本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用存取點管理目錄儲存貯體中的共用資料集存取權
Amazon S3 Access Points 針對 Amazon S3 中的共用資料集,簡化管理大規模的資料存取。存取點是您建立的唯一主機名稱,目的在於針對透過存取點發出的所有請求,強制執行不同的許可與網路控制。您可以在每個儲存貯體中建立數百個存取點,且每個存取點都有針對每個應用程式自訂的不同名稱和許可權。每個存取點都會與附加至基礎儲存貯體的儲存貯體政策搭配運作。
在目錄儲存貯體中,存取點名稱包含您提供的基本名稱,後面接著目錄儲存貯體位置的區域 ID (AWS 可用區域或本機區域),然後是 `--xa-s3`。例如 `accesspointname--zoneID--xa-s3`。建立存取點之後,便無法變更名稱或區域 ID。
透過目錄儲存貯體的存取點,您可以使用存取點範圍來限制對特定字首或 API 操作的存取。您可以指定任意數量的字首,但所有字首的總字元長度必須小於 256 個位元組。
您可以將任何存取點設定為僅接受來自虛擬私有雲端 (VPC) 的請求。這會將 Amazon S3 資料存取限制在私有網路。
本節中的主題說明如何將存取點用於目錄儲存貯體。如需目錄儲存貯體的相關資訊,請參閱 [使用目錄儲存貯體](directory-buckets-overview.md)。
**Topics**
+ [
# 目錄儲存貯體的存取點命名規則、限制和約束
](access-points-directory-buckets-restrictions-limitations-naming-rules.md)
+ [
# 參考目錄儲存貯體的存取點
](access-points-directory-buckets-naming.md)
+ [
# 適用於目錄儲存貯體存取點的物件操作
](access-points-directory-buckets-service-api-support.md)
+ [
# 設定使用目錄儲存貯體的存取點的 IAM 政策
](access-points-directory-buckets-policies.md)
+ [
# 監控和記錄目錄儲存貯體的存取點
](access-points-directory-buckets-monitoring-logging.md)
+ [
# 建立目錄儲存貯體的存取點
](creating-access-points-directory-buckets.md)
+ [
# 管理目錄儲存貯體的存取點
](access-points-directory-buckets-manage.md)
+ [
# 搭配使用標籤與目錄儲存貯體的 S3 存取點
](access-points-db-tagging.md)
# 目錄儲存貯體的存取點命名規則、限制和約束
存取點針對 Amazon S3 中的共用資料集,簡化管理大規模的資料存取。下列主題提供有關存取點命名規則和限制的資訊。
**Topics**
+ [
## 目錄儲存貯體存取點的命名規則
](#access-points-directory-buckets-names)
+ [
## 目錄儲存貯體的存取點命名規則與限制
](#access-points-directory-buckets-restrictions-limitations)
## 目錄儲存貯體存取點的命名規則
存取點必須在儲存貯體所在的相同區域中建立。存取點名稱在區域內必須是唯一的。
存取點名稱必須符合 DNS 標準,且必須符合以下條件:
+ 必須以數字或小寫字母開頭
+ 您提供的基本名稱長度必須介於 3 到 50 個字元之間
+ 不能以連字號 (`-`) 開頭和結尾
+ 不能包含底線 (`_`)、大寫字母、空格或句號 (`.`)
+ 必須以尾碼 `zoneid--xa--s3` 結尾。
## 目錄儲存貯體的存取點命名規則與限制
目錄儲存貯體的存取點具有以下限制和約束:
+ 每個存取點都與一個目錄儲存貯體相關聯。建立存取點之後,即無法將其與不同的儲存貯體相關聯。不過,您可以刪除存取點,然後使用相同名稱建立新存取點,並將其與不同儲存貯體相關聯。
+ 建立存取點之後,您便無法變更其 Virtual Private Cloud (VPC) 組態。
+ 存取點政策的大小限制為 20 KB。
+ 存取點範圍字首的總大小限制為 256 個位元組。
+ AWS 帳戶 每個 最多可以建立 10,000 個存取點 AWS 區域。如果對單一區域中的單一帳戶需要超過 10,000 個存取點,您可以請求增加服務配額。如需服務配額和請求增加的詳細資訊,請參閱《AWS 一般參考》**中的 [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html)。
+ 您只能使用存取點對物件執行操作。您無法使用存取點來執行 Amazon S3 儲存貯體操作,例如修改或刪除儲存貯體。如需支援的操作完整清單,請參閱 [適用於目錄儲存貯體存取點的物件操作](access-points-directory-buckets-service-api-support.md)。
+ 您可以依名稱、存取點別名或虛擬託管樣式 URI 來參考存取點。您無法依 ARN 定址存取點。如需詳細資訊,請參閱[參考目錄儲存貯體的存取點](access-points-directory-buckets-naming.md)。
+ 控制存取點功能的 API 操作 (例如 `PutAccessPointPolicy`和 `GetAccessPointPolicy`) 必須指定擁有存取點 AWS 的帳戶。
+ 使用 REST API 向存取點提出請求時,您必須使用 AWS Signature 第 4 版。如需驗證請求的詳細資訊,請參閱《*Amazon Simple Storage Service API 參考*》中的[驗證請求 (AWS 簽章版本 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html)。
+ 存取點僅支援透過 HTTPS 的請求。對於透過 HTTP 提出的任何請求,Amazon S3 會自動以 HTTP 重新導向回應,將請求升級至 HTTPS。
+ 存取點不支援匿名存取。
+ 如果您為另一個帳戶 (跨帳戶存取點) 擁有的儲存貯體建立存取點,則跨帳戶存取點不會授予您存取資料的許可權,直到儲存貯體擁有者授予您存取儲存貯體的許可權為止。儲存貯體擁有者一律會保留資料的最終存取控制權,並且必須更新儲存貯體政策,才能授權來自跨帳戶存取點的請求。若要檢視儲存貯體政策範例,請參閱 [設定使用目錄儲存貯體的存取點的 IAM 政策](access-points-directory-buckets-policies.md)。
# 參考目錄儲存貯體的存取點
建立存取點之後,您可以用該存取點做為端點來執行物件操作。對於目錄儲存貯體的存取點,存取點別名與存取點名稱相同。您可以使用存取點名稱,而不是所有資料操作的儲存貯體名稱。如需這些支援的操作清單,請參閱 [適用於目錄儲存貯體存取點的物件操作](access-points-directory-buckets-service-api-support.md)。
## 透過虛擬託管樣式 URI 參考存取點
存取點僅支援虛擬託管樣式定址。存取點使用與目錄儲存貯體端點相同的格式。如需詳細資訊,請參閱[目錄儲存貯體的地區和區域端點](s3-express-Regions-and-Zones.md)。
S3 存取點不支援透過 HTTP 存取。存取點僅支援透過 HTTPS 的安全存取。
# 適用於目錄儲存貯體存取點的物件操作
您可以使用下列 S3 資料操作,使用存取點來存取物件。
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateSession.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)
# 設定使用目錄儲存貯體的存取點的 IAM 政策
存取點支援 AWS Identity and Access Management (IAM) 資源政策,可讓您依資源、使用者或其他條件控制存取點的使用。若要讓應用程式或使用者透過存取點存取物件,存取點和基礎儲存貯體政策都必須允許該請求。
**重要**
將存取點新增到目錄儲存貯體,並不會變更直接透過儲存貯體名稱存取儲存貯體時的儲存貯體行為。針對儲存貯體的所有現有操作將繼續像以前一樣運作。您納入存取點政策或存取點範圍中的限制,只會套用至透過該存取點發出的請求。
使用 IAM 資源政策時,請務必先解決 的安全警告、錯誤、一般警告和建議, AWS Identity and Access Management Access Analyzer 再儲存政策。IAM Access Analyzer 會比對 IAM [政策文法](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html)和[最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)來執行政策檢查,以驗證您的政策。這些檢查會產生問題清單並提供建議,協助您撰寫具有功能性且符合安全最佳實務的政策。
若要進一步了解如何使用 IAM Access Analyzer 驗證政策,請參閱《IAM 使用者指南》**中的 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。若要檢視 IAM Access Analyzer 傳回的警告、錯誤和建議清單,請參閱 [IAM Access Analyzer 政策檢查參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)。
## 目錄儲存貯體政策的存取點範例
下列存取點政策示範如何控制對目錄儲存貯體的請求。存取點政策須有儲存貯體 ARN 或存取點 ARN。政策不支援存取點別名。以下是存取點 ARN 的範例:
```
arn:aws:s3express:region:account-id:accesspoint/myaccesspoint--zoneID--xa-s3
```
您可以在存取點的詳細資訊中檢視存取點 ARN。如需詳細資訊,請參閱[檢視目錄儲存貯體的存取點詳細資訊](access-points-directory-buckets-details.md)。
**注意**
存取點政策中授予的權限只有在基礎儲存貯體也允許相同的存取時才有效。您可以透過兩種方式完成此操作:
**(建議)** 如[將存取控制委派給存取點](#access-points-directory-buckets-delegating-control)中所述,將儲存貯體的存取控制委派給存取點。
將存取點政策中包含的相同權限新增至基礎儲存貯體的政策。
**Example 1 – 將存取點限制為 VPC 網路原來源的服務控制政策**
下列服務控制政策需要使用虛擬私有雲端 (VPC) 網路來源建立所有新的存取點。有了此政策,組織中的使用者就無法建立可從網際網路存取的任何存取點。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3express:CreateAccessPoint",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3express:AccessPointNetworkOrigin": "VPC"
}
}
}
]
}
```
**Example 2 – 存取點政策,限制儲存貯體存取具有 VPC 網路來源的存取點**
下列存取點政策將儲存貯體 *amzn-s3-demo-bucket--zoneID--x-s3* 的所有存取權限制在具有 VPC 網路來源的存取點。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateSessionFromNonVPC",
"Principal": "*",
"Action": "s3express:CreateSession",
"Effect": "Deny",
"Resource": "arn:aws:s3express:us-east-1:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3"
}
]
}
```
## 條件索引鍵
目錄儲存貯體的存取點具有您可以在 IAM 政策中使用的條件索引鍵,可用來控制對資源的存取。下列條件金鑰僅代表 IAM 政策的一部分。如需完整政策範例,請參閱 [目錄儲存貯體政策的存取點範例](#access-points-directory-buckets-policy-examples)、[將存取控制委派給存取點](#access-points-directory-buckets-delegating-control) 和 [授予跨帳戶存取點的許可](#access-points-directory-buckets-cross-account)。
**`s3express:DataAccessPointArn`**
此範例示範如何依照存取點的 Amazon Resource Name (ARN) 篩選存取權,並符合區域 *region* 中 AWS 帳戶 *111122223333* 的所有存取點:
```
"Condition" : {
"StringLike": {
"s3express:DataAccessPointArn": "arn:aws:s3express:region:111122223333:accesspoint/*"
}
}
```
**`s3express:DataAccessPointAccount`**
此範例顯示一個字串運算子,您可以使用它來比對存取點擁有者的帳戶 ID。下列範例會比對 AWS 帳戶 *`111122223333`* 擁有的所有存取點。
```
"Condition" : {
"StringEquals": {
"s3express:DataAccessPointAccount": "111122223333"
}
}
```
**`s3express:AccessPointNetworkOrigin`**
此範例顯示一個字串運算子,您可以使用它來比對網路來源,`Internet` 或 `VPC`。下列範例僅會比對存取點與 VPC 來源。
```
"Condition" : {
"StringEquals": {
"s3express:AccessPointNetworkOrigin": "VPC"
}
}
```
**`s3express:Permissions`**
您可以使用 `s3express:Permissions` 限制在存取點範圍內存取的特定 API 操作。以下是支援的 API 操作:
+ `PutObject`
+ `GetObject`
+ `DeleteObject`
+ `ListBucket` (`ListObjectsV2` 所需)
+ `GetObjectAttributes`
+ `AbortMultipartUpload`
+ `ListBucketMultipartUploads`
+ `ListMultipartUploadParts`
使用多值條件索引鍵時,建議您搭配 `Allow` 陳述式使用 `ForAllValues`,並搭配 `Deny` 陳述式使用 `ForAnyValue`。如需詳細資訊,請參閱《IAM 使用者指南》中的[多值內容鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html#reference_policies_condition-multi-valued-context-keys)。
如需搭配 Amazon S3 使用條件索引鍵的詳細資訊,請參閱服務授權參考**中的 [Amazon S3 的動作、資源和條件索引鍵](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html)。
如需有關依照 S3 資源類型執行 S3 API 操作的必要權限的詳細資訊,請參閱 [Amazon S3 API 操作所需的許可](using-with-s3-policy-actions.md)。
## 將存取控制委派給存取點
您可以將儲存貯體政策的存取控制,委派給存取點政策。下列範例儲存貯體政策允許完整存取儲存貯體擁有者帳戶所擁有的所有存取點。套用政策後,所有對此儲存貯體的存取都由存取點政策控制。我們建議您針對不需要直接存取儲存貯體的所有使用案例,以此方式設定儲存貯體。
**Example 將存取控制委派給存取點的儲存貯體政策**
```
{
"Version": "2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "*",
"Resource" : [ "Bucket ARN",
"Condition": {
"StringEquals" : { "s3express:DataAccessPointAccount" : "Bucket owner's account ID" }
}
}]
}
```
## 授予跨帳戶存取點的許可
若要建立另一個帳戶所擁有之儲存貯體的存取點,您必須先指定儲存貯體名稱和帳戶擁有者 ID 來建立存取點。然後,儲存貯體擁有者必須更新儲存貯體政策,以授權來自存取點的請求。建立存取點類似於建立 DNS CNAME,其中存取點不會提供儲存貯體內容的存取權。所有儲存貯體存取權都由儲存貯體政策控制。下列範例儲存貯體政策允許儲存貯體上來自受信任 AWS 帳戶所擁有之存取點的 `GET` 和 `LIST` 請求。
將 *Bucket ARN* 取代為儲存貯體的 ARN。
**Example 將許可委派給另一個 的儲存貯體政策 AWS 帳戶**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "AllowCreateSessionForDirectoryBucket",
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "s3express:CreateSession",
"Resource" : [ "arn:aws:s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3" ],
"Condition": {
"ForAllValues:StringEquals": {
"s3express:Permissions": [
"GetObject",
"ListBucket"
]
}
}
}]
}
```
# 監控和記錄目錄儲存貯體的存取點
透過使用 AWS CloudTrail,您可以記錄透過存取點的請求,和對管理存取點之 API 的請求,例如 `CreateAccessPoint` 和 `GetAccessPointPolicy,`。透過存取點提出請求的 CloudTrail 日誌項目,會在日誌的 `resources` 部分中包含存取點 ARN (其中包括存取點名稱)。
舉例而言,假設您的組態如下:
+ 區域 `region` 中名為 `amzn-s3-demo-bucket--zone-id--x-s3` 的儲存貯體,其中包含名為 `my-image.jpg` 的物件。
+ 名為 `my-bucket-ap--zoneID--xa-s3` 的存取點與 `amzn-s3-demo-bucket--zone-id--x-s3` 相關聯
+ 的 AWS 帳戶 ID `123456789012`
下列範例顯示了先前組態的 CloudTrail 日誌項目的 `resources` 區段:
```
"resources": [
{"type": "AWS::S3Express::Object",
"ARN": "arn:aws:s3express-region:123456789012:bucket/amzn-s3-demo-bucket--zone-id--x-s3/my-image.jpg"
},
{"accountId": "c",
"type": "AWS::S3Express::DirectoryBucket",
"ARN": "arn:aws::s3express:region:123456789012:bucket/amzn-s3-demo-bucket--zone-id--x-s3"
},
{"accountId": "123456789012",
"type": "AWS::S3::AccessPoint",
"ARN": "arn:aws:s3express:region:123456789012:accesspoint/my-bucket-ap--zoneID--xa-s3"
}
]
```
如需 的詳細資訊 AWS CloudTrail,請參閱[什麼是 AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) *AWS CloudTrail 《 使用者指南*》中的 。
# 建立目錄儲存貯體的存取點
和目錄儲存貯體一樣,存取點可以在可用區域或專用 Local Zones 中建立。存取點必須在與其相關聯的目錄儲存貯體相同的區域中建立。
存取點只會與一個 Amazon S3 目錄儲存貯體相關聯。如果您想要在 中使用目錄儲存貯體 AWS 帳戶,您必須先建立目錄儲存貯體。如需有關建立目錄儲存貯體的詳細資訊,請參閱 [在可用區域中建立目錄儲存貯體](directory-bucket-create.md) 或 [在本機區域中建立目錄儲存貯體](create-directory-bucket-LZ.md)。
只要知道儲存貯體名稱和儲存貯體擁有者的帳戶 ID,您就可以建立與另一個 AWS 帳戶中儲存貯體相關聯的跨帳戶存取點。不過,建立跨帳戶存取點並不會授予您存取儲存貯體中資料的權限,直到您獲授予儲存貯體擁有者的許可。儲存貯體擁有者必須透過儲存貯體政策授予存取點擁有者帳戶 (您的帳戶) 存取儲存貯體的權限。如需詳細資訊,請參閱[授予跨帳戶存取點的許可](access-points-policies.md#access-points-cross-account)。
您可以使用 AWS 管理主控台、、REST API 或 AWS SDKs AWS CLI為任何目錄儲存貯體建立存取點。每個存取點都與單一目錄儲存貯體相關聯,您可以在每個儲存貯體中建立數百個存取點。建立存取點時,您會選擇存取點的名稱,以及要與其相關聯的目錄儲存貯體。存取點名稱包含您提供的基底名稱,以及包括儲存貯體位置的區域 ID 的字尾,後面接著 `--xa-s3`。例如,`myaccesspoint-zoneID--xa-s3`。您也可以透過虛擬私有雲端 (VPC) 限制存取點的存取權。然後,您可以使用存取點的名稱立即開始讀取和寫入資料,就像使用目錄儲存貯體名稱一樣。
您可以使用存取點範圍,將透過存取點對目錄儲存貯體的存取,限制為特定字首或 API 操作。如果您未將範圍新增至存取點,則透過存取點存取時,目錄儲存貯體中的所有字首和所有 API 操作都可以針對儲存貯體中的物件來執行。建立存取點後,您可以使用、 AWS CLI AWS SDKs 或 REST API 新增、修改或刪除範圍。如需詳細資訊,請參閱[管理目錄儲存貯體的存取點範圍](access-points-directory-buckets-manage-scope.md)。
建立存取點之後,您可以設定存取點 IAM 資源政策。如需詳細資訊,請參閱[檢視、編輯或刪除存取點政策](access-points-directory-buckets-policy.md)。
## 使用 S3 主控台
**注意**
您也可以從目錄儲存貯體畫面建立目錄儲存貯體的存取點。當您執行此操作時,系統會提供目錄儲存貯體名稱,而且您不需要在建立存取點時選擇儲存貯體。如需詳細資訊,請參閱[列出目錄儲存貯體](directory-buckets-objects-ListExamples.md)。
**建立目錄儲存貯體的存取點**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在頁面頂端的導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要在其中建立存取點的區域。存取點必須在與相關聯儲存貯體相同的區域中建立。
1. 在左側導覽窗格中,選擇**目錄儲存貯體的存取點**。
1. 在 **Access Points** (存取點) 頁面上,選擇 **Create access point** (建立存取點)。
1. 您可以為您的帳戶或另一個帳戶中的目錄儲存貯體建立存取點。為另一個帳戶中的目錄儲存貯體建立存取點:
**注意**
如果您在不同的 中使用儲存貯體 AWS 帳戶,儲存貯體擁有者必須更新儲存貯體政策,以授權來自存取點的請求。如需儲存貯體政策範例,請參閱「[授予跨帳戶存取點的許可](access-points-directory-buckets-policies.md#access-points-directory-buckets-cross-account)」。
1. 在**目錄儲存貯**體欄位中,選擇**指定另一個帳戶中的儲存貯體**。
1. 在**儲存貯體擁有者帳戶 ID** 欄位中,輸入擁有儲存貯體的 AWS 帳戶 ID。
1. 在**儲存貯體名稱**欄位中,輸入儲存貯體的名稱,包含基本名稱和區域 ID。例如 ***bucket-base-name*--*zone-id*--x-s3**。
1. 為您帳戶中的目錄儲存貯體建立存取點:
1. 在**目錄儲存貯**體欄位中,選取**選擇此帳戶中的儲存貯體**。
1. 在**儲存貯體名稱**欄位中,輸入儲存貯體的名稱,包含基本名稱和區域 ID。例如 ***bucket-base-name*--*zone-id*--x-s3**。若要從清單中選擇儲存貯體,請選擇**瀏覽 S3**,然後選擇目錄儲存貯體。
1. 在**存取點名稱**中的**基本名稱**欄位,輸入存取點的基本名稱。區域 ID 和完整的存取點名稱隨即出現。如需存取點命名的詳細資訊,請參閱「[目錄儲存貯體存取點的命名規則](access-points-directory-buckets-restrictions-limitations-naming-rules.md#access-points-directory-buckets-names)」。
1. 在**網路來源**中,選擇**虛擬私有雲端 (VPC)** 或**網際網路**。如果選擇**虛擬私有雲端 (VPC)**,請在 **VPC ID** 欄位輸入要與存取點搭配使用的 VPC ID。
1. (選用) 在**存取點範圍**中,若要將範圍套用至此存取點,請選擇**使用字首或許可權限制此存取點的範圍**。
1. 若要限制對目錄儲存貯體中字首的存取,請在**字首**中輸入一或多個字首。若要新增另一個字首,請選擇**新增字首**。若要移除字首,請選擇**移除**。
**注意**
存取點範圍對所有字首的總字元數限制為 512 個字元。您可以查看**新增字首**底下剩餘的字元數。
1. 在**許可**中,選擇存取點允許的一或多個 API 操作。若要移除資料操作,請選擇資料操作名稱旁的 **X**。
1. 若要不將範圍套用至存取點,並允許透過存取點存取目錄儲存貯體中的所有字首和所有 API 操作,請在**存取點範圍**內選擇**將存取權套用至整個儲存貯體**。
1. 選擇**建立目錄儲存貯體的存取點**。存取點名稱和與其相關的其他資訊,都會出現在**目錄儲存貯體的存取點**清單中。
## 使用 AWS CLI
下列範例命令會為帳戶 *111122223333* 中的儲存貯體 **amzn-s3-demo-bucket*--*zone-id*--x-s3* 建立名為 *example-ap* 的存取點。
```
aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3
```
若要透過 VPC 限制使用存取點,請包含 `--vpc` 參數和 VPC ID。
```
aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --vpc vpc-id
```
當您為跨帳戶儲存貯體建立存取點時,請包含 `--bucket-account-id` 參數。下列範例命令會在 AWS 帳戶 *111122223333* 中為 擁有的儲存貯體 **amzn-s3-demo-bucket*--*zone-id*--x-s3* 建立存取點 AWS 帳戶 *444455556666*。
```
aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --bucket-account-id 444455556666
```
如需詳細資訊和範例,請參閱《 AWS CLI 命令參考》中的 [create-access-point](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/create-access-point.html)。
## 使用 REST API
下列範例命令會為帳戶 *111122223333* 中的儲存貯體 **amzn-s3-demo-bucket*--*zone-id*--x-s3*,建立名為 *example-ap* 的存取點,並透過 VPC *vpc-id* (選用) 限制存取。
```
PUT /v20180820/accesspoint/example-ap--zoneID--xa-s3 HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
amzn-s3-demo-bucket--zone-id--x-s3s
111122223333
vpc-id
```
回應:
```
HTTP/1.1 200
"arn:aws:s3express:region:111122223333:accesspoint/example-ap--zoneID--xa-s3"
example-ap--zoneID--xa-s3
```
## 使用 AWS SDKs
您可以使用 AWS SDKs來建立存取點。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》中的[支援的 SDK 清單](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html#API_control_CreateAccessPoint_SeeAlso)。
# 管理目錄儲存貯體的存取點
本節說明如何使用 AWS Command Line Interface、Amazon S3 REST API 或 AWS SDK 管理目錄儲存貯體的存取點。
**Topics**
+ [
# 列出目錄儲存貯體的存取點
](access-points-directory-buckets-list.md)
+ [
# 檢視目錄儲存貯體的存取點詳細資訊
](access-points-directory-buckets-details.md)
+ [
# 檢視、編輯或刪除存取點政策
](access-points-directory-buckets-policy.md)
+ [
# 管理目錄儲存貯體的存取點範圍
](access-points-directory-buckets-manage-scope.md)
+ [
# 刪除目錄儲存貯體的存取點
](access-points-directory-buckets-delete.md)
# 列出目錄儲存貯體的存取點
本節說明如何使用 AWS 管理主控台、 AWS Command Line Interface (AWS CLI)、REST API 或 AWS SDKs 列出目錄儲存貯體的存取點。
## 使用 S3 主控台
**在 中列出存取點 AWS 帳戶**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在頁面頂端的導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要列出存取點的區域。
1. 在主控台左側導覽窗格中,選擇**目錄儲存貯體的存取點**。
1. (選用) 依名稱搜尋存取點。只有所選存取點 AWS 區域 才會顯示在這裡。
1. 選擇您要管理的存取點的名稱。
## 使用 AWS CLI
下列`list-access-points-for-directory-buckets`範例命令顯示如何使用 AWS CLI 列出 AWS 帳戶擁有並與目錄儲存貯體相關聯的存取點。
下列命令會列出連接到儲存貯體 **amzn-s3-demo-bucket*--*zone-id*--x-s3* 的 AWS 帳戶 *111122223333* 存取點。
```
aws s3control list-access-points-for-directory-buckets --account-id 111122223333 --directory-bucket amzn-s3-demo-bucket--zone-id--x-s3
```
如需詳細資訊和範例,請參閱《 AWS CLI 命令參考》中的 [list-access-points-for-directory-buckets](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points-for-directory-buckets.html)。
## 使用 REST API
下列範例示範如何使用 REST API 列出存取點。
```
GET /v20180820/directoryaccesspoint?directoryBucket=amzn-s3-demo-bucket--zone-id--x-s3
&maxResults=maxResults HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
```
**Example `ListAccessPointsForDirectoryBuckets` 回應的範例**
```
HTTP/1.1 200
arn:aws:s3express:region:111122223333:accesspoint/example-access-point--zoneID--xa-s3
example-access-point--zoneID--xa-s3
amzn-s3-demo-bucket--zone-id--x-s3
111122223333
example-access-point--zoneID--xa-s3
VPC
VPC-1
```
## 使用 AWS SDKs
您可以使用 AWS SDKs列出存取點。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》中的[支援的 SDK 清單](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPointsForDirectoryBuckets.html#API_control_ListAccessPointsForDirectoryBuckets_SeeAlso)。
# 檢視目錄儲存貯體的存取點詳細資訊
本節說明如何使用 AWS 管理主控台、、 AWS CLI AWS SDKs或 REST API 檢視目錄儲存貯體存取點的詳細資訊。
## 使用 S3 主控台
檢視目錄儲存貯體存取點的詳細資訊,以查看下列有關存取點和相關聯目錄儲存貯體的資訊:
+ 屬性:
+ 目錄儲存貯體名稱
+ 目錄儲存貯體擁有者帳戶 ID
+ AWS 區域
+ 目錄儲存貯體位置類型
+ 目錄儲存貯體位置名稱
+ 存取點的建立日期
+ 網路來源
+ VPC ID
+ S3 URI
+ 存取點 ARN
+ 存取點別名
+ 許可:
+ IAM 外部存取分析器調查結果
+ 存取點範圍
+ 存取點政策
**在 中檢視存取點的詳細資訊 AWS 帳戶**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在頁面頂端的導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要列出存取點的區域。
1. 在主控台左側導覽窗格中,選擇**目錄儲存貯體的存取點**。
1. (選用) 依名稱搜尋存取點。只有所選存取點 AWS 區域 才會顯示在這裡。
1. 選擇您要管理的存取點的名稱。
1. 選擇**屬性**標籤或**許可**標籤。
## 使用 AWS CLI
下列`get-access-point`範例命令顯示如何使用 AWS CLI 來檢視存取點的詳細資訊。
下列命令會列出存取點 **my-access-point*--*zoneID*--xa-s3* for AWS 帳戶 *111122223333* 的詳細資訊。
```
aws s3control get-access-point --name my-access-point--zoneID--xa-s3 --account-id 111122223333
```
**Example `get-access-point` 命令的輸出**
```
{
"Name": "example-access-point--zoneID--xa-s3",
"Bucket": "amzn-s3-demo-bucket--zone-id--x-s3",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2025-04-23T18:26:22.146000+00:00",
"Alias": "example-access-point--zoneID--xa-s3",
"AccessPointArn": "arn:aws:s3express:region:111122223333:accesspoint/example-access-point--zoneID--xa-s3",
"BucketAccountId": "296805379465"
}
```
如需詳細資訊和範例,請參閱AWS CLI 命令參考**中的 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html)。
## 使用 REST API
您可以使用 REST API 來檢視存取點的詳細資訊。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html)。
## 使用 AWS SDKs
您可以使用 AWS SDKs來檢視存取點的詳細資訊。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》中的[支援的 SDK 清單](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html#API_control_GetAccessPoint_SeeAlso)。
# 檢視、編輯或刪除存取點政策
您可以使用 AWS Identity and Access Management (IAM) 存取點政策來控制可存取存取點的主體和資源。存取點範圍會管理存取點的字首和 API 許可。您可以使用 REST API 或 AWS SDKs 建立 AWS Command Line Interface、編輯和刪除存取點政策。如需存取點範圍的詳細資訊,請參閱 [管理目錄儲存貯體的存取點範圍](access-points-directory-buckets-manage-scope.md)。
**注意**
由於目錄儲存貯體使用工作階段型授權,因此您的政策必須一律包含 `s3express:CreateSession` 動作。
## 使用 S3 主控台
**檢視、編輯或刪除存取點政策**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 開啟 Amazon S3 主控台。
1. 在頁面頂端的導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要列出存取點的區域。
1. 在主控台左側導覽窗格中,選擇**目錄儲存貯體的存取點**。
1. (選用) 依名稱搜尋存取點。只有所選存取點 AWS 區域 才會顯示在這裡。
1. 選擇您要管理的存取點的名稱。
1. 選擇**許可**索引標籤。
1. 若要建立或編輯存取點政策,請在**存取點政策**中選擇**編輯**。編輯政策。選擇**儲存**。
1. 若要刪除存取點政策,請在**存取點政策**中選擇**刪除**。在**刪除存取點政策**視窗中,輸入 **confirm**,並選擇**刪除**。
## 使用 AWS CLI
您可以使用 `get-acccess-point-policy`、`put-access-point-policy` 和 `delete-access-point-policy` 命令來檢視、編輯或刪除存取點政策。如需詳細資訊,請參閱《 AWS CLI 命令參考[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point-policy.html#delete-access-point-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point-policy.html#delete-access-point-policy)》中的 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point-policy.html#get-access-point-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point-policy.html#get-access-point-policy)[https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-access-point-policy.html#put-access-point-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-access-point-policy.html#put-access-point-policy)、 或 。
## 使用 REST API
您可以使用 REST API `GetAccessPointPolicy`、`DeleteAccessPointPolicy` 和 `PutAccessPointPolicy` 操作來檢視、刪除或編輯存取點政策。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html)、[https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html) 或 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html)。
## 使用 AWS SDKs
您可以使用 AWS SDKs來檢視、刪除或編輯存取點政策。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》中的 [GetAccessControlPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointPolicy.html#API_control_PutAccessPointPolicy_SeeAlso)、[DeleteAccessControlPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointPolicy.html#API_control_PutAccessPointPolicy_SeeAlso) 和 [PutAccessControlPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointPolicy.html#API_control_PutAccessPointPolicy_SeeAlso) 的支援 SDK 清單。
# 管理目錄儲存貯體的存取點範圍
本節說明如何使用 AWS Command Line Interface、REST API 或 AWS SDKs 來檢視和修改目錄儲存貯體的存取點範圍。您可以使用存取點範圍來限制對特定字首或 API 操作的存取。
**Topics**
+ [
## 檢視目錄儲存貯體的存取點範圍
](#access-points-directory-buckets-view-scope)
+ [
## 修改目錄儲存貯體的存取點範圍
](#access-points-directory-buckets-modify-scope)
+ [
## 刪除目錄儲存貯體的存取點範圍
](#access-points-directory-buckets-delete-scope)
## 檢視目錄儲存貯體的存取點範圍
您可以使用 AWS 管理主控台 AWS Command Line Interface、、REST API 或 AWS SDKs 來檢視目錄儲存貯體的存取點範圍。
### 使用 S3 主控台
**檢視目錄儲存貯體的存取點範圍**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在頁面頂端的導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要列出存取點的區域。
1. 在主控台左側導覽窗格中,選擇**目錄儲存貯體的存取點**。
1. (選用) 依名稱搜尋存取點。只有所選存取點 AWS 區域 才會顯示在這裡。
1. 選擇您要管理的存取點的名稱。
1. 選擇**許可**索引標籤。
1. 在**存取點範圍**中,您可以看到套用至存取點的字首和許可權。
### 使用 AWS CLI
下列`get-access-point-scope`範例命令顯示如何使用 AWS CLI 來檢視存取點的範圍。
下列命令顯示存取點 **my-access-point**--*zoneID*--xa-s3 for AWS 帳戶 *111122223333* 的範圍。
```
aws s3control get-access-point-scope --name my-access-point--zoneID--xa-s3 --account-id 111122223333
```
如需詳細資訊和範例,請參閱《 AWS CLI 命令參考》中的 [get-access-point-scope](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point-scope.html)。
**Example `get-access-point-scope` 的結果**
```
{
"Scope": {
"Permissions": [
"ListBucket",
"PutObject"
]
"Prefixes": [
"Prefix": "MyPrefix1*",
"Prefix": "MyObjectName.csv"
]
}
}
```
### 使用 REST API
下列 `GetAccessPointScope` 範例請求示範如何使用 REST API 來檢視存取點的範圍。
以下請求顯示存取點 **my-access-point**--*region*-*zoneID*--xa-s3 for AWS 帳戶 *111122223333* 的範圍。
```
GET /v20180820/accesspoint/my-access-point--zoneID--xa-s3/scope HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
```
**Example `GetAccessPointScope` 的結果**
```
HTTP/1.1 200
MyPrefix1*
MyObjectName.csv
ListBucket
PutObject
```
### 使用 AWS SDKs
您可以使用 AWS SDKs來檢視存取點的範圍。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》中的[支援的 SDK 清單](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPointScope.html#API_control_GetAccessPointScope_SeeAlso)。
## 修改目錄儲存貯體的存取點範圍
您可以使用 AWS 管理主控台 AWS Command Line Interface、、REST API 或 AWS SDKs來修改目錄儲存貯體的存取點範圍。存取點範圍可用來限制對特定字首、API 操作,或上述兩者組合的存取權。
您可以包含下列一或多項 API 操作做為許可權:
+ `PutObject`
+ `GetObject`
+ `DeleteObject`
+ `ListBucket` (`ListObjectsV2` 所需)
+ `GetObjectAttributes`
+ `AbortMultipartUploads`
+ `ListBucketMultipartUploads`
+ `ListMultipartUploadParts`
**注意**
您可以指定任意數量的字首,但所有字首的總字元長度必須小於 256 個位元組。
### 使用 S3 主控台
**修改存取點範圍**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在頁面頂端的導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要列出存取點的區域。
1. 在主控台左側導覽窗格中,選擇**目錄儲存貯體的存取點**。
1. (選用) 依名稱搜尋存取點。只有所選存取點 AWS 區域 才會顯示在這裡。
1. 選擇您要管理的存取點的名稱。
1. 選擇**許可**索引標籤。
1. 在**存取點政策**區段選擇**編輯**。
1. 新增或移除字首:
1. 若要新增字首,請選擇**新增字首**。在**字首**欄位中,輸入目錄儲存貯體的字首。重複以新增更多字首。
1. 若要移除字首,請選擇**移除**。
1. 新增或移除許可權:
1. 若要新增許可權,請在**選擇資料操作**欄位中選擇許可權。
1. 若要移除許可權,請選擇許可權旁的 **X**。
1. 選擇**儲存變更**。
### 使用 AWS CLI
下列`put-access-point-scope`範例命令顯示如何使用 AWS CLI 來修改存取點的範圍。
下列命令修改 **my-access-point**--*zoneID*--xa-s3 for AWS 帳戶 *111122223333* 的存取點範圍。
**注意**
您可以透過使用星號 (\$1) 字元,在字首中使用萬用字元。如果您想要將星號字元當成文字來使用,請在其前面加上反斜線字元 (\$1) 進行轉義。
所有字首都隱含一個 '\$1' 結尾,這表示字首內的所有路徑都包含在內。
當您使用 修改存取點的範圍時 AWS CLI,您可以取代現有的範圍。
```
aws s3control put-access-point-scope --name my-access-point--zoneID--xa-s3 --account-id 111122223333 --scope Prefixes=string,Permissions=string
```
如需詳細資訊和範例,請參閱《 AWS CLI 命令參考》中的 [put-access-point-scope](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-access-point-scope.html)。
### 使用 REST API
下列 `PutAccessPointScope` 範例請求示範如何使用 REST API 來修改存取點的範圍。
下列請求修改 **my-access-point**--*zoneID*--xa-s3 for AWS 帳戶 *111122223333* 的存取點範圍。
**注意**
您可以透過使用星號 (\$1) 字元,在字首中使用萬用字元。如果您想要將星號字元當成文字來使用,請在其前面加上反斜線字元 (\$1) 進行轉義。
所有字首都隱含一個 '\$1' 結尾,這表示字首內的所有路徑都包含在內。
當您使用 API 修改存取點的範圍時,您可以取代現有的範圍。
```
PUT /v20180820/accesspoint/my-access-point--zoneID--xa-s3/scope HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
Jane/*
PutObject
GetObject
```
### 使用 AWS SDKs
您可以使用 AWS CLI、 AWS SDKs或 REST API 來修改存取點的範圍。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》中的[支援的 SDK 清單](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutAccessPointScope.html#API_control_PutAccessPointScope_SeeAlso)。
## 刪除目錄儲存貯體的存取點範圍
您可以使用 AWS 管理主控台 AWS Command Line Interface、、REST API 或 AWS SDKs 來刪除目錄儲存貯體的存取點範圍。
**注意**
當您刪除存取點的範圍時,所有字首和許可權都會一併刪除。
### 使用 S3 主控台
**刪除存取點範圍**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 在頁面頂端的導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要列出存取點的區域。
1. 在主控台左側導覽窗格中,選擇**目錄儲存貯體的存取點**。
1. (選用) 依名稱搜尋存取點。只有所選存取點 AWS 區域 才會顯示在這裡。
1. 選擇您要管理的存取點的名稱。
1. 選擇**許可**索引標籤。
1. 在**存取點範圍**中,選擇**刪除**。
1. 在**若要確認此刪除,請鍵入「確認」**欄位中,輸入 **confirm**。
1. 選擇 **刪除**。
### 使用 AWS CLI
下列`delete-access-point-scope`範例命令顯示如何使用 AWS CLI 刪除存取點的範圍。
下列命令會刪除存取點 **my-access-point**--*zoneID*--xa-s3 for AWS 帳戶 *111122223333* 的範圍。
```
aws s3control delete-access-point-scope --name my-access-point--region-zoneID--xa-s3 --account-id 111122223333
```
如需詳細資訊和範例,請參閱《 AWS CLI 命令參考》中的 [delete-access-point-scope](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point-scope.html)。
### 使用 REST API
下列請求會刪除存取點 **my-access-point**--*zoneID*--xa-s3 for AWS 帳戶 *111122223333* 的範圍。
```
DELETE /v20180820/accesspoint/my-access-point--zoneID--xa-s3/scope HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
```
### 使用 AWS SDKs
您可以使用 AWS SDKs來刪除存取點的範圍。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》中的[支援的 SDK 清單](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPointScope.html#API_control_DeleteAccessPointScope_SeeAlso)。
# 刪除目錄儲存貯體的存取點
本節說明如何使用 AWS 管理主控台、 AWS Command Line Interface、REST API 或 AWS SDKs刪除存取點。
**注意**
您必須先刪除存取點,才能刪除連接至存取點的目錄儲存貯體。
## 使用 S3 主控台
**刪除 中目錄儲存貯體的存取點 AWS 帳戶**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 開啟 Amazon S3 主控台。
1. 在頁面頂端的導覽列中,選擇目前顯示的名稱 AWS 區域。接下來,選擇您要列出存取點的區域。
1. 在主控台左側導覽窗格中,選擇**目錄儲存貯體的存取點**。
1. (選用) 依名稱搜尋存取點。只有所選存取點 AWS 區域 才會顯示在這裡。
1. 選擇您要刪除的存取點的名稱。
1. 選擇 **刪除**。
1. 要確認刪除,請輸入 **confirm**,並選擇**刪除**。
## 使用 AWS CLI
下列`delete-access-point`範例命令顯示如何使用 AWS CLI 刪除存取點。
下列命令會刪除存取點 **my-access-point**--*zoneID*--xa-s3 for AWS 帳戶 *111122223333*。
```
aws s3control delete-access-point --name my-access-point--zoneID--xa-s3 --account-id 111122223333
```
如需詳細資訊和範例,請參閱AWS CLI 命令參考**中的 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html)。
## 使用 REST API
您可以使用 REST API 刪除存取點。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html)。
## 使用 AWS SDKs
您可以使用 AWS SDKs來刪除存取點。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》中的[支援的 SDK 清單](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html#API_control_DeleteAccessPoint_SeeAlso)。
# 搭配使用標籤與目錄儲存貯體的 S3 存取點
AWS 標籤是金鑰值對,可保留資源的中繼資料,在此情況下為目錄儲存貯體的 Amazon S3 存取點。您可以在建立存取點或管理現有存取點上的標籤時,標記存取點。如需有關標籤的一般資訊,請參閱 [成本分配或屬性型存取控制 (ABAC) 的標記](tagging.md)。
**注意**
對於目錄儲存貯體的存取點使用標籤,除了標準的 S3 API 請求費率之外,不會收取額外費用。如需詳細資訊,請參閱 [Simple Storage Service (Amazon S3) 定價](https://aws.amazon.com/s3/pricing/)。
## 使用標籤與目錄儲存貯體存取點的常見方法
屬性型存取控制 (ABAC) 可讓您擴展存取權限,並根據目錄儲存貯體的標籤授予存取點的存取權。如需有關在 Amazon S3 中使用 ABAC 的詳細資訊,請參閱[使用 ABAC 的標籤](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#using-tags-for-abac)。
### S3 存取點的 ABAC
Amazon S3 Access Points 支援使用標籤的屬性型存取控制 (ABAC)。在您的 AWS 組織、IAM 和存取點政策中使用標籤型條件金鑰。對於企業,Amazon S3 中的 ABAC 支援跨多個 AWS 帳戶進行授權。
在您的 IAM 政策中,您可以透過使用下列[全域條件索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys),根據儲存貯體的標籤來控制對目錄儲存貯體存取點的存取:
+ `aws:ResourceTag/key-name`
+ 使用此鍵來將您在政策中所指定的標籤鍵值對與連接到資源的鍵值對進行比較。例如,您可以要求只在資源擁有連接標籤鍵 `Dept` 和值 `Marketing` 時才允許資源的存取。如需詳細資訊,請參閱[控制對 AWS 資源的存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources)。
+ `aws:RequestTag/key-name`
+ 使用此鍵來將請求中傳遞的標籤鍵/值對與您在政策中所指定的標籤對進行比較。例如,您可以檢查請求是否包含標籤鍵 `Dept` 並且其具有值 `Accounting`。如需詳細資訊,請參閱在[AWS 請求期間控制存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests)。您可以使用此條件索引鍵,限制在 `TagResource` 和 `CreateAccessPoint` API 操作期間可以傳遞哪些標籤鍵值對。
+ `aws:TagKeys`
+ 使用此鍵來將請求中的標籤鍵與您在政策中所指定的鍵進行比較。當使用政策來控制使用標籤的存取時,建議您使用 `aws:TagKeys` 條件鍵來定義允許的標籤鍵。如需範例政策和詳細資訊,請參閱[根據標籤金鑰控制存取權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys)。您可以為具有標籤的目錄儲存貯體建立存取點。若要在 `CreateAccessPoint` API 操作期間允許標記,您必須建立同時包含 `s3express:TagResource` 和 `s3express:CreateAccessPoint` 動作的政策。然後,您可以使用 `aws:TagKeys` 條件索引鍵,以強制在 `CreateAccessPoint` 請求中使用特定的標籤。
+ `s3express:AccessPointTag/tag-key`
+ 使用此條件索引鍵,透過使用標籤的存取點來授予特定資料的許可權。在 IAM 政策中使用 `aws:ResourceTag/tag-key` 時,存取點和存取點指向的儲存貯體,都需要具有相同標籤,因為在與授權期間兩者都會考量到。如果您只想透過存取點標籤來控制對資料的存取,則可以使用 `s3express:AccessPointTag/tag-key` 條件索引鍵。
### 目錄儲存貯體存取點的 ABAC 政策範例
請參閱下列適用於目錄儲存貯體存取點的 ABAC 政策的範例。
#### 1.1 - IAM 政策,可建立或修改具有特定標籤的存取點
在此 IAM 政策中,具有此政策的使用者或角色只有在存取點於存取點建立請求中,以標籤索引鍵 `project` 和標籤值 `Trinity` 來標記存取點時,才能建立存取點。只要 `TagResource` 請求包含標籤鍵值對 `project:Trinity`,他們也可以在目錄儲存貯體的現有存取點上新增或修改標籤。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccessPointWithTags",
"Effect": "Allow",
"Action": [
"s3express:CreateAccessPoint",
"s3express:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
#### 1.2 - 存取點政策,可使用標籤限制儲存貯體上的操作
在此存取點政策中,只要在存取點 `project` 標籤的值符合主體的 `project` 標籤值時,IAM 主體 (使用者和角色) 就能在存取點上使用 `CreateSession` 動作來執行操作。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowObjectOperations",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3express:CreateSession",
"Resource": "arn:aws::s3express:region:111122223333:access-point/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3 - IAM 政策,可修改維護標記治理之現有資源上的標籤
在此 IAM 政策中,只有在存取點的 `project` 標籤值符合主體的 `project` 標籤值時,IAM 主體 (使用者或角色) 才能修改存取點上的標籤。這些存取點只允許 `aws:TagKeys` 條件索引鍵中指定的四個標籤 `project`、`environment`、`owner` 和 `cost-center`。這有助於強制執行標籤治理、防止未經授權的標籤修改,並且使所有存取點的標記結構描述保持一致。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3express:TagResource"
],
"Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
#### 1.4 - 使用 s3express:AccessPointTag 條件索引鍵
在此 IAM 政策中,只有在用於存取儲存貯體的存取點具有標籤索引鍵 `Environment` 和標籤值 `Production` 時,條件陳述式才會允許存取儲存貯體的資料。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3express:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3express:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
## 使用目錄儲存貯體存取點的標籤
您可以使用 Amazon S3 主控台、 AWS 命令列界面 (CLI)、 AWS SDKs 或使用 S3 APIs:[TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)、[UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) 和 [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html),為目錄儲存貯體新增或管理存取點的標籤。如需詳細資訊,請參閱:
**Topics**
+ [
## 使用標籤與目錄儲存貯體存取點的常見方法
](#common-ways-to-use-tags-access-points-db)
+ [
## 使用目錄儲存貯體存取點的標籤
](#working-with-tags-access-points-db)
+ [
# 建立具有標籤的目錄儲存貯體的存取點
](access-points-db-create-tag.md)
+ [
# 將標籤新增至目錄儲存貯體的存取點
](access-points-db-tag-add.md)
+ [
# 檢視目錄儲存貯體存取點的標籤
](access-points-db-tag-view.md)
+ [
# 從目錄儲存貯體的存取點刪除標籤
](access-points-db-tag-delete.md)
# 建立具有標籤的目錄儲存貯體的存取點
建立目錄儲存貯體時,您可以在為其標記 Amazon S3 Access Points。如需其他資訊,請參閱 [搭配使用標籤與目錄儲存貯體的 S3 存取點](access-points-db-tagging.md)。
## 許可
若要建立具有標籤的目錄儲存貯體的存取點,您必須具有下列許可權:
+ `s3express:CreateAccessPoint`
+ `s3express:TagResource`
## 故障診斷錯誤
如果您在嘗試建立具有標籤的目錄儲存貯體的存取點時發生錯誤,您可以執行下列動作:
+ 確認您擁有為目錄儲存貯體建立存取點,並為其新增標籤時所需的 [許可](#access-points-db-create-tag-permissions)。
+ 檢查您的 IAM 使用者政策是否具備任何屬性型存取控制 (ABAC) 條件。您可能需要使用特定的標籤索引鍵和值,才能標記目錄儲存貯體的存取點。如需詳細資訊,請參閱[使用屬性型存取控制 (ABAC) 的標籤](tagging.md#using-tags-for-abac)。
## 步驟
您可以使用 Amazon S3 主控台、 AWS Command Line Interface (AWS CLI)、Amazon S3 REST API 和 AWS SDKs,為套用標籤的目錄儲存貯體建立存取點。
## 使用 S3 主控台
若要使用 Amazon S3 主控台建立具有標籤的目錄儲存貯體的存取點:
1. 從 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 登入 Amazon S3 主控台。
1. 在左側導覽窗格中,選擇**存取點 (目錄儲存貯體)**。
1. 選擇**建立存取點**以建立新存取點。
1. 輸入存取點的名稱。如需詳細資訊,請參閱[目錄儲存貯體的存取點命名規則、限制和約束](access-points-directory-buckets-restrictions-limitations-naming-rules.md)。
1. 在**建立存取點**頁面上,**標籤**是建立新存取點時的選項。
1. 選擇**新增標籤**以開啟標籤編輯器,然後輸入標籤鍵值對。標籤鍵為必要項,但標籤是選用的。
1. 若要新增另一個標籤,請再次選擇**新增標籤**。您最多能輸入 50 個鍵值對。
1. 完成指定新存取點的選項後,請選擇**建立存取點**。
## 使用 AWS SDKs
------
#### [ SDK for Java 2.x ]
此範例示範如何藉由使用 AWS SDK for Java 2.x建立具有標籤的存取點。若要使用此命令,請以您自己的資訊取代*使用者輸入預留位置*。
```
CreateAccessPointRequest createAccessPointRequest = CreateAccessPointRequest.builder()
.accountId(111122223333)
.name(my-access-point)
.bucket(amzn-s3-demo-bucket--zone-id--x-s3)
.tags(Collections.singletonList(Tag.builder().key("key1").value("value1").build()))
.build();
awss3Control.createAccessPoint(createAccessPointRequest);
```
------
## 使用 REST API
如需有關 Amazon S3 REST API 對於建立具有標籤的存取授權的目錄儲存貯體的支援資訊,請參閱《Amazon Simple Storage Service API 參考》**中的以下區段:
+ [CreateBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateBucket.html)
## 使用 AWS CLI
若要安裝 AWS CLI,請參閱《 [AWS 使用者指南》中的安裝 CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。 *AWS Command Line Interface *
下列 CLI 範例示範如何使用 AWS CLI建立具有標籤的目錄儲存貯體的存取點。若要使用此命令,請以您自己的資訊取代*使用者輸入預留位置*。
建立目錄儲存貯體的存取點時,您必須提供組態詳細資訊,並使用下列命名慣例:`my-access-point`
**要求:**
```
aws s3control create-access-point \
--account-id 111122223333 \
--name my-access-point \
--bucket amzn-s3-demo-bucket--zone-id--x-s3 \
--profile personal \
--tags Key=key1,Value=value1 Key=MyKey2,Value=value2 \
--region region
```
# 將標籤新增至目錄儲存貯體的存取點
您可以將標籤新增至目錄儲存貯體的 Amazon S3 Access Points,並修改這些標籤。如需其他資訊,請參閱 [搭配使用標籤與目錄儲存貯體的 S3 存取點](access-points-db-tagging.md)。
## 許可
若要將標籤新增至目錄儲存貯體的存取點,您必須具有下列許可權:
+ `s3express:TagResource`
## 故障診斷錯誤
如果您在嘗試將標籤新增至目錄儲存貯體的存取點時發生錯誤,您可以執行下列動作:
+ 確認您具備將標籤新增至目錄儲存貯體的存取點時所需的 [許可](#access-points-db-tag-add-permissions)。
+ 如果您嘗試新增以 AWS 預留字首 開頭的標籤金鑰`aws:`,請變更標籤金鑰,然後再試一次。
## 步驟
您可以使用 Amazon S3 主控台、 AWS 命令列界面 (AWS CLI)、Amazon S3 REST API 和 AWS SDKs存取點。
## 使用 S3 主控台
使用 Amazon S3 主控台將標籤新增至目錄儲存貯體的存取點:
1. 從 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 登入 Amazon S3 主控台。
1. 在左側導覽窗格中,選擇**存取點 (目錄儲存貯體)**。
1. 選擇存取點名稱。
1. 選擇**屬性**索引標籤。
1. 捲動至**標籤**區段,選擇**新增標籤**。
1. **新增標籤**頁面隨即開啟。您最多可以輸入 50 個鍵值對。
1. 若您使用與現有標籤相同的標籤鍵名稱來新增標籤,新標籤值會覆寫現有標籤值。
1. 在此頁面上,您也可以編輯現有標籤的值。
1. 新增標籤後,選擇**儲存變更**。
## 使用 AWS SDKs
------
#### [ SDK for Java 2.x ]
此範例示範如何使用 AWS SDK for Java 2.x將標籤新增至目錄儲存貯體的存取點。若要使用此命令,請以您自己的資訊取代*使用者輸入預留位置*。
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3control.S3ControlClient;
import software.amazon.awssdk.services.s3control.model.Tag;
import software.amazon.awssdk.services.s3control.model.TagResourceRequest;
import software.amazon.awssdk.services.s3control.model.TagResourceResponse;
public class TagResourceExample {
public static void tagResourceExample() {
S3ControlClient s3Control = S3ControlClient.builder().region(Region.US_WEST_2).build();
TagResourceRequest tagResourceRequest = TagResourceRequest.builder()
.resourceArn("arn:aws::s3:region:111122223333:accesspoint/my-access-point/*")
.accountId("111122223333")
.tags(Tag.builder().key("key1").value("value1").build())
.build();
TagResourceResponse response = s3Control.tagResource(tagResourceRequest);
System.out.println("Status code (should be 204):");
System.out.println(response.sdkHttpResponse().statusCode());
}
}
```
------
## 使用 REST API
如需有關 Amazon S3 REST API 對於將標籤新增至目錄儲存貯體的存取點的支援資訊,請參閱《Amazon Simple Storage Service API 參考》**中的以下區段:
+ [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)
## 使用 AWS CLI
若要安裝 AWS CLI,請參閱《 [AWS 使用者指南》中的安裝 CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。 *AWS Command Line Interface *
下列 CLI 範例示範如何使用 AWS CLI將標籤新增至目錄儲存貯體。若要使用此命令,請以您自己的資訊取代*使用者輸入預留位置*。
**要求:**
```
aws s3control tag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3express:region:444455556666:bucket/prefix--use1-az4--x-s3 \
--tags "Key=key1,Value=value1"
```
**回應:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 200,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```
# 檢視目錄儲存貯體存取點的標籤
您可以檢視或列示套用至目錄儲存貯體之 Amazon S3 Access Points 的標籤。如需其他資訊,請參閱 [搭配使用標籤和 S3 目錄儲存貯體](directory-buckets-tagging.md)。
## 許可
若要檢視套用至存取點的標籤,您必須具有下列許可權:
+ `s3express:ListTagsForResource`
## 故障診斷錯誤
如果您在嘗試列出或檢視目錄儲存貯體存取點的標籤時發生錯誤,您可以執行下列動作:
+ 確認您具有檢視或列出目錄儲存貯體的存取點標籤時所需的 [許可](#access-points-db-tag-view-permissions)。
## 步驟
您可以使用 Amazon S3 主控台、 AWS Command Line Interface (AWS CLI)、Amazon S3 REST API 和 AWS SDKs 來檢視套用至目錄儲存貯體存取點的標籤。
## 使用 S3 主控台
使用 Amazon S3 主控台檢視套用至目錄儲存貯體存取點的標籤:
1. 從 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 登入 Amazon S3 主控台。
1. 在左側導覽窗格中,選擇**存取點 (目錄儲存貯體)**。
1. 選擇存取點名稱。
1. 選擇**屬性**索引標籤。
1. 捲動至**標籤**區段,檢視所有套用至目錄儲存貯體存取點的標籤。
1. **標籤**區段預設顯示**使用者定義的標籤**。您可以選取 **AWS產生的標籤**標籤,以檢視依 AWS 服務套用至存取點的標籤。
## 使用 AWS SDKs
本節提供範例,說明如何使用 AWS SDKs 檢視套用至目錄儲存貯體存取點的標籤。
------
#### [ SDK for Java 2.x ]
此範例示範如何使用 AWS SDK for Java 2.x檢視套用至目錄儲存貯體存取點的標籤。
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3control.S3ControlClient;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceRequest;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceResponse;
public class ListTagsForResourceExample {
public static void listTagsForResourceExample() {
S3ControlClient s3Control = S3ControlClient.builder().region(Region.US_WEST_2).build();
ListTagsForResourceRequest listTagsForResourceRequest = ListTagsForResourceRequest.builder()
.resourceArn("arn:aws::s3:us-west-2:111122223333:accesspoint/my-access-point/*")
.accountId("111122223333")
.build();
ListTagsForResourceResponse response = s3Control.listTagsForResource(listTagsForResourceRequest);
System.out.println("Tags on my resource:");
System.out.println(response.toString());
}
}
```
------
## 使用 REST API
如需有關 Amazon S3 REST API 對於檢視套用至目錄儲存貯體的標籤的支援資訊,請參閱《Amazon Simple Storage Service API 參考》**中的以下區段:
+ [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)
## 使用 AWS CLI
若要安裝 AWS CLI,請參閱《 [AWS 使用者指南》中的安裝 CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。 *AWS Command Line Interface *
下列 CLI 範例示範如何檢視套用至目錄儲存貯體存取點的標籤。若要使用此命令,請以您自己的資訊取代*使用者輸入預留位置*。
**要求:**
```
aws s3control list-tags-for-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3express:region:444455556666:bucket/prefix--use1-az4--x-s3 \
```
**回應 - 具有標籤:**
```
{
"Tags": [
{
"Key": "MyKey1",
"Value": "MyValue1"
},
{
"Key": "MyKey2",
"Value": "MyValue2"
},
{
"Key": "MyKey3",
"Value": "MyValue3"
}
]
}
```
**回應 - 沒有標籤:**
```
{
"Tags": []
}
```
# 從目錄儲存貯體的存取點刪除標籤
您可以從目錄儲存貯體的存取點移除標籤。如需其他資訊,請參閱 [搭配使用標籤與目錄儲存貯體的 S3 存取點](access-points-db-tagging.md)。
**注意**
如果刪除標籤後才發現標籤用於追蹤成本或存取控制,此時您可以將該標籤加回目錄儲存貯體的存取點。
## 許可
若要從目錄儲存貯體的存取點刪除標籤,您必須具有下列權限:
+ `s3express:UntagResource`
## 故障診斷錯誤
如果您在嘗試從目錄儲存貯體的存取點刪除標籤時發生錯誤,您可以執行下列動作:
+ 確認您具備從目錄儲存貯體存取點刪除標籤時所需的 [許可](#access-points-db-tag-delete-permissions)。
## 步驟
您可以使用 Amazon S3 主控台、 AWS Command Line Interface (AWS CLI)、Amazon S3 REST API 和 AWS SDKs,從目錄儲存貯體的存取點刪除標籤。
## 使用 S3 主控台
使用 Amazon S3 主控台從目錄儲存貯體的存取點刪除標籤:
1. 從 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 登入 Amazon S3 主控台。
1. 在左側導覽窗格中,選擇**存取點 (目錄儲存貯體)**。
1. 選擇存取點名稱。
1. 選擇**屬性**索引標籤。
1. 捲動至**標籤**區段,然後選取您要刪除的標籤旁的核取方塊。
1. 選擇 **刪除**。
1. **刪除使用者定義的標籤**快顯視窗隨即出現,並且要求您確認是否刪除您選取的標籤。
1. 選擇**刪除**以確認刪除。
## 使用 AWS SDKs
------
#### [ SDK for Java 2.x ]
此範例示範如何使用 AWS SDK for Java 2.x從目錄儲存貯體刪除標籤。若要使用此命令,請以您自己的資訊取代*使用者輸入預留位置*。
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.s3control.S3ControlClient;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceRequest;
import software.amazon.awssdk.services.s3control.model.ListTagsForResourceResponse;
public class ListTagsForResourceExample {
public static void listTagsForResourceExample() {
S3ControlClient s3Control = S3ControlClient.builder().region(Region.US_WEST_2).build();
UntagResourceRequest untagResourceRequest = UntagResourceRequest.builder()
.resourceArn("arn:aws::s3:region:111122223333:accesspoint/my-access-point/*")
.accountId("111122223333")
.tagKeys("key1")
.build();
UntagResourceResponse response = s3Control.untagResource(untagResourceRequest);
System.out.println("Status code (should be 204):");
System.out.println(response.sdkHttpResponse().statusCode());
}
}
```
------
## 使用 REST API
如需有關 Amazon S3 REST API 對於從存取點刪除標籤的支援資訊,請參閱《Amazon Simple Storage Service API 參考》**中的以下區段:
+ [UnTagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)
## 使用 AWS CLI
若要安裝 AWS CLI,請參閱《 [AWS 使用者指南》中的安裝 CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)。 *AWS Command Line Interface *
下列 CLI 範例示範如何使用 AWS CLI從存取點刪除標籤。若要使用此命令,請以您自己的資訊取代*使用者輸入預留位置*。
**要求:**
```
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:111122223333:accesspoint/my-access-point/* \
--tag-keys "key1" "key2"
```
**回應:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 204,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```