Identity and Access Management en Amazon S3

De forma predeterminada, todos los recursos de Amazon S3 (buckets, objetos y subrecursos relacionados [por ejemplo, lifecycle configuración y website configuración]) son privados. Solamente el propietario del recurso, la Cuenta de AWS que lo creó, puede acceder a este. El propietario del recurso puede conceder permisos de acceso opcionalmente a terceros si escribe una política de acceso.

Amazon S3 ofrece opciones de política de acceso ampliamente categorizadas como políticas basadas en recursos y políticas de usuario. Las políticas de acceso que adjunte a sus recursos (buckets y objetos) se denominan políticas basadas en recursos. Por ejemplo, las políticas de bucket y las políticas de puntos de acceso son políticas basadas en recursos. También puede adjuntar políticas de acceso a usuarios de la cuenta. Estas se denominan políticas de usuario. Puede elegir usar políticas basadas en recursos, políticas de usuario o una combinación de ambas para administrar los permisos en sus recursos de Amazon S3. También puede utilizar las listas de control de acceso (ACL) para conceder permisos básicos de lectura y escritura a otras Cuentas de AWS.

S3 Object Ownership es una configuración de bucket de Amazon S3 que puede usar para controlar la propiedad de los objetos que se cargan en el bucket y para activar o desactivar las ACL. De forma predeterminada, la propiedad de objetos se establece en la configuración impuesta por el propietario del bucket. Además, todas las ACL están deshabilitadas. Cuando las ACL están deshabilitadas, el propietario del bucket posee todos los objetos del bucket y administra su acceso de forma exclusiva mediante políticas de administración de acceso.

La mayoría de los casos de uso modernos de Amazon S3 ya no requieren el uso de ACL. Le recomendamos desactivar las ACL, excepto en circunstancias inusuales en las que necesite controlar el acceso a cada objeto de manera individual. Si las ACL están desactivadas, puede usar políticas para controlar el acceso a todos los objetos del bucket, independientemente de quién haya subido los objetos al bucket. Para obtener más información, consulte Control de la propiedad de los objetos y desactivación de las ACL del bucket.

Solución de errores de acceso denegado (403 Prohibido)

Para obtener más información sobre las causas comunes de los errores de acceso denegado (403 Prohibido) en Amazon S3, consulte Solucionar errores de acceso denegado (403 Prohibido) en Amazon S3.

Acciones, recursos y claves de condición para Amazon S3

Para obtener una lista completa de los permisos, recursos y claves de condición de IAM para Amazon S3, consulte Acciones, recursos y claves de condición para Amazon S3 en la Referencia de autorización de servicios.

Más información

Para obtener más información sobre cómo administrar el acceso a los objetos y buckets de Amazon S3, consulte los siguientes temas.

nota

Para obtener más información sobre el uso de la clase de almacenamiento Amazon S3 Express One Zone con buckets de directorio, consulte ¿Qué es S3 Express One Zone? y Buckets de directorio.

Temas

• Información general sobre la administración del acceso
• Directrices de política de acceso
• Cómo autoriza Amazon S3 una solicitud
• Políticas de bucket y de usuario
• Políticas administradas por AWS para Amazon S3
• Administración del acceso con S3 Access Grants
• Administración de acceso con ACL
• Uso compartido de recursos entre orígenes (CORS)
• Bloquear el acceso público a su almacenamiento de Amazon S3
• Revisión del acceso al bucket mediante Analizador de acceso de IAM para S3
• Verificación de la propiedad del bucket con la condición de propietario del bucket