设置存储桶和对象访问权限
本部分介绍如何使用 Amazon Simple Storage Service (Amazon S3) 控制台授予存储桶和对象的访问权限。本部分还介绍如何使用 Amazon
S3 阻止公有访问来阻止使用允许对 S3 存储桶中的数据进行公有访问的任何设置的应用程序。
存储桶和对象是 Amazon S3 资源。 您使用基于资源的访问策略来授予对存储桶和对象的访问权限。您可以将访问策略与资源关联。访问策略描述了谁可以访问资源。资源所有者是创建资源的 AWS 账户。有关资源所有权和访问策略的更多信息,请参阅
Amazon Simple Storage Service 开发人员指南 中的访问管理概述。
存储桶访问权限 指定了拥有对存储桶中的对象的访问权限的用户以及他们拥有的访问权限的类型。对象访问权限 指定了拥有对象访问权限的用户以及他们拥有的访问权限的类型。例如,一个用户可能只有读取权限,而另一个人可能有读写权限。
存储桶和对象的权限是相互独立的。对象不继承其存储桶的权限。例如,如果您创建了一个存储桶并授予一个用户写入权限,则将无法访问此用户的对象,除非此用户显式授予您访问权限。利用存储桶权限,用户通常可以列出有关存储桶的信息,并在存储桶中添加和删除对象。利用对象权限,用户通常可以下载、替换或删除对象。
注意
要授予对象权限,您不一定需要授予存储桶权限,反之亦然。例如,您可以使用 AWS 控制台向用户授予对某个对象的更新权限,而不向此用户授予对包含该对象的存储桶的权限。但是,如果您只授予对象权限,而不授予存储桶权限,则被授权者将无法使用
AWS 控制台访问对象。(由于他们无法查看包含对象的存储桶,因此无法在控制台中查看对象。) 被授权者必须改为以编程方式访问对象,例如使用