# 目录存储桶的存储桶策略示例 本节提供存储桶策略示例。要使用这些策略,请将 `user input placeholders` 替换为您自己的信息。 以下示例存储桶策略支持 AWS 账户 ID `111122223333` 对指定的目录存储桶使用 `CreateSession` API 操作。如果未指定会话模式,则会使用支持的最大权限(先尝试 `ReadWrite`,如果不允许,则再尝试 `ReadOnly`)创建会话。此策略授予对可用区端点(对象级)API 操作的访问权限。 **Example – 支持 `CreateSession` 调用的存储桶策略** **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "ReadWriteAccess", "Effect": "Allow", "Resource": "arn:aws:s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3", "Principal": { "AWS": [ "arn:aws:iam::111122223333:root" ] }, "Action": [ "s3express:CreateSession" ] } ] } ``` **Example – 允许通过 `ReadOnly` 会话执行 `CreateSession` 调用的存储桶策略** 以下示例存储桶策略允许 AWS 账户 ID `111122223333` 使用 `CreateSession` API 操作。此策略使用 `s3express:SessionMode` 条件键以及 `ReadOnly` 值来设置只读会话。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "ReadOnlyAccess", "Effect": "Allow", "Principal": { "AWS": "111122223333" }, "Action": "s3express:CreateSession", "Resource": "*", "Condition": { "StringEquals": { "s3express:SessionMode": "ReadOnly" } } } ] } ``` **Example – 允许 `CreateSession` 调用进行跨账户访问的存储桶策略** 以下示例存储桶策略允许 AWS 账户 ID `111122223333` 在由 AWS 账户 ID *`444455556666`* 拥有的指定目录存储桶中,使用 `CreateSession` API 操作。 **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "CrossAccount", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action": [ "s3express:CreateSession" ], "Resource": "arn:aws:s3express:us-west-2:444455556666:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3" } ] } ```