Operazioni e autorizzazioni del bucket Operazioni e autorizzazioni degli oggetti Operazioni sui punti di accesso di bucket per uso generico e autorizzazioni Operazioni e autorizzazioni del punto di accesso Lambda per oggetti Operazioni e autorizzazioni dei punti di accesso multiregionali Operazioni e autorizzazioni per i processi batch Operazioni e autorizzazioni di configurazione di S3 Storage Lens Operazioni e autorizzazioni dei gruppi S3 Storage Lens Operazioni sull’istanza S3 Access Grants e autorizzazioni Operazioni sulla posizione S3 Access Grants e autorizzazioni Operazioni sulla concessione S3 Access Grants e autorizzazioni Operazioni e autorizzazioni dell'account

Autorizzazioni necessarie per le operazioni API di Amazon S3

Nota

Questa pagina riguarda le azioni delle policy di Amazon S3 per i bucket per uso generico. Per saperne di più sulle azioni delle policy di Amazon S3 per i bucket di directory, consulta Azioni per i bucket della directory.

Per eseguire un'operazione API S3, è necessario disporre delle giuste autorizzazioni. Questa pagina mappa le operazioni API S3 alle autorizzazioni richieste. Per concedere le autorizzazioni per l'esecuzione di un'operazione API S3, è necessario comporre una policy valida (come una policy S3 bucket o una policy IAM basata sull'identità) e specificare le azioni corrispondenti nell'elemento Action della policy. Queste azioni sono chiamate azioni policy. Non tutte le operazioni API S3 sono rappresentate da un singolo permesso (una singola azione di policy) e alcuni permessi (alcune azioni di policy) sono necessari per molte operazioni API diverse.

Quando si compongono le policy, è necessario specificare l'elemento Resource in base al tipo di risorsa corretta richiesta dalle azioni della policy Amazon S3 corrispondente. Questa pagina classifica le autorizzazioni alle operazioni API S3 in base ai tipi di risorse. Per ulteriori informazioni sui tipi di risorse, consulta Tipi di risorse definiti da Amazon S3 in Riferimento alle autorizzazioni di servizio. Per un elenco completo delle azioni, delle risorse e delle chiavi di condizione per le policy di Amazon S3, consulta Azioni, risorse e chiavi di condizione per Amazon S3 in Riferimento alle autorizzazioni di servizio. Per un elenco completo delle operazioni API di Amazon S3, consulta Azioni API di Amazon S3 in Riferimento API di Amazon Simple Storage Service.

Per ulteriori informazioni su come correggere gli errori HTTP 403 Forbidden in S3, consulta Risoluzione dei problemi relativi agli errori di accesso negato (403 Forbidden) in Amazon S3. Per ulteriori informazioni sulle funzionalità IAM da utilizzare con S3, consulta Come funziona Amazon S3 con IAM. Per ulteriori informazioni sulle best practice di sicurezza S3, consulta Best practice di sicurezza per Amazon S3.

Argomenti

Operazioni e autorizzazioni del bucket
Operazioni e autorizzazioni degli oggetti
Operazioni sui punti di accesso di bucket per uso generico e autorizzazioni
Operazioni e autorizzazioni del punto di accesso Lambda per oggetti
Operazioni e autorizzazioni dei punti di accesso multiregionali
Operazioni e autorizzazioni per i processi batch
Operazioni e autorizzazioni di configurazione di S3 Storage Lens
Operazioni e autorizzazioni dei gruppi S3 Storage Lens
Operazioni sull’istanza S3 Access Grants e autorizzazioni
Operazioni sulla posizione S3 Access Grants e autorizzazioni
Operazioni sulla concessione S3 Access Grants e autorizzazioni
Operazioni e autorizzazioni dell'account

Le operazioni sui bucket sono operazioni API S3 che operano sul tipo di risorsa bucket. È necessario specificare le azioni delle policy S3 per le operazioni sui bucket nelle policy sui bucket o nelle policy IAM basate sull'identità.

Nelle policy, l'elemento Resource deve essere il nome della risorsa Amazon (ARN) del bucket. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni relative ai bucket.

Nota

Per concedere le autorizzazioni alle operazioni di bucket nelle policy dei punti di accesso, tieni presente quanto segue:

Le autorizzazioni concesse per le operazioni sui bucket in una policy del punto di accesso sono efficaci solo se il bucket sottostante consente le stesse autorizzazioni. Quando si utilizza un punto di accesso, è necessario delegare il controllo dell'accesso dal bucket al punto di accesso o aggiungere le stesse autorizzazioni nella policy del punto di accesso alla policy del bucket sottostante.
Nelle policy dei punti di accesso che concedono autorizzazioni alle operazioni di bucket, l'elemento Resource deve essere l'ARN accesspoint. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni su bucket nelle policy per i punti di accesso di bucket per uso generico. Per ulteriori informazioni sulle policy dei punti di accesso, consulta Configurazione delle policy IAM per l'utilizzo degli access point.
Non tutte le operazioni di bucket sono supportate dai punti di accesso. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso con le operazioni S3.

Di seguito è riportata la mappatura delle operazioni sui bucket e delle azioni di policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
CreateBucket	(Obbligatorio) `s3:CreateBucket`	Richiesto per creare un nuovo bucket s3.
	(Obbligo condizionale) `s3:PutBucketAcl`	Necessario se si desidera utilizzare una lista di controllo degli accessi (ACL) per specificare le autorizzazioni su un bucket quando si effettua una richiesta `CreateBucket`.
	(Obbligo condizionale) `s3:PutBucketObjectLockConfiguration`, `s3:PutBucketVersioning`	Richiesto se si desidera attivare Object Lock quando si crea un bucket.
	(Obbligo condizionale) `s3:PutBucketOwnershipControls`	Richiesto se si desidera specificare la proprietà dell'oggetto S3 quando si crea un bucket.
CreateBucketMetadataConfiguration (operazione API V2, il nome dell’azione della policy IAM è uguale per le operazioni API V1 e V2).	(Obbligatorio) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateTableBucket`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`, `s3tables:PutTableEncryption`, `kms:DescribeKey`	Richiesto per creare la configurazione di una tabella di metadati su un bucket per uso generico. Per creare il bucket di tabelle gestito da AWS e le tabelle dei metadati specificate nella configurazione della tabella dei metadati, è necessario disporre delle autorizzazioni `s3tables` specificate. Per crittografare le tabelle dei metadati utilizzando la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), sono necessarie autorizzazioni aggiuntive nella policy della chiave KMS. Per ulteriori informazioni, consulta Impostazione delle autorizzazioni per la configurazione delle tabelle di metadati. Per integrare il bucket di tabelle gestito da AWS con i servizi di analisi AWS, in modo da poter eseguire query sulla tabella dei metadati, sono necessarie ulteriori autorizzazioni. Per ulteriori informazioni, consulta Integrazione delle tabelle Amazon S3 con i servizi di analisi di AWS.
CreateBucketMetadataTableConfiguration (operazione API V1)	(Obbligatorio) `s3:CreateBucketMetadataTableConfiguration`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`	Richiesto per creare la configurazione di una tabella di metadati su un bucket per uso generico. Per creare la tabella dei metadati nel bucket della tabella specificato nella configurazione della tabella dei metadati, è necessario disporre dei permessi specificati in `s3tables`. Per crittografare le tabelle dei metadati utilizzando la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), sono necessarie ulteriori autorizzazioni. Per ulteriori informazioni, consulta Impostazione delle autorizzazioni per la configurazione delle tabelle di metadati. Se si desidera integrare il bucket delle tabelle con i servizi di analisi di AWS, in modo da poter interrogare la tabella dei metadati, sono necessarie ulteriori autorizzazioni. Per ulteriori informazioni, consulta Integrazione delle tabelle Amazon S3 con i servizi di analisi di AWS.
DeleteBucket	(Obbligatorio) `s3:DeleteBucket`	Richiesto per eliminare un bucket S3.
DeleteBucketAnalyticsConfiguration	(Obbligatorio) `s3:PutAnalyticsConfiguration`	Richiesto per eliminare una configurazione analitica S3 da un bucket S3.
DeleteBucketCors	(Obbligatorio) `s3:PutBucketCORS`	Richiesto per eliminare la configurazione della condivisione delle risorse in origine incrociata (CORS) per un bucket.
DeleteBucketEncryption	(Obbligatorio) `s3:PutEncryptionConfiguration`	Richiesto per reimpostare la configurazione di crittografia predefinita per un bucket S3 come crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3).
DeleteBucketIntelligentTieringConfiguration	(Obbligatorio) `s3:PutIntelligentTieringConfiguration`	Necessario per eliminare la configurazione S3 Intelligent-Tiering esistente da un bucket S3.
DeleteBucketInventoryConfiguration	(Obbligatorio) `s3:PutInventoryConfiguration`	Richiesto per eliminare una configurazione dell'inventario S3 da un bucket S3.
DeleteBucketLifecycle	(Obbligatorio) `s3:PutLifecycleConfiguration`	Richiesto per eliminare la configurazione del ciclo di vita S3 per un bucket S3.
DeleteBucketMetadataConfiguration (operazione API V2, il nome dell’azione della policy IAM è uguale per le operazioni API V1 e V2).	(Obbligatorio) `s3:DeleteBucketMetadataTableConfiguration`	Richiesto per eliminare la configurazione di una tabella di metadati da un bucket per uso generico.
DeleteBucketMetadataTableConfiguration (operazione API V1)	(Obbligatorio) `s3:DeleteBucketMetadataTableConfiguration`	Richiesto per eliminare la configurazione di una tabella di metadati da un bucket per uso generico.
DeleteBucketMetricsConfiguration	(Obbligatorio) `s3:PutMetricsConfiguration`	Necessario per eliminare una configurazione di metriche per le metriche di richiesta di Amazon CloudWatch da un bucket S3.
DeleteBucketOwnershipControls	(Obbligatorio) `s3:PutBucketOwnershipControls`	Richiesto per rimuovere l'impostazione della proprietà dell'oggetto per un bucket S3. Dopo la rimozione, l'impostazione Proprietà oggetto diventa `Object writer`.
DeleteBucketPolicy	(Obbligatorio) `s3:DeleteBucketPolicy`	Richiesto per eliminare la policy di un bucket S3.
DeleteBucketReplication	(Obbligatorio) `s3:PutReplicationConfiguration`	Richiesto per eliminare la configurazione di replica di un bucket S3.
DeleteBucketTagging	(Obbligatorio) `s3:PutBucketTagging`	Richiesto per eliminare i tag da un bucket S3.
DeleteBucketWebsite	(Obbligatorio) `s3:DeleteBucketWebsite`	Richiesto per rimuovere la configurazione del sito web per un bucket S3.
DeletePublicAccessBlock (a livello di bucket)	(Obbligatorio) `s3:PutBucketPublicAccessBlock`	Richiesto per rimuovere la configurazione di accesso pubblico a blocchi per un bucket S3.
GetBucketAccelerateConfiguration	(Obbligatorio) `s3:GetAccelerateConfiguration`	Necessario per utilizzare la sotto-risorsa accelerate per restituire lo stato di Amazon S3 Transfer Acceleration di un bucket, che è Enabled o Suspended.
GetBucketAcl	(Obbligatorio) `s3:GetBucketAcl`	Richiesto per restituire la lista di controllo degli accessi (ACL) di un bucket S3.
GetBucketAnalyticsConfiguration	(Obbligatorio) `s3:GetAnalyticsConfiguration`	Richiesto per restituire una configurazione di analisi identificata dall'ID della configurazione di analisi da un bucket S3.
GetBucketCors	(Obbligatorio) `s3:GetBucketCORS`	Richiesto per restituire la configurazione della condivisione delle risorse in provenienza incrociata (CORS) per un bucket S3.
GetBucketEncryption	(Obbligatorio) `s3:GetEncryptionConfiguration`	Richiesto per ripristinare la configurazione di crittografia predefinita per un bucket S3.
GetBucketIntelligentTieringConfiguration	(Obbligatorio) `s3:GetIntelligentTieringConfiguration`	Richiesto per ottenere la configurazione S3 Intelligent-Tiering di un bucket S3.
GetBucketInventoryConfiguration	(Obbligatorio) `s3:GetInventoryConfiguration`	Richiesto per restituire una configurazione d'inventario identificata dall'ID della configurazione d'inventario dal bucket.
GetBucketLifecycle	(Obbligatorio) `s3:GetLifecycleConfiguration`	Richiesto per restituire la configurazione S3 Lifecycle del bucket.
GetBucketLocation	(Obbligatorio) `s3:GetBucketLocation`	Richiesto per restituire l'indirizzo Regione AWS in cui risiede un bucket S3.
GetBucketLogging	(Obbligatorio) `s3:GetBucketLogging`	Richiesto per restituire lo stato di registrazione di un bucket S3 e le autorizzazioni che gli utenti hanno per visualizzare e modificare tale stato.
GetBucketMetadataConfiguration (operazione API V2, il nome dell’azione della policy IAM è uguale per le operazioni API V1 e V2).	(Obbligatorio) `s3:GetBucketMetadataTableConfiguration`	Richiesto per recuperare la configurazione di una tabella di metadati per un bucket per uso generico.
GetBucketMetadataTableConfiguration (operazione API V1)	(Obbligatorio) `s3:GetBucketMetadataTableConfiguration`	Richiesto per recuperare la configurazione di una tabella di metadati per un bucket per uso generico.
GetBucketMetricsConfiguration	(Obbligatorio) `s3:GetMetricsConfiguration`	Richiesto per ottenere una configurazione di metriche specificata dall'ID della configurazione di metriche dal bucket.
GetBucketNotificationConfiguration	(Obbligatorio) `s3:GetBucketNotification`	Richiesto per restituire la configurazione di notifica di un bucket S3.
GetBucketOwnershipControls	(Obbligatorio) `s3:GetBucketOwnershipControls`	Richiesto per recuperare l'impostazione della proprietà dell'oggetto per un bucket S3.
GetBucketPolicy	(Obbligatorio) `s3:GetBucketPolicy`	Richiesto per restituire la policy di un bucket S3.
GetBucketPolicyStatus	(Obbligatorio) `s3:GetBucketPolicyStatus`	Richiesto per recuperare lo stato delle policy per un bucket S3, che indica se il bucket è pubblico.
GetBucketReplication	(Obbligatorio) `s3:GetReplicationConfiguration`	Richiesto per restituire la configurazione di replica di un bucket S3.
GetBucketRequestPayment	(Obbligatorio) `s3:GetBucketRequestPayment`	Richiesto per restituire la configurazione del pagamento della richiesta per un bucket S3.
GetBucketVersioning	(Obbligatorio) `s3:GetBucketVersioning`	Richiesto per restituire lo stato di controllo delle versioni di un bucket S3.
GetBucketTagging	(Obbligatorio) `s3:GetBucketTagging`	Richiesto per restituire il set di tag associato a un bucket S3.
GetBucketWebsite	(Obbligatorio) `s3:GetBucketWebsite`	Richiesto per restituire la configurazione del sito web per un bucket S3.
GetObjectLockConfiguration	(Obbligatorio) `s3:GetBucketObjectLockConfiguration`	Richiesto per ottenere la configurazione di Object Lock per un bucket S3.
GetPublicAccessBlock (a livello di bucket)	(Obbligatorio) `s3:GetBucketPublicAccessBlock`	Richiesto per recuperare la configurazione di accesso pubblico ai blocchi per un bucket S3.
HeadBucket	(Obbligatorio) `s3:ListBucket`	Richiesto per determinare se un bucket esiste e se si ha il permesso di accedervi.
ListBucketAnalyticsConfigurations	(Obbligatorio) `s3:GetAnalyticsConfiguration`	Richiesto per elencare le configurazioni di analisi per un bucket S3.
ListBucketIntelligentTieringConfigurations	(Obbligatorio) `s3:GetIntelligentTieringConfiguration`	Richiesto per elencare le configurazioni S3 Intelligent-Tiering di un bucket S3.
ListBucketInventoryConfigurations	(Obbligatorio) `s3:GetInventoryConfiguration`	Richiesto per restituire un elenco di configurazioni di inventario per un bucket S3.
ListBucketMetricsConfigurations	(Obbligatorio) `s3:GetMetricsConfiguration`	Richiesto per elencare le configurazioni delle metriche per un bucket S3.
ListObjects	(Obbligatorio) `s3:ListBucket`	Richiesto per elencare alcuni o tutti (fino a 1.000) gli oggetti di un bucket S3.
	(Obbligo condizionale) `s3:GetObjectAcl`	Richiesto se si desidera visualizzare le informazioni sul proprietario dell'oggetto.
ListObjectsV2	(Obbligatorio) `s3:ListBucket`	Richiesto per elencare alcuni o tutti (fino a 1.000) gli oggetti di un bucket S3.
	(Obbligo condizionale) `s3:GetObjectAcl`	Richiesto se si desidera visualizzare le informazioni sul proprietario dell'oggetto.
ListObjectVersions	(Obbligatorio) `s3:ListBucketVersions`	Necessario per ottenere metadati su tutte le versioni degli oggetti in un bucket S3.
PutBucketAccelerateConfiguration	(Obbligatorio) `s3:PutAccelerateConfiguration`	Richiesto per impostare la configurazione di accelerazione di un bucket esistente.
PutBucketAcl	(Obbligatorio) `s3:PutBucketAcl`	Richiesto per utilizzare le liste di controllo degli accessi (ACL) per impostare le autorizzazioni su un bucket esistente.
PutBucketAnalyticsConfiguration	(Obbligatorio) `s3:PutAnalyticsConfiguration`	Richiesto per impostare una configurazione analitica per un bucket S3.
PutBucketCors	(Obbligatorio) `s3:PutBucketCORS`	Richiesto per impostare la configurazione della condivisione delle risorse in provenienza incrociata (CORS) per un bucket S3.
PutBucketEncryption	(Obbligatorio) `s3:PutEncryptionConfiguration`	Richiesto per configurare la crittografia predefinita per un bucket S3.
PutBucketIntelligentTieringConfiguration	(Obbligatorio) `s3:PutIntelligentTieringConfiguration`	Richiesto per inserire la configurazione S3 Intelligent-Tiering in un bucket S3.
PutBucketInventoryConfiguration	(Obbligatorio) `s3:PutInventoryConfiguration`	Richiesto per aggiungere una configurazione di inventario a un bucket S3.
PutBucketLifecycle	(Obbligatorio) `s3:PutLifecycleConfiguration`	Richiesto per creare una nuova configurazione del ciclo di vita S3 o per sostituire una configurazione del ciclo di vita esistente per un bucket S3.
PutBucketLogging	(Obbligatorio) `s3:PutBucketLogging`	Necessario per impostare i parametri di registrazione per un bucket S3 e specificare le autorizzazioni per chi può visualizzare e modificare i parametri di registrazione.
PutBucketMetricsConfiguration	(Obbligatorio) `s3:PutMetricsConfiguration`	Necessario per impostare o aggiornare una configurazione delle metriche per le metriche di richiesta di Amazon CloudWatch di un bucket S3.
PutBucketNotificationConfiguration	(Obbligatorio) `s3:PutBucketNotification`	Necessario per abilitare le notifiche di eventi specifici per un bucket S3.
PutBucketOwnershipControls	(Obbligatorio) `s3:PutBucketOwnershipControls`	Richiesto per creare o modificare l'impostazione della proprietà dell'oggetto per un bucket S3.
PutBucketPolicy	(Obbligatorio) `s3:PutBucketPolicy`	Richiesto per applicare una policy del bucket S3 a un bucket.
PutBucketReplication	(Obbligatorio) `s3:PutReplicationConfiguration`	Necessario per creare una nuova configurazione di replica o sostituirne una esistente per un bucket S3.
PutBucketRequestPayment	(Obbligatorio) `s3:PutBucketRequestPayment`	Richiesto per impostare la configurazione del pagamento della richiesta per un bucket.
PutBucketTagging	(Obbligatorio) `s3:PutBucketTagging`	Richiesto per aggiungere una serie di tag a un bucket S3.
PutBucketVersioning	(Obbligatorio) `s3:PutBucketVersioning`	Richiesto per impostare lo stato di controllo delle versioni di un bucket S3.
PutBucketWebsite	(Obbligatorio) `s3:PutBucketWebsite`	Richiesto per configurare un bucket come sito web e impostare la configurazione del sito web.
PutObjectLockConfiguration	(Obbligatorio) `s3:PutBucketObjectLockConfiguration`	Richiesto per mettere la configurazione di Object Lock su un bucket S3.
PutPublicAccessBlock (a livello di bucket)	(Obbligatorio) `s3:PutBucketPublicAccessBlock`	Richiesto per creare o modificare la configurazione di accesso pubblico a blocchi per un bucket S3.
UpdateBucketMetadataInventoryTableConfiguration	(Obbligatorio) `s3:UpdateBucketMetadataInventoryTableConfiguration`, `s3tables:CreateTableBucket`, `s3tables:CreateNamespace`, `s3tables:CreateTable`, `s3tables:GetTable`, `s3tables:PutTablePolicy`, `s3tables:PutTableEncryption`, `kms:DescribeKey`	Richiesto per abilitare o disabilitare una tabella di inventario per una configurazione della tabella dei metadati su un bucket per uso generico. Per crittografare la tabella di inventario utilizzando la crittografia lato server con chiavi AWS Key Management Service (AWS KMS) (SSE-KMS), sono necessarie ulteriori autorizzazioni nella policy della chiave KMS. Per ulteriori informazioni, consulta Impostazione delle autorizzazioni per la configurazione delle tabelle di metadati.
UpdateBucketMetadataJournalTableConfiguration	(Obbligatorio) `s3:UpdateBucketMetadataJournalTableConfiguration`	Richiesto per abilitare o disabilitare la scadenza dei record della tabella del diario per una configurazione della tabella dei metadati su un bucket per uso generico.

Le operazioni sugli oggetti sono operazioni API S3 che operano sul tipo di risorsa oggetto. È necessario specificare le azioni delle policy S3 per le operazioni sugli oggetti nelle policy basate sulle risorse (come le policy sui bucket, sui punti di accesso, sui punti di accesso multiregionali e sugli endpoint VPC) o nelle policy IAM basate sull'identità.

Nelle policy, l'elemento Resource deve essere l'ARN dell'oggetto. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni con gli oggetti.

Nota

Le azioni AWS KMS delle policy (kms:GenerateDataKey e kms:Decrypt) sono applicabili solo per il tipo di risorsa AWS KMS e devono essere specificate nelle policy IAM basate sull'identità e nelle policy basate sulle risorse AWS KMS (policy delle chiavi AWS KMS). Non è possibile specificare le azioni delle policy AWS KMS nelle policy basate sulle risorse S3, come le policy dei bucket S3.
Quando si utilizzano i punti di accesso per controllare l'accesso alle operazioni degli oggetti, è possibile utilizzare le policy dei punti di accesso. Per concedere le autorizzazioni alle operazioni sugli oggetti nelle policy dei punti di accesso, tieni presente quanto segue:
- Nelle policy dei punti di accesso che concedono autorizzazioni alle operazioni sugli oggetti, l'elemento Resource deve essere l'ARN degli oggetti a cui si accede tramite un punto di accesso. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni sugli oggetti nelle policy dei punti di accesso.
- Non tutte le operazioni sugli oggetti sono supportate dai punti di accesso. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso con le operazioni S3.
Non tutte le operazioni sugli oggetti sono supportate dai punti di accesso multiregionali. Per ulteriori informazioni, consulta Compatibilità dei punti di accesso multi-regione con le operazioni S3.

Di seguito è riportata la mappatura delle operazioni degli oggetti e delle azioni di policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
AbortMultipartUpload	(Obbligatorio) `s3:AbortMultipartUpload`	Richiesto per interrompere un caricamento multiparte.
CompleteMultipartUpload	(Obbligatorio) `s3:PutObject`	Richiesto per completare un caricamento multiparte.
	(Obbligo condizionale) `kms:Decrypt`	Richiesto se si desidera completare un caricamento multiparte per un oggetto criptato con chiave gestita dal cliente AWS KMS.
CopyObject	Per l'oggetto di origine:	Per l'oggetto di origine:
	(Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject` - Richiesto se si vuole copiare un oggetto dal bucket di origine senza specificare `versionId` nella richiesta. `s3:GetObjectVersion` - Richiesto se si vuole copiare una versione specifica di un oggetto dal bucket di origine, specificando `versionId` nella richiesta.
	(Obbligo condizionale) `kms:Decrypt`	Richiesto se si desidera copiare un oggetto criptato con chiave gestita dal cliente AWS KMS dal bucket di origine.
	Per l'oggetto di destinazione:	Per l'oggetto di destinazione:
	(Obbligatorio) `s3:PutObject`	Richiesto per inserire l'oggetto copiato nel bucket di destinazione.
	(Obbligo condizionale) `s3:PutObjectAcl`	Necessario se si desidera inserire l'oggetto copiato con la lista di controllo degli accessi (ACL) dell'oggetto nel bucket di destinazione quando si effettua una richiesta `CopyObject`.
	(Obbligo condizionale) `s3:PutObjectTagging`	Richiesto se si vuole mettere l'oggetto copiato con il tagging dell'oggetto nel bucket di destinazione quando si fa una richiesta a `CopyObject`.
	(Obbligo condizionale) `kms:GenerateDataKey`	Richiesto se si vuole crittografare l'oggetto copiato con una chiave gestita dal cliente AWS KMS e metterlo nel bucket di destinazione.
	(Obbligo condizionale) `s3:PutObjectRetention`	Richiesto se si desidera impostare una configurazione di conservazione Object Lock per il nuovo oggetto.
	(Obbligo condizionale) `s3:PutObjectLegalHold`	Richiesto se si desidera inserire un blocco legale Object Lock del nuovo oggetto.
CreateMultipartUpload	(Obbligatorio) `s3:PutObject`	Richiesto per creare un caricamento multiparte.
	(Obbligo condizionale) `s3:PutObjectAcl`	Richiesto se si desidera impostare le autorizzazioni della lista di controllo degli accessi (ACL) per l'oggetto caricato.
	(Obbligo condizionale) `s3:PutObjectTagging`	Richiesto se si desidera aggiungere uno o più tag all'oggetto caricato.
	(Obbligo condizionale) `kms:GenerateDataKey`	Richiesto se si desidera utilizzare una chiave gestita dal cliente AWS KMS per crittografare un oggetto quando si avvia un caricamento multiparte.
	(Obbligo condizionale) `s3:PutObjectRetention`	Richiesto se si desidera impostare una configurazione di conservazione Object Lock per l'oggetto caricato.
	(Obbligo condizionale) `s3:PutObjectLegalHold`	Richiesto se si desidera applicare un blocco legale Object Lock all'oggetto caricato.
DeleteObject	(Obbligatorio) `s3:DeleteObject` o `s3:DeleteObjectVersion`	`s3:DeleteObject` - Richiesto se si vuole rimuovere un oggetto senza specificare `versionId` nella richiesta. `s3:DeleteObjectVersion` - Richiesto se si vuole rimuovere una versione specifica di un oggetto specificando `versionId` nella richiesta.
	(Obbligo condizionale) `s3:BypassGovernanceRetention`	Necessario se si desidera eliminare un oggetto protetto dalla modalità di governance per la conservazione Object Lock.
DeleteObjects	(Obbligatorio) `s3:DeleteObject` o `s3:DeleteObjectVersion`	`s3:DeleteObject` - Richiesto se si vuole rimuovere un oggetto senza specificare `versionId` nella richiesta. `s3:DeleteObjectVersion` - Richiesto se si vuole rimuovere una versione specifica di un oggetto specificando `versionId` nella richiesta.
	(Obbligo condizionale) `s3:BypassGovernanceRetention`	Necessario se si desidera eliminare gli oggetti protetti dalla modalità di governance per la conservazione Object Lock.
DeleteObjectTagging	(Obbligatorio) `s3:DeleteObjectTagging` o `s3:DeleteObjectVersionTagging`	`s3:DeleteObjectTagging` - Richiesto se si vuole rimuovere l'intero set di tag di un oggetto senza specificare `versionId` nella richiesta. `s3:DeleteObjectVersionTagging` - Richiesto se si desidera eliminare i tag di una versione specifica dell'oggetto specificando `versionId` nella richiesta.
GetObject	(Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject` - Richiesto se si vuole ottenere un oggetto senza specificare `versionId` nella richiesta. `s3:GetObjectVersion` - Richiesto se si vuole ottenere una versione specifica di un oggetto specificando `versionId` nella richiesta.
	(Obbligo condizionale) `kms:Decrypt`	Richiesto se si desidera ottenere e decifrare un oggetto criptato con chiave gestita dal cliente AWS KMS.
	(Obbligo condizionale) `s3:GetObjectTagging`	Richiesto se si vuole ottenere il set di tag di un oggetto quando si fa una richiesta a `GetObject`.
	(Obbligo condizionale) `s3:GetObjectLegalHold`	Richiesto se si vuole ottenere lo stato attuale di blocco legale Object Lock di un oggetto.
	(Obbligo condizionale) `s3:GetObjectRetention`	Richiesto se si desidera recuperare le impostazioni di conservazione Object Lock per un oggetto.
GetObjectAcl	(Obbligatorio) `s3:GetObjectAcl` o `s3:GetObjectVersionAcl`	`s3:GetObjectAcl` - Richiesto se si vuole ottenere la lista di controllo degli accessi (ACL) di un oggetto senza specificare `versionId` nella richiesta. `s3:GetObjectVersionAcl` - Richiesto se si vuole ottenere la lista di controllo degli accessi (ACL) di un oggetto specificando `versionId` nella richiesta.
GetObjectAttributes	(Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject` - Richiesto se si vogliono recuperare gli attributi relativi a un oggetto senza specificare `versionId` nella richiesta. `s3:GetObjectVersion` - Richiesto se si vogliono recuperare gli attributi relativi a una versione specifica dell'oggetto, specificando `versionId` nella richiesta.
	(Obbligo condizionale) `kms:Decrypt`	Richiesto se si desidera recuperare gli attributi relativi a un oggetto criptato con chiave gestita del cliente AWS KMS.
GetObjectLegalHold	(Obbligatorio) `s3:GetObjectLegalHold`	Richiesto per ottenere lo stato attuale di blocco legale Object Lock di un oggetto.
GetObjectRetention	(Obbligatorio) `s3:GetObjectRetention`	Richiesto per recuperare le impostazioni di conservazione Object Lock per un oggetto.
GetObjectTagging	(Obbligatorio) `s3:GetObjectTagging` o `s3:GetObjectVersionTagging`	`s3:GetObjectTagging` - Richiesto se si vuole ottenere il set di tag di un oggetto senza specificare `versionId` nella richiesta. `s3:GetObjectVersionTagging` - Richiesto se si desidera ottenere i tag di una versione specifica dell'oggetto specificando `versionId` nella richiesta.
GetObjectTorrent	(Obbligatorio) `s3:GetObject`	Richiesto per restituire i file torrent di un oggetto.
HeadObject	(Obbligatorio) `s3:GetObject`	Richiesto per recuperare i metadati da un oggetto senza restituire l'oggetto stesso.
	(Obbligo condizionale) `s3:GetObjectLegalHold`	Richiesto se si vuole ottenere lo stato attuale di blocco legale Object Lock di un oggetto.
	(Obbligo condizionale) `s3:GetObjectRetention`	Richiesto se si desidera recuperare le impostazioni di conservazione Object Lock per un oggetto.
ListMultipartUploads	(Obbligatorio) `s3:ListBucketMultipartUploads`	Richiesto per elencare i caricamenti multiparte in corso in un bucket.
ListParts	(Obbligatorio) `s3:ListMultipartUploadParts`	Richiesto per elencare le parti che sono state caricate per uno specifico caricamento multiparte.
	(Obbligo condizionale) `kms:Decrypt`	Richiesto se si desidera elencare le parti di un caricamento multipartito criptato con chiave gestita dal cliente AWS KMS.
PutObject	(Obbligatorio) `s3:PutObject`	Richiesto per inserire un oggetto.
	(Obbligo condizionale) `s3:PutObjectAcl`	Richiesto se si desidera inserire la lista di controllo degli accessi (ACL) dell'oggetto quando si effettua una richiesta `PutObject`.
	(Obbligo condizionale) `s3:PutObjectTagging`	Richiesto se si vuole inserire l'etichetta dell'oggetto quando si fa una richiesta a `PutObject`.
	(Obbligo condizionale) `kms:GenerateDataKey`	Richiesto se si desidera crittografare un oggetto con una chiave gestita dal cliente AWS KMS.
	(Obbligo condizionale) `s3:PutObjectRetention`	Richiesto se si desidera impostare una configurazione di conservazione Object Lock per un oggetto.
	(Obbligo condizionale) `s3:PutObjectLegalHold`	Richiesto se si desidera applicare una configurazione di Blocco legale Object Lock a un oggetto specificato.
PutObjectAcl	(Obbligatorio) `s3:PutObjectAcl` o `s3:PutObjectVersionAcl`	`s3:PutObjectAcl` - Necessario se si desidera impostare le autorizzazioni della lista di controllo degli accessi (ACL) per un oggetto nuovo o esistente senza specificare `versionId` nella richiesta. `s3:PutObjectVersionAcl` - Necessario se si desidera impostare le autorizzazioni della lista di controllo degli accessi (ACL) per un oggetto nuovo o esistente, specificando `versionId` nella richiesta.
PutObjectLegalHold	(Obbligatorio) `s3:PutObjectLegalHold`	Richiesto per applicare una configurazione di Blocco legale Object Lock a un oggetto.
PutObjectRetention	(Obbligatorio) `s3:PutObjectRetention`	Richiesto per applicare una configurazione di conservazione Object Lock per un oggetto.
	(Obbligo condizionale) `s3:BypassGovernanceRetention`	Necessario se si desidera bypassare la modalità di governance di una configurazione di conservazione Object Lock.
PutObjectTagging	(Obbligatorio) `s3:PutObjectTagging` o `s3:PutObjectVersionTagging`	`s3:PutObjectTagging` - Richiesto se si vuole impostare il set di tag fornito a un oggetto che esiste già in un bucket, senza specificare `versionId` nella richiesta. `s3:PutObjectVersionTagging` - Richiesto se si vuole impostare il set di tag fornito a un oggetto che esiste già in un bucket, specificando `versionId` nella richiesta.
RestoreObject	(Obbligatorio) `s3:RestoreObject`	Richiesto per ripristinare una copia di un oggetto archiviato.
SelectObjectContent	(Obbligatorio) `s3:GetObject`	Richiesto per filtrare il contenuto di un oggetto S3 in base a una semplice istruzione SQL (Structured Query Language).
	(Obbligo condizionale) `kms:Decrypt`	Necessario se si desidera filtrare il contenuto di un oggetto S3 crittografato con una chiave gestita dal cliente AWS KMS.
UploadPart	(Obbligatorio) `s3:PutObject`	Richiesto per caricare una parte in un caricamento multiparte.
	(Obbligo condizionale) `kms:GenerateDataKey`	Richiesto se si vuole inserire una parte di upload e crittografarla con una chiave gestita dal cliente AWS KMS.
UploadPartCopy	Per l'oggetto di origine:	Per l'oggetto di origine:
	(Obbligatorio) `s3:GetObject` o `s3:GetObjectVersion`	`s3:GetObject` - Richiesto se si vuole copiare un oggetto dal bucket di origine senza specificare `versionId` nella richiesta. `s3:GetObjectVersion` - Richiesto se si vuole copiare una versione specifica di un oggetto dal bucket di origine, specificando `versionId` nella richiesta.
	(Obbligo condizionale) `kms:Decrypt`	Richiesto se si desidera copiare un oggetto criptato con chiave gestita dal cliente AWS KMS dal bucket di origine.
	Per la parte di destinazione:	Per la parte di destinazione:
	(Obbligatorio) `s3:PutObject`	Richiesto per caricare una parte di caricamento multiparte nel bucket di destinazione.
	(Obbligo condizionale) `kms:GenerateDataKey`	Richiesto se si desidera crittografare una parte con una chiave gestita dal cliente AWS KMS quando si carica la parte nel bucket di destinazione.

Le operazioni sui punti di accesso sono operazioni API S3 che operano sul tipo di risorsa accesspoint. È necessario specificare le azioni delle policy S3 per le operazioni dei punti di accesso nelle policy IAM basate sull'identità, non nelle policy dei bucket o dei punti di accesso.

Nelle policy, l'elemento Resource deve essere l'ARN accesspoint. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni sui punti di accesso di bucket per uso generico.

Nota

Se desideri utilizzare i punti di accesso per controllare l'accesso alle operazioni sui bucket o sugli oggetti, tieni presente quanto segue:

Per l'utilizzo dei punti di accesso per controllare l'accesso alle operazioni del bucket, consulta Operazioni su bucket nelle policy per i punti di accesso di bucket per uso generico.
Per l'utilizzo dei punti di accesso per controllare l'accesso alle operazioni sugli oggetti, consulta Operazioni sugli oggetti nelle policy dei punti di accesso.
Per ulteriori informazioni su come configurare le policy dei punti di accesso, consulta Configurazione delle policy IAM per l'utilizzo degli access point.

Di seguito è riportata la mappatura delle operazioni dei punti di accesso e delle azioni di policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
CreateAccessPoint	(Obbligatorio) `s3:CreateAccessPoint`	Richiesto per creare un punto di accesso associato a un bucket S3.
DeleteAccessPoint	(Obbligatorio) `s3:DeleteAccessPoint`	Richiesto per eliminare un punto di accesso.
DeleteAccessPointPolicy	(Obbligatorio) `s3:DeleteAccessPointPolicy`	Richiesto per eliminare una policy del punto di accesso.
GetAccessPointPolicy	(Obbligatorio) `s3:GetAccessPointPolicy`	Richiesto per recuperare una policy del punto di accesso.
GetAccessPointPolicyStatus	(Obbligatorio) `s3:GetAccessPointPolicyStatus`	Richiesto per recuperare le informazioni sul fatto che il punto di accesso specificato abbia attualmente una policy che consente l'accesso pubblico.
PutAccessPointPolicy	(Obbligatorio) `s3:PutAccessPointPolicy`	Richiesto per inserire una policy del punto di accesso.

Le operazioni sui punti di accesso Lambda per oggetti sono operazioni API S3 che operano sul tipo di risorsa objectlambdaaccesspoint. Per ulteriori informazioni su come configurare le policy per le operazioni sui punti di accesso Lambda per oggetti, consulta Configurazione delle policy IAM per i punti di accesso Lambda per oggetti.

Di seguito è riportata la mappatura delle operazioni sui punti di accesso Lambda per oggetti e delle azioni di policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
CreateAccessPointForObjectLambda	(Obbligatorio) `s3:CreateAccessPointForObjectLambda`	Richiesto per creare un punto di accesso Lambda per oggetti.
DeleteAccessPointForObjectLambda	(Obbligatorio) `s3:DeleteAccessPointForObjectLambda`	Richiesto per eliminare un punto di accesso Lambda per oggetti specificato.
DeleteAccessPointPolicyForObjectLambda	(Obbligatorio) `s3:DeleteAccessPointPolicyForObjectLambda`	Richiesto per eliminare la policy di un punto di accesso Lambda per oggetti specificato.
GetAccessPointConfigurationForObjectLambda	(Obbligatorio) `s3:GetAccessPointConfigurationForObjectLambda`	Richiesto per recuperare la configurazione del punto di accesso Lambda per oggetti.
GetAccessPointForObjectLambda	(Obbligatorio) `s3:GetAccessPointForObjectLambda`	Richiesto per recuperare le informazioni sul punto di accesso Lambda per oggetti.
GetAccessPointPolicyForObjectLambda	(Obbligatorio) `s3:GetAccessPointPolicyForObjectLambda`	Richiesto per restituire la policy del punto di accesso associata al punto di accesso Lambda per oggetti specificato.
GetAccessPointPolicyStatusForObjectLambda	(Obbligatorio) `s3:GetAccessPointPolicyStatusForObjectLambda`	Richiesto per restituire lo stato della policy per una specifica policy del punto di accesso Lambda per oggetti.
PutAccessPointConfigurationForObjectLambda	(Obbligatorio) `s3:PutAccessPointConfigurationForObjectLambda`	Richiesto per impostare la configurazione del punto di accesso Lambda per oggetti.
PutAccessPointPolicyForObjectLambda	(Obbligatorio) `s3:PutAccessPointPolicyForObjectLambda`	Richiesto per associare una policy di accesso a un punto di accesso Lambda per oggetti specificato.

Le operazioni sui punto di accesso multiregione sono operazioni API S3 che operano sul tipo di risorsa multiregionaccesspoint. Per ulteriori informazioni su come configurare le policy per le operazioni dei punti di accesso multiregionali, consulta Esempi di policy dei punti di accesso multi-regione.

Di seguito è riportata la mappatura delle operazioni dei punti di accesso multiregionali e delle azioni di policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
CreateMultiRegionAccessPoint	(Obbligatorio) `s3:CreateMultiRegionAccessPoint`	Necessario per creare un punto di accesso multiregionale e associarlo ai bucket S3.
DeleteMultiRegionAccessPoint	(Obbligatorio) `s3:DeleteMultiRegionAccessPoint`	Richiesto per eliminare un punto di accesso multiregionale.
DescribeMultiRegionAccessPointOperation	(Obbligatorio) `s3:DescribeMultiRegionAccessPointOperation`	Richiesto per recuperare lo stato di una richiesta asincrona di gestione di un punto di accesso multiregionale.
GetMultiRegionAccessPoint	(Obbligatorio) `s3:GetMultiRegionAccessPoint`	Richiesto per restituire le informazioni di configurazione del punto di accesso multiregionale specificato.
GetMultiRegionAccessPointPolicy	(Obbligatorio) `s3:GetMultiRegionAccessPointPolicy`	Richiesto per restituire la policy di controllo degli accessi del punto di accesso multiregionale specificato.
GetMultiRegionAccessPointPolicyStatus	(Obbligatorio) `s3:GetMultiRegionAccessPointPolicyStatus`	Richiesto per restituire lo stato della policy per uno specifico punto di accesso multiregionale, per sapere se il punto di accesso multiregionale specificato ha una policy di controllo dell'accesso che consente l'accesso pubblico.
GetMultiRegionAccessPointRoutes	(Obbligatorio) `s3:GetMultiRegionAccessPointRoutes`	Richiesto per restituire la configurazione di routing di un punto di accesso multiregionale.
PutMultiRegionAccessPointPolicy	(Obbligatorio) `s3:PutMultiRegionAccessPointPolicy`	Richiesto per aggiornare la policy di controllo degli accessi del punto di accesso multiregionale specificato.
SubmitMultiRegionAccessPointRoutes	(Obbligatorio) `s3:SubmitMultiRegionAccessPointRoutes`	Richiesto per inviare una configurazione di percorso aggiornata per un punto di accesso multiregionale.

(Operazioni in batch) Le operazioni di processo sono operazioni API S3 che operano sul tipo di risorsa job. È necessario specificare le azioni delle policy S3 per le operazioni di processo nelle policy IAM basate sull'identità, non nelle policy dei bucket.

Nelle policy, l'elemento Resource deve essere l'ARN job. Per ulteriori informazioni sul formato dell'elemento Resource e su esempi di policy, consulta Operazioni di processo in batch.

Di seguito è riportata la mappatura delle operazioni dei processi batch e delle azioni di policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
DeleteJobTagging	(Obbligatorio) `s3:DeleteJobTagging`	Richiesto per rimuovere i tag da un processo di Operazioni in batch S3 esistente.
DescribeJob	(Obbligatorio) `s3:DescribeJob`	Richiesto per recuperare i parametri di configurazione e lo stato di un processo di Operazioni in batch.
GetJobTagging	(Obbligatorio) `s3:GetJobTagging`	Richiesto per restituire il set di tag di un processo di Operazioni in batch S3 esistente.
PutJobTagging	(Obbligatorio) `s3:PutJobTagging`	Richiesto per inserire o sostituire i tag in un processo di Operazioni in batch S3 esistente.
UpdateJobPriority	(Obbligatorio) `s3:UpdateJobPriority`	Richiesto per aggiornare la priorità di un processo esistente.
UpdateJobStatus	(Obbligatorio) `s3:UpdateJobStatus`	Richiesto per aggiornare lo stato del processo specificato.

Le operazioni di configurazione di S3 Storage Lens sono operazioni API S3 che operano sul tipo di risorsa storagelensconfiguration. Per ulteriori informazioni su come configurare le operazioni di configurazione di S3 Storage Lens, consulta Impostazione delle autorizzazioni di Amazon S3 Storage Lens.

Di seguito è riportata la mappatura delle operazioni di configurazione di S3 Storage Lens e delle azioni delle policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
DeleteStorageLensConfiguration	(Obbligatorio) `s3:DeleteStorageLensConfiguration`	Richiesto per eliminare la configurazione di Storage Lens S3.
DeleteStorageLensConfigurationTagging	(Obbligatorio) `s3:DeleteStorageLensConfigurationTagging`	Necessario per eliminare i tag di configurazione di S3 Storage Lens.
GetStorageLensConfiguration	(Obbligatorio) `s3:GetStorageLensConfiguration`	Richiesto per ottenere la configurazione di S3 Storage Lens.
GetStorageLensConfigurationTagging	(Obbligatorio) `s3:GetStorageLensConfigurationTagging`	Richiesto per ottenere i tag della configurazione di S3 Storage Lens.
PutStorageLensConfigurationTagging	(Obbligatorio) `s3:PutStorageLensConfigurationTagging`	Richiesto per inserire o sostituire i tag in una configurazione S3 Storage Lens esistente.

Le operazioni dei gruppi S3 Storage Lens sono operazioni API S3 che operano sul tipo di risorsa storagelensgroup. Per ulteriori informazioni su come configurare le autorizzazioni dei gruppi S3 Storage Lens, consulta Autorizzazioni gruppi Storage Lens.

Di seguito è riportata la mappatura delle operazioni dei gruppi S3 Storage Lens e delle azioni delle policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
DeleteStorageLensGroup	(Obbligatorio) `s3:DeleteStorageLensGroup`	Richiesto per eliminare un gruppo S3 Storage Lens esistente.
GetStorageLensGroup	(Obbligatorio) `s3:GetStorageLensGroup`	Richiesto per recuperare i dettagli di configurazione del gruppo S3 Storage Lens.
UpdateStorageLensGroup	(Obbligatorio) `s3:UpdateStorageLensGroup`	Richiesto per aggiornare il gruppo S3 Storage Lens esistente.
CreateStorageLensGroup	(Obbligatorio) `s3:CreateStorageLensGroup`	Richiesto per creare un gruppo Storage Lens.
CreateStorageLensGroup, TagResource	(Obbligatorio) `s3:CreateStorageLensGroup`, `s3:TagResource`	Richiesto per creare un nuovo gruppo Storage Lens con tag.
ListStorageLensGroups	(Obbligatorio) `s3:ListStorageLensGroups`	Richiesto per elencare tutti i gruppi Storage Lens nella Regione di origine.
ListTagsForResource	(Obbligatorio) `s3:ListTagsForResource`	Richiesto per elencare i tag aggiunti al gruppo Storage Lens.
TagResource	(Obbligatorio) `s3:TagResource`	Richiesto per aggiungere o aggiornare un tag di gruppo Storage Lens per un gruppo Storage Lens esistente.
UntagResource	(Obbligatorio) `s3:UntagResource`	Richiesto per eliminare un tag da un gruppo Storage Lens.

Le operazioni sull’istanza S3 Access Grants sono operazioni API S3 che operano sul tipo di risorsa accessgrantsinstance. Un’istanza S3 Access Grants è un container logico per le concessioni di accesso. Per ulteriori informazioni su come utilizzare le istanze S3 Access Grants, consulta Operazioni con le istanze S3 Access Grants.

Di seguito è riportata la mappatura delle operazioni di configurazione dell’istanza S3 Access Grants e delle azioni delle policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
AssociateAccessGrantsIdentityCenter	(Obbligatorio) `s3:AssociateAccessGrantsIdentityCenter`	Richiesto per associare un’istanza AWS IAM Identity Center all’istanza S3 Access Grants, in modo da consentire la creazione di concessioni di accesso per utenti e gruppi nella directory di identità aziendale. È necessario disporre delle seguenti autorizzazioni: `sso:CreateApplication`, `sso:PutApplicationGrant`, e `sso:PutApplicationAuthenticationMethod`.
CreateAccessGrantsInstance	(Obbligatorio) `s3:CreateAccessGrantsInstance`	Richiesto per creare un’istanza S3 Access Grants (risorsa `accessgrantsinstance`) che funge da container per le concessioni di accesso individuali. Per associare un’istanza AWS IAM Identity Center all’istanza S3 Access Grants, è necessario inoltre disporre delle autorizzazioni `sso:DescribeInstance`, `sso:CreateApplication`, `sso:PutApplicationGrant` e `sso:PutApplicationAuthenticationMethod`.
DeleteAccessGrantsInstance	(Obbligatorio) `s3:DeleteAccessGrantsInstance`	Richiesto per eliminare un’istanza S3 Access Grants (risorsa `accessgrantsinstance`) da una Regione AWS nell’account in uso.
DeleteAccessGrantsInstanceResourcePolicy	(Obbligatorio) `s3:DeleteAccessGrantsInstanceResourcePolicy`	Richiesto per eliminare una policy delle risorse per l’istanza S3 Access Grants.
DissociateAccessGrantsIdentityCenter	(Obbligatorio) `s3:DissociateAccessGrantsIdentityCenter`	Richiesto per dissociare un’istanza AWS IAM Identity Center dall’istanza S3 Access Grants. È necessario disporre delle seguenti autorizzazioni: `sso:DeleteApplication`
GetAccessGrantsInstance	(Obbligatorio) `s3:GetAccessGrantsInstance`	Richiesto per recuperare l’istanza S3 Access Grants per una Regione AWS nell’account.
GetAccessGrantsInstanceForPrefix	(Obbligatorio) `s3:GetAccessGrantsInstanceForPrefix`	Richiesto per recuperare l’istanza S3 Access Grants che contiene un particolare prefisso.
GetAccessGrantsInstanceResourcePolicy	(Obbligatorio) `s3:GetAccessGrantsInstanceResourcePolicy`	Richiesto per restituire la policy delle risorse dell’istanza S3 Access Grants.
ListAccessGrantsInstances	(Obbligatorio) `s3:ListAccessGrantsInstances`	Richiesto per restituire un elenco delle istanze S3 Access Grants nell’account in uso.
PutAccessGrantsInstanceResourcePolicy	(Obbligatorio) `s3:PutAccessGrantsInstanceResourcePolicy`	Richiesto per aggiungere o aggiornare la policy delle risorse dell’istanza S3 Access Grants.

Le operazioni sulla posizione S3 Access Grants sono operazioni API S3 che operano sul tipo di risorsa accessgrantslocation. Per ulteriori informazioni su come utilizzare le posizioni S3 Access Grants, consulta Operazioni con le posizioni S3 Access Grants.

Di seguito è riportata la mappatura delle operazioni sulla posizione S3 Access Grants e delle azioni delle policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
CreateAccessGrantsLocation	(Obbligatorio) `s3:CreateAccessGrantsLocation`	Richiesto per registrare una posizione nell’istanza S3 Access Grants (creare una risorsa `accessgrantslocation`). È inoltre necessario disporre della seguente autorizzazione per il ruolo IAM specificato: `iam:PassRole`
DeleteAccessGrantsLocation	(Obbligatorio) `s3:DeleteAccessGrantsLocation`	Richiesto per rimuovere una posizione registrata dall’istanza S3 Access Grants.
GetAccessGrantsLocation	(Obbligatorio) `s3:GetAccessGrantsLocation`	Richiesto per recuperare i dettagli di una posizione particolare registrata nell’istanza S3 Access Grants.
ListAccessGrantsLocations	(Obbligatorio) `s3:ListAccessGrantsLocations`	Richiesto per restituire un elenco delle posizioni registrate nell’istanza S3 Access Grants.
UpdateAccessGrantsLocation	(Obbligatorio) `s3:UpdateAccessGrantsLocation`	Richiesto per aggiornare il ruolo IAM di una posizione registrata con l’istanza S3 Access Grants.

Le operazioni sulla concessione S3 Access Grants sono operazioni API S3 che operano sul tipo di risorsa accessgrant. Per ulteriori informazioni su come utilizzare le concessioni individuali utilizzando S3 Access Grants, consulta Operazioni con le concessioni in S3 Access Grants.

Di seguito è riportata la mappatura delle operazioni di configurazione delle concessioni S3 Access Grants e delle azioni di policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
CreateAccessGrant	(Obbligatorio) `s3:CreateAccessGrant`	Richiesto per creare un’a concessione individuale (risorsa `accessgrant`) per un utente o un gruppo nell’istanza S3 Access Grants. È necessario disporre delle seguenti autorizzazioni: Per qualsiasi identità della directory: `sso:DescribeInstance` e `sso:DescribeApplication` Per gli utenti della directory: `identitystore:DescribeUser`
DeleteAccessGrant	(Obbligatorio) `s3:DeleteAccessGrant`	Richiesto per eliminare una concessione di accesso individuale (risorsa `accessgrant`) dall’istanza S3 Access Grants.
GetAccessGrant	(Obbligatorio) `s3:GetAccessGrant`	Richiesto per ottenere i dettagli su una concessione di accesso individuale nell’istanza S3 Access Grants.
ListAccessGrants	(Obbligatorio) `s3:ListAccessGrants`	Richiesto per restituire un elenco di concessioni di accesso individuali nell’istanza S3 Access Grants.
ListCallerAccessGrants	(Obbligatorio) `s3:ListCallerAccessGrants`	Richiesto per elencare le concessioni di accesso che consentono al chiamante di accedere ai dati Amazon S3 tramite S3 Access Grants.

Le operazioni sugli account sono operazioni API S3 che operano a livello di account, L'account non è un tipo di risorsa definito da Amazon S3. È necessario specificare le azioni delle policy S3 per le operazioni degli account nelle policy IAM basate sull'identità, non nelle policy dei bucket.

Nelle policy, l'elemento Resource deve essere "*". Per ulteriori informazioni sulle policy di esempio, consulta Operazioni sugli account.

Di seguito è riportata la mappatura delle operazioni dell'account e delle azioni di policy richieste.

Operazioni API	Operazioni di policy	Descrizione delle azioni delle policy
CreateJob	(Obbligatorio) `s3:CreateJob`	Richiesto per creare un nuovo processo di Operazioni in batch S3.
CreateStorageLensGroup	(Obbligatorio) `s3:CreateStorageLensGroup`	Necessario per creare un nuovo gruppo S3 Storage Lens e associarlo all'ID Account AWS specificato.
	(Obbligo condizionale) `s3:TagResource`	Necessario se si desidera creare un gruppo S3 Storage Lens con tag di risorse AWS.
DeletePublicAccessBlock (a livello di account)	(Obbligatorio) `s3:PutAccountPublicAccessBlock`	Richiesto per rimuovere la configurazione di blocco dell'accesso pubblico da Account AWS.
GetAccessPoint	(Obbligatorio) `s3:GetAccessPoint`	Richiesto per recuperare le informazioni di configurazione del punto di accesso specificato.
GetAccessPointPolicy (a livello di account)	(Obbligatorio) `s3:GetAccountPublicAccessBlock`	Richiesto per recuperare la configurazione del blocco di accesso pubblico per Account AWS.
ListAccessPoints	(Obbligatorio) `s3:ListAccessPoints`	Richiesto per elencare i punti di accesso di un bucket S3 di proprietà di un Account AWS.
ListAccessPointsForObjectLambda	(Obbligatorio) `s3:ListAccessPointsForObjectLambda`	Richiesto per elencare i punti di accesso Lambda per oggetti.
ListBuckets	(Obbligatorio) `s3:ListAllMyBuckets`	Richiesto per restituire un elenco di tutti i bucket di proprietà del mittente autenticato della richiesta.
ListJobs	(Obbligatorio) `s3:ListJobs`	Si richiede di elencare i processi attuali e quelli terminati di recente.
ListMultiRegionAccessPoints	(Obbligatorio) `s3:ListMultiRegionAccessPoints`	Richiesto per restituire un elenco dei punti di accesso multiregionali attualmente associati a Account AWS.
ListStorageLensConfigurations	(Obbligatorio) `s3:ListStorageLensConfigurations`	Richiesto per ottenere un elenco di configurazioni di S3 Storage Lens per Account AWS.
ListStorageLensGroups	(Obbligatorio) `s3:ListStorageLensGroups`	Richiesto per elencare tutti i gruppi S3 Storage Lens nella home specificata Regione AWS.
PutPublicAccessBlock (a livello di account)	(Obbligatorio) `s3:PutAccountPublicAccessBlock`	Richiesto per creare o modificare la configurazione del blocco di accesso pubblico per Account AWS.
PutStorageLensConfiguration	(Obbligatorio) `s3:PutStorageLensConfiguration`	Richiesto per mettere una configurazione di S3 Storage Lens.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Per un'operazione su un oggetto

Policy e autorizzazioni