Amazon S3 现在支持基于属性的访问控制（ABAC）

发布于: 2025年11月21日

Amazon S3 支持对 S3 通用存储桶进行基于属性的访问控制（ABAC）。除了在 S3 存储桶上使用标签进行成本分配外，您现在还可以将其用于 ABAC，以自动管理对数据的权限。这样就无需在组织发展过程中频繁更新 Amazon Identity and Access Management（IAM）策略或存储桶策略，从而简化大规模治理访问的方式。

在 ABAC 的支持下，Amazon S3 在授予数据访问权限之前，会自动评估您策略中基于标签的条件。例如，创建一个引用存储桶标签的 IAM 策略，然后只需为新的或现有存储桶添加或修改标签，即可向用户和角色授予访问权限。要开始使用，请通过 S3 PutBucketAbac API 在您的存储桶上启用 ABAC，并通过 S3 TagResource 和 UntagResource API 管理标签。您还可以要求用户在创建存储桶时添加特定标签，以在整个组织内设置统一的标签标准。

对 S3 通用存储桶的 ABAC 支持功能已在所有亚马逊云科技区域免费推出，包括由光环新网运营的亚马逊云科技中国（北京）区域和由西云数据运营的亚马逊云科技中国（宁夏）区域。您可以通过亚马逊云科技管理控制台、S3 REST API、Amazon CLI、SDK 和 CloudFormation 访问此功能。要了解有关在 S3 通用存储桶中使用标签进行访问控制的更多信息，请访问 S3 用户指南。