本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# S3 檔案如何與 IAM 搭配使用
此頁面說明 AWS Identity and Access Management (IAM) 如何使用 S3 檔案,以及如何使用 IAM 政策來控制檔案系統的存取。
S3 檔案使用 IAM 進行兩種不同的存取控制類型:
+ **API 存取** — 控制誰可以建立、管理和刪除 S3 檔案資源,例如檔案系統、掛載目標和存取點。您可以使用連接到 IAM 使用者、群組或角色的身分型政策來控制此存取。
+ **用戶端存取** — 控制用戶端 (您掛載的運算資源) 在連線後可以使用檔案系統執行的操作,例如以根使用者身分讀取、寫入或存取檔案。您可以使用資源型政策、身分型政策、存取點和 POSIX 許可的組合來控制此存取。
您可以使用 IAM,允許用戶端在檔案系統上執行特定動作,包括唯讀、寫入和根存取。IAM 身分識別政策或檔案系統資源政策中的動作具有「允許」許可,可允許存取該動作。身分識別和資源政策均不需要同時授與許可。
連結 S3 儲存貯體上的 S3 儲存貯體政策也會控管從運算資源和檔案系統到 S3 儲存貯體的存取。您也必須確保來源儲存貯體的儲存貯體政策不會拒絕從運算資源或檔案系統存取。如需詳細資訊,請參閱 [Amazon S3 的儲存貯體政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)。
## 身分型政策
身分型政策是您連接到 IAM 使用者、群組或角色的 JSON 政策。您可以透過撰寫自訂政策或連接 AWS 受管政策來提供這些許可。如需 API 存取和用戶端存取之可用 受管政策的詳細資訊,請參閱 [AWS Amazon S3 檔案的 受管政策](s3-files-security-iam-awsmanpol.md)。
S3 檔案也允許用戶端直接從來源 S3 儲存貯體讀取檔案資料,以最佳化讀取效能。在運算資源上掛載 S3 檔案系統時,您必須將內嵌政策新增至運算資源的 IAM 角色,以授予從指定 S3 儲存貯體讀取物件的許可。掛載協助程式會使用這些許可來讀取 S3 資料。如需此政策的詳細資訊,請參閱 [將檔案系統連接至 AWS 運算資源的 IAM 角色](s3-files-prereq-policies.md#s3-files-prereq-iam-compute-role)。
## 資源型政策
檔案系統政策是您直接連接到檔案系統的 IAM 資源型政策,以控制用戶端存取。您可以使用檔案系統政策,授予或拒絕用戶端執行掛載、寫入和根存取等操作的許可。
檔案系統具有空白 (預設) 檔案系統政策,或正好有一個明確的政策。S3 檔案系統政策有 20,000 個字元的限制。如需建立和管理檔案系統政策的資訊,請參閱 [建立檔案系統政策](s3-files-file-system-policies-creating.md)。
## 用戶端的 S3 檔案動作
您可以在檔案系統政策中指定下列動作,以控制用戶端存取:
| Action | Description |
| --- | --- |
| s3files:ClientMount | 提供檔案系統的唯讀存取權。 |
| s3files:ClientWrite | 在檔案系統上提供具有寫入權限。 |
| s3files:ClientRootAccess | 存取檔案系統時,提供使用根使用者的功能。 |
## 用戶端的 S3 檔案條件索引鍵
您可以在檔案系統政策的 `Condition`元素中使用下列條件索引鍵,以進一步精簡存取控制:
| 條件金鑰 | Description | 運算子 |
| --- | --- | --- |
| s3files:AccessPointArn | 用戶端所連線之 S3 檔案存取點的 ARN。 | String |
## 檔案系統政策範例
### 範例:授予只讀存取權
下列檔案系統政策僅授予 IAM 角色 `ClientMount`(唯讀) `ReadOnly` 許可。將 *111122223333* 取代為 AWS 您的帳戶 ID。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:role/ReadOnly"
},
"Action": [
"s3files:ClientMount"
]
}
]
}
```
### 範例:授予對 S3 檔案存取點的存取權
下列檔案系統政策使用條件元素,在透過指定的存取點進行掛載時,授予特定存取點對檔案系統的完整存取權。將存取點 ARN 和帳戶 ID 取代為您的值。如需詳細資訊,請參閱[建立 S3 檔案系統的存取點](s3-files-access-points-creating.md)。
```
{
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::555555555555:role/S3FilesAccessPointFullAccess"
},
"Action": [
"s3files:Client*"
],
"Condition": {
"StringEquals": {
"s3files:AccessPointArn": "arn:partition:s3files:region:account-id:file-system/fs-1234567890/access-point/fsap-0987654321"
}
}
}
]
}
```
## POSIX 權限
IAM 授權成功後,S3 檔案會在檔案和目錄層級強制執行標準 POSIX (Unix 樣式) 許可。POSIX 許可會根據與每個檔案和目錄相關聯的使用者 ID (UID)、群組 ID (GID) 和許可位元 (讀取、寫入、執行) 來控制存取。存取點可以對所有請求強制執行特定的 POSIX 使用者身分,簡化共用資料集的存取管理。如需詳細資訊,請參閱[建立 S3 檔案系統的存取點](s3-files-access-points-creating.md)。
## Security groups (安全群組)
安全群組可做為網路層級防火牆,控制運算資源與檔案系統掛載目標之間的流量。如需設定安全群組以開始使用 S3 檔案的詳細資訊,請參閱 [Security groups (安全群組)](s3-files-prereq-policies.md#s3-files-prereq-security-groups)。
# AWS Amazon S3 檔案的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策: AmazonS3FilesFullAccess
您可將 `AmazonS3FilesFullAccess` 政策連接到 IAM 身分。此政策授予 Amazon S3 檔案的完整存取權,包括建立和管理檔案系統、掛載目標和存取點的許可。如需此政策的詳細資訊,請參閱《 AWS 受管政策參考[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesFullAccess.html)》中的 。
## AWS 受管政策: AmazonS3FilesReadOnlyAccess
您可將 `AmazonS3FilesReadOnlyAccess` 政策連接到 IAM 身分。此政策授予 Amazon S3 檔案的唯讀存取權,包括檢視檔案系統、掛載目標、存取點和相關組態的許可。如需此政策的詳細資訊,請參閱《 AWS 受管政策參考[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesReadOnlyAccess.html)》中的 。
## AWS 受管政策: AmazonS3FilesClientFullAccess
您可將 `AmazonS3FilesClientFullAccess` 政策連接到 IAM 身分。此政策會授予 S3 檔案系統的完整用戶端存取權,包括以根使用者身分掛載、讀取、寫入和存取檔案的能力。如需此政策的詳細資訊,請參閱《 AWS 受管政策參考[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientFullAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientFullAccess.html)》中的 。
## AWS 受管政策: AmazonS3FilesClientReadWriteAccess
您可將 `AmazonS3FilesClientReadWriteAccess` 政策連接到 IAM 身分。此政策授予對 S3 檔案系統的讀取和寫入用戶端存取權,包括掛載、讀取和寫入的能力。此政策不會授予根存取權。如需此政策的詳細資訊,請參閱《 AWS 受管政策參考[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadWriteAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadWriteAccess.html)》中的 。
## AWS 受管政策: AmazonS3FilesClientReadOnlyAccess
您可將 `AmazonS3FilesClientReadOnlyAccess` 政策連接到 IAM 身分。此政策授予 S3 檔案系統的唯讀用戶端存取權,包括掛載和讀取檔案系統的能力。如需此政策的詳細資訊,請參閱《 AWS 受管政策參考[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadOnlyAccess.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesClientReadOnlyAccess.html)》中的 。
## AWS 受管政策: AmazonS3FilesCSIDriverPolicy
您可將 `AmazonS3FilesCSIDriverPolicy` 政策連接到 IAM 身分。此政策授予 Amazon EFS 容器儲存介面 (CSI) 驅動程式代表 Amazon EKS 叢集管理 S3 檔案存取點的許可。如需此政策的詳細資訊,請參閱《 AWS 受管政策參考[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonS3FilesCSIDriverPolicy.html)》中的 。
## AWS 受管政策: AmazonElasticFileSystemUtils
您可將 `AmazonElasticFileSystemUtils` 政策連接到 IAM 身分。此政策授予 S3 Files 用戶端公用程式 (amazon-efs-utils) 執行操作的許可,例如描述掛載目標、發佈 CloudWatch 指標和日誌,以及與 AWS Systems Manager 通訊。如需此政策的詳細資訊,請參閱《 AWS 受管政策參考[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemUtils.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonElasticFileSystemUtils.html)》中的 。
## AWS 受管政策的 Amazon S3 檔案更新
檢視自 S3 檔案開始追蹤 Amazon S3 檔案的 AWS 受管政策更新以來的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| `AmazonElasticFileSystemUtils` — 已更新 | 新增 Amazon CloudWatch PutMetricData 許可,以支援發佈用戶端連線指標。 | 2026 年 4 月 7 日 |
| `AmazonS3FilesCSIDriverPolicy` — 新增 | 新的 受管政策,授予 Amazon EFS CSI 驅動程式代表 Amazon EKS 叢集管理 S3 檔案存取點的許可。 | 2026 年 4 月 7 日 |
| `AmazonS3FilesClientReadOnlyAccess` — 新增 | 新的 受管政策,授予 S3 檔案檔案系統的唯讀用戶端存取權。 | 2026 年 4 月 7 日 |
| `AmazonS3FilesClientReadWriteAccess` — 新增 | 新的 受管政策,授予對 S3 檔案系統的讀取和寫入用戶端存取權。 | 2026 年 4 月 7 日 |
| `AmazonS3FilesClientFullAccess` — 新增 | 新的 受管政策,授予用戶端對 S3 檔案系統的完整存取權,包括根存取權。 | 2026 年 4 月 7 日 |
| `AmazonS3FilesReadOnlyAccess` — 新增 | 新的 受管政策,授予對 S3 檔案資源的唯讀存取權。 | 2026 年 4 月 7 日 |
| `AmazonS3FilesFullAccess` — 新增 | 授予 S3 檔案資源完整存取權的新受管政策。 | 2026 年 4 月 7 日 |
| S3 檔案已開始追蹤變更 | Amazon S3 Files 開始追蹤其 AWS 受管政策的變更。 | 2026 年 4 月 7 日 |