場合は、次の点に注意してください。  
アクセスポイントを使用してバケットオペレーションへのアクセスを制御する方法については、「[汎用バケットのアクセスポイントのポリシーでのバケットオペレーション](security_iam_service-with-iam.md#bucket-operations-ap)」を参照してください。
アクセスポイントを使用してオブジェクトオペレーションへのアクセスを制御する方法については、「[アクセスポイントポリシーでのオブジェクトオペレーション](security_iam_service-with-iam.md#object-operations-ap)」を参照してください。
アクセスポイントポリシーの設定方法の詳細については、「[アクセスポイントを使用するための IAM ポリシーの設定](access-points-policies.md)」を参照してください。

以下は、アクセスポイントオペレーションと必要なポリシーアクションのマッピングです。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html)  |  (必須) `s3:CreateAccessPoint`  |  S3 バケットに関連付けられているアクセスポイントを作成するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html)  |  (必須) `s3:DeleteAccessPoint`  |  アクセスポイントを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html)  |  (必須) `s3:DeleteAccessPointPolicy`  |  アクセスポイントポリシーを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html)  |  (必須) `s3:GetAccessPointPolicy`  |  アクセスポイントポリシーを取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicyStatus.html)  |  (必須) `s3:GetAccessPointPolicyStatus`  |  指定したアクセスポイントにパブリックアクセスを許可するポリシーが現在あるかどうかに関する情報を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html)  |  (必須) `s3:PutAccessPointPolicy`  |  アクセスポイントポリシーを配置するために必要です。  | 

## Object Lambda アクセスポイントのオペレーションとアクセス許可
<a name="using-with-s3-policy-actions-related-to-olap"></a>

Object Lambda アクセスポイントオペレーションは、`objectlambdaaccesspoint` リソースタイプで動作する S3 API オペレーションです。Object Lambda アクセスポイントオペレーションのポリシーを設定する方法についての詳細は、「[Object Lambda アクセスポイントの IAM ポリシーの設定](olap-policies.md)」を参照してください。

Object Lambda アクセスポイントオペレーションと必要なポリシーアクションのマッピングを次に示します。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPointForObjectLambda.html)  |  (必須) `s3:CreateAccessPointForObjectLambda`  |  Object Lambda アクセスポイントを作成するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointForObjectLambda.html)  |  (必須) `s3:DeleteAccessPointForObjectLambda`  |  指定した Object Lambda アクセスポイントを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicyForObjectLambda.html)  |  (必須) `s3:DeleteAccessPointPolicyForObjectLambda`  |  指定したオブジェクト Lambda アクセスポイントでポリシーを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointConfigurationForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointConfigurationForObjectLambda.html)  |  (必須) `s3:GetAccessPointConfigurationForObjectLambda`  |  Object Lambda アクセスポイントの設定を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointForObjectLambda.html)  |  (必須) `s3:GetAccessPointForObjectLambda`  |  Object Lambda アクセスポイントに関する情報を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyForObjectLambda.html)  |  (必須) `s3:GetAccessPointPolicyForObjectLambda`  |  指定した Object Lambda アクセスポイントに関連付けられたアクセスポイントポリシーを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyStatusForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetAccessPointPolicyStatusForObjectLambda.html)  |  (必須) `s3:GetAccessPointPolicyStatusForObjectLambda`  |  特定の Object Lambda アクセスポイントポリシーのポリシーステータスを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointConfigurationForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointConfigurationForObjectLambda.html)  |  (必須) `s3:PutAccessPointConfigurationForObjectLambda`  |  Object Lambda アクセスポイントの設定に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointPolicyForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutAccessPointPolicyForObjectLambda.html)  |  (必須) `s3:PutAccessPointPolicyForObjectLambda`  |  アクセスポリシーを指定した Object Lambda アクセスポイントに関連付けるために必要です。  | 

## マルチリージョンアクセスポイントとアクセス許可
<a name="using-with-s3-policy-actions-related-to-mrap"></a>

マルチリージョンアクセスポイントオペレーションは、`multiregionaccesspoint` リソースタイプで動作する S3 API オペレーションです。マルチリージョンアクセスポイントオペレーションのポリシーを設定する方法の詳細については、「[マルチリージョンアクセスポイントポリシーの例](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples)」を参照してください。

以下は、マルチリージョンアクセスポイントオペレーションと必要なポリシーアクションのマッピングです。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html)  |  (必須) `s3:CreateMultiRegionAccessPoint`  |  マルチリージョンアクセスポイントを作成し、S3 バケットに関連付けるために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteMultiRegionAccessPoint.html)  |  (必須) `s3:DeleteMultiRegionAccessPoint`  |  マルチリージョンアクセスポイントを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html)  |  (必須) `s3:DescribeMultiRegionAccessPointOperation`  |  マルチリージョンアクセスポイントを管理するための非同期リクエストのステータスを取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html)  |  (必須) `s3:GetMultiRegionAccessPoint`  |  指定したマルチリージョンアクセスポイントに関する設定情報を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html)  |  (必須) `s3:GetMultiRegionAccessPointPolicy`  |  指定したマルチリージョンアクセスポイントのアクセスコントロールポリシーを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html)  |  (必須) `s3:GetMultiRegionAccessPointPolicyStatus`  |  指定したマルチリージョンアクセスポイントにパブリックアクセスを許可するアクセスコントロールポリシーが存在するかどうかについて、特定のマルチリージョンアクセスポイントのポリシーステータスを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html)  |  (必須) `s3:GetMultiRegionAccessPointRoutes`  |  マルチリージョンアクセスポイントのルート設定を返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html)  |  (必須) `s3:PutMultiRegionAccessPointPolicy`  |  指定したマルチリージョンアクセスポイントのアクセスコントロールポリシーを更新するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html)  |  (必須) `s3:SubmitMultiRegionAccessPointRoutes`  |  マルチリージョンアクセスポイントのルート設定の更新を送信するために必要です。  | 

## バッチジョブのオペレーションとアクセス許可
<a name="using-with-s3-policy-actions-related-to-batchops"></a>

(バッチオペレーション) ジョブオペレーションは、`job` リソースタイプで動作する S3 API オペレーションです。ジョブオペレーションの S3 ポリシーアクションは、バケットポリシーではなく、IAM アイデンティティベースのポリシーで指定する必要があります。

ポリシーでは、`Resource` 要素は `job` ARN である必要があります。`Resource` 要素形式とポリシーの例の詳細については、「[バッチジョブオペレーション](security_iam_service-with-iam.md#using-with-s3-actions-related-to-batchops)」を参照してください。

以下は、バッチジョブオペレーションと必要なポリシーアクションのマッピングです。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteJobTagging.html)  |  (必須) `s3:DeleteJobTagging`  |  既存の S3 バッチオペレーションジョブからタグを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeJob.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeJob.html)  |  (必須) `s3:DescribeJob`  |  バッチオペレーションジョブの設定パラメータとステータスを取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetJobTagging.html)  |  (必須) `s3:GetJobTagging`  |  既存の S3 バッチオペレーションジョブのタグセットを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutJobTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutJobTagging.html)  |  (必須) `s3:PutJobTagging`  |  既存の S3 バッチオペレーションジョブにタグを配置または置換するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobPriority.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobPriority.html)  |  (必須) `s3:UpdateJobPriority`  |  既存のジョブの優先度を更新するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateJobStatus.html)  |  (必須) `s3:UpdateJobStatus`  |  指定したジョブのステータスを更新するために必要です。  | 

## S3 ストレージレンズ設定オペレーションとアクセス許可
<a name="using-with-s3-policy-actions-related-to-lens"></a>

S3 ストレージレンズオペレーションは、`storagelensconfiguration` リソースタイプで動作する S3 API オペレーションです。S3 Storage Lens 設定オペレーションの設定方法の詳細については、「[Amazon S3 ストレージレンズアクセス許可の設定](storage_lens_iam_permissions.md)」を参照してください。

以下は、S3 ストレージレンズの設定オペレーションと必要なポリシーアクションのマッピングです。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfiguration.html)  |  (必須) `s3:DeleteStorageLensConfiguration`  |  S3 ストレージレンズ設定を削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensConfigurationTagging.html)  |  (必須) `s3:DeleteStorageLensConfigurationTagging`  |  S3 ストレージレンズ設定タグを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfiguration.html)  |  (必須) `s3:GetStorageLensConfiguration`  |  S3 ストレージレンズ設定を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensConfigurationTagging.html)  |  (必須) `s3:GetStorageLensConfigurationTagging`  |  S3 ストレージレンズ設定のタグを取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfigurationTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfigurationTagging.html)  |  (必須) `s3:PutStorageLensConfigurationTagging`  |  既存の S3 ストレージレンズ設定にタグを配置または置換するために必要です。  | 

## S3 ストレージレンズグループのオペレーションとアクセス許可
<a name="using-with-s3-policy-actions-related-to-lens-groups"></a>

S3 ストレージレンズグループオペレーションは、`storagelensgroup` リソースタイプで動作する S3 API オペレーションです。S3 ストレージレンズグループのアクセス許可を設定する方法の詳細については、「[Storage Lens グループのアクセス許可。](storage-lens-groups.md#storage-lens-group-permissions)」を参照してください。

以下は、S3 ストレージレンズグループのオペレーションと必要なポリシーアクションのマッピングです。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteStorageLensGroup.html)  |  (必須) `s3:DeleteStorageLensGroup`  |  既存の S3 ストレージレンズグループを削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetStorageLensGroup.html)  |  (必須) `s3:GetStorageLensGroup`  |  S3 ストレージレンズグループ設定の詳細を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateStorageLensGroup.html)  |  (必須) `s3:UpdateStorageLensGroup`  |  既存の S3 ストレージレンズグループを更新するために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html) | (必須) `s3:CreateStorageLensGroup` | 新しいストレージレンズグループを作成するために必要です。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) | (必須) `s3:CreateStorageLensGroup`、`s3:TagResource` | タグ付きの新しいストレージレンズグループグループを作成するために必要です。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html) | (必須) `s3:ListStorageLensGroups` | ホームリージョンのすべてのストレージレンズグループを一覧表示するために必要です。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html) | (必須) `s3:ListTagsForResource` | ストレージレンズグループに追加されたタグを一覧表示するために必要です。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html) | (必須) `s3:TagResource` | 既存のストレージレンズグループのストレージレンズグループタグを追加または更新するために必要です。 | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) | (必須) `s3:UntagResource` | ストレージレンズグループからタグを削除するために必要です。 | 

## S3 Access Grants インスタンスのオペレーションとアクセス許可
<a name="using-with-s3-policy-actions-related-to-s3ag-instances"></a>

S3 Access Grants インスタンスのオペレーションは、`accessgrantsinstance` リソースタイプに対して実行される S3 API オペレーションです。S3 Access Grants インスタンスは、アクセス許可の論理コンテナです。S3 Access Grants インスタンスの使用の詳細については、「[S3 Access Grants インスタンスの使用](access-grants-instance.md)」を参照してください。

以下は、S3 Access Grants インスタンスの設定オペレーションと必要なポリシーアクションのマッピングです。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_AssociateAccessGrantsIdentityCenter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_AssociateAccessGrantsIdentityCenter.html)  |  (必須) `s3:AssociateAccessGrantsIdentityCenter`  |  AWS IAM アイデンティティセンター インスタンスを S3 Access Grants インスタンスに関連付けるために必要です。これにより、企業 ID ディレクトリ内のユーザーとグループのアクセス許可を作成できるようになります。また、次のアクセス許可も必要です。 `sso:CreateApplication`、`sso:PutApplicationGrant`、および `sso:PutApplicationAuthenticationMethod`。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsInstance.html)  |  (必須) `s3:CreateAccessGrantsInstance`  |  個々のアクセス許可のコンテナである S3 Access Grants インスタンス (`accessgrantsinstance` リソース) を作成するために必要です。 AWS IAM アイデンティティセンター インスタンスを S3 Access Grants インスタンスに関連付けるためには、`sso:DescribeInstance`、`sso:CreateApplication`、`sso:PutApplicationGrant`、`sso:PutApplicationAuthenticationMethod` のアクセス許可も必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstance.html)  |  (必須) `s3:DeleteAccessGrantsInstance`  |  アカウント内の AWS リージョン から S3 Access Grants インスタンス (`accessgrantsinstance` リソース) を削除するために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsInstanceResourcePolicy.html)  |  (必須) `s3:DeleteAccessGrantsInstanceResourcePolicy`  |  S3 Access Grants インスタンスのリソースポリシーを削除するために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DissociateAccessGrantsIdentityCenter.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DissociateAccessGrantsIdentityCenter.html)  |  (必須) `s3:DissociateAccessGrantsIdentityCenter`  |  AWS IAM アイデンティティセンター インスタンスと S3 Access Grants インスタンスの関連付けを解除するために必要です。また、次のアクセス許可も必要です。 `sso:DeleteApplication`  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstance.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstance.html)  |  (必須) `s3:GetAccessGrantsInstance`  |  アカウント内の AWS リージョン の S3 Access Grants インスタンスを取得するために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceForPrefix.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceForPrefix.html)  |  (必須) `s3:GetAccessGrantsInstanceForPrefix`  |  特定のプレフィックスを含む S3 Access Grants インスタンスを取得するために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsInstanceResourcePolicy.html)  |  (必須) `s3:GetAccessGrantsInstanceResourcePolicy`  |  S3 Access Grants インスタンスのリソースポリシーを返すために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsInstances.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsInstances.html)  |  (必須) `s3:ListAccessGrantsInstances`  |  アカウント内の S3 Access Grants インスタンスのリストを返すために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessGrantsInstanceResourcePolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessGrantsInstanceResourcePolicy.html)  |  (必須) `s3:PutAccessGrantsInstanceResourcePolicy`  |  S3 Access Grants インスタンスのリソースポリシーを更新するために必要です。  | 

## S3 Access Grants ロケーションのオペレーションとアクセス許可
<a name="using-with-s3-policy-actions-related-to-s3ag-locations"></a>

S3 Access Grants ロケーションのオペレーションは、`accessgrantslocation` リソースタイプに対して実行される S3 API オペレーションです。S3 Access Grants ロケーションの使用の詳細については、「[S3 Access Grants ロケーションの使用](access-grants-location.md)」を参照してください。

以下は、S3 Access Grants ロケーションの設定オペレーションと必要なポリシーアクションのマッピングです。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrantsLocation.html)  |  (必須) `s3:CreateAccessGrantsLocation`  |  S3 Access Grants インスタンスにロケーションを登録する (`accessgrantslocation` リソースを作成する) ために必要です。指定した IAM ロールには、次のアクセス許可も必要です。 `iam:PassRole`  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrantsLocation.html)  |  (必須) `s3:DeleteAccessGrantsLocation`  |  S3 Access Grants インスタンスから登録済みのロケーションを削除するために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrantsLocation.html)  |  (必須) `s3:GetAccessGrantsLocation`  |  S3 Access Grants インスタンスに登録済みの特定のロケーションの詳細を取得するために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsLocations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrantsLocations.html)  |  (必須) `s3:ListAccessGrantsLocations`  |  S3 Access Grants インスタンスに登録済みのロケーションのリストを返すために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateAccessGrantsLocation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UpdateAccessGrantsLocation.html)  |  (必須) `s3:UpdateAccessGrantsLocation`  |  S3 Access Grants インスタンスの登録済みロケーションの IAM ロールを更新するために必要です。  | 

## S3 Access Grants の許可付与オペレーションとアクセス許可
<a name="using-with-s3-policy-actions-related-to-s3ag-grants"></a>

S3 Access Grants の許可付与オペレーションは、`accessgrant` リソースタイプに対して実行される S3 API オペレーションです。S3 Access Grants の個々の許可付与の使用の詳細については、「[S3 Access Grants での許可の使用](access-grants-grant.md)」を参照してください。

以下は、S3 Access Grants の許可付与の設定オペレーションと必要なポリシーアクションのマッピングです。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessGrant.html)  |  (必須) `s3:CreateAccessGrant`  |  S3 Access Grants インスタンスでユーザーまたはグループの個々の許可付与 (`accessgrant` リソース) を作成するために必要です。また、次のアクセス許可も必要です。 任意のディレクトリアイデンティティの場合 — `sso:DescribeInstance` および `sso:DescribeApplication` ディレクトリユーザーの場合 — `identitystore:DescribeUser`  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessGrant.html)  |  (必須) `s3:DeleteAccessGrant`  |  S3 Access Grants インスタンスから個々のアクセス許可付与 (`accessgrant` リソース) を削除するために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessGrant.html)  |  (必須) `s3:GetAccessGrant`  |  S3 Access Grants インスタンスの個々のアクセス許可付与の詳細を取得するために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessGrants.html)  |  (必須) `s3:ListAccessGrants`  |  S3 Access Grants インスタンスの個々のアクセス許可付与のリストを返すために必要です。  | 
| [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListCallerAccessGrants.html)  |  (必須) `s3:ListCallerAccessGrants`  |  S3 Access Grants を通じて呼び出し元に Amazon S3 データへのアクセスを許可するアクセス許可付与を一覧表示するために必要です。  | 

## API オペレーションとアクセス許可
<a name="using-with-s3-policy-actions-related-to-accounts"></a>

アカウントオペレーションは、アカウントレベルで実行される S3 API オペレーションです。アカウントは、Amazon S3 で定義されるリソースタイプではありません。アカウントオペレーションの S3 ポリシーアクションは、バケットポリシーではなく、IAM アイデンティティベースのポリシーで指定する必要があります。

ポリシーでは、`Resource` 要素は `"*"` である必要があります。ポリシーの例の詳細については、「[アカウントオペレーション](security_iam_service-with-iam.md#using-with-s3-actions-related-to-accounts)」を参照してください。

以下は、アカウントオペレーションと必要なポリシーアクションのマッピングです。


| API オペレーション | ポリシーアクション | ポリシーアクションの説明 | 
| --- | --- | --- | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateJob.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateJob.html)  |  (必須) `s3:CreateJob`  |  新しい S3 バッチオペレーションジョブを作成するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateStorageLensGroup.html)  |  (必須) `s3:CreateStorageLensGroup`  |  新しい S3 ストレージレンズグループを作成し、指定した AWS アカウント ID に関連付けるために必要です。  | 
|    |  (条件付きで必須) `s3:TagResource`  |  AWS リソースタグを使用して S3 ストレージレンズグループを作成する場合に必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeletePublicAccessBlock.html) (アカウントレベル)  |  (必須) `s3:PutAccountPublicAccessBlock`  |  ブロックパブリックアクセス設定を AWS アカウントから削除するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html)  |  (必須) `s3:GetAccessPoint`  |  指定したアクセスポイントに関する設定情報を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) (アカウントレベル)  |  (必須) `s3:GetAccountPublicAccessBlock`  |  AWS アカウントのブロックパブリックアクセス設定を取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html)  |  (必須) `s3:ListAccessPoints`  |  AWS アカウントが所有する S3 バケットのアクセスポイントを一覧表示するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForObjectLambda.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForObjectLambda.html)  |  (必須) `s3:ListAccessPointsForObjectLambda`  |  Object Lambda アクセスポイントを一覧表示するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListBuckets.html)  |  (必須) `s3:ListAllMyBuckets`  |  認証されたリクエスト送信者が所有するすべてのバケットのリストを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListJobs.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListJobs.html)  |  (必須) `s3:ListJobs`  |  現在のジョブと最近終了したジョブを一覧表示するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html)  |  (必須) `s3:ListMultiRegionAccessPoints`  |  指定した AWS アカウントに現在関連付けられているマルチリージョンアクセスポイントのリストを返すために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensConfigurations.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensConfigurations.html)  |  (必須) `s3:ListStorageLensConfigurations`  |  AWS アカウントの S3 ストレージレンズ設定のリストを取得するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListStorageLensGroups.html)  |  (必須) `s3:ListStorageLensGroups`  |  指定したホーム AWS リージョン内のすべての S3 ストレージレンズグループを一覧表示するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html) (アカウントレベル)  |  (必須) `s3:PutAccountPublicAccessBlock`  |  AWS アカウントのブロックパブリックアクセス設定を作成または変更するために必要です。  | 
|  [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfiguration.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutStorageLensConfiguration.html)  |  (必須) `s3:PutStorageLensConfiguration`  |  S3 ストレージレンズ設定を配置するために必要です。  |