Permisos

Los puntos de acceso de varias regiones de Amazon S3 pueden simplificar el acceso a los datos para buckets de Amazon S3 en varias Regiones de AWS. Los puntos de acceso de varias regiones se llaman puntos de conexión globales que se pueden utilizar para realizar operaciones con objetos de acceso a datos de Amazon S3, como GetObject y PutObject. Cada punto de acceso multirregional puede tener permisos y controles de red distintos para cualquier solicitud que se realice a través del punto de conexión global.

Cada punto de acceso de varias regiones también se puede aplicar a una política de acceso personalizada que funciona en conjunción con la política de bucket asociada al bucket subyacente. Para que una solicitud tenga éxito, todos los requisitos siguientes deben permitir la operación:

• La política del punto de acceso multirregional

• La política de AWS Identity and Access Management (IAM) subyacente

• La política de bucket subyacente (a la que se dirige la solicitud)

Puede configurar cualquier política de puntos de acceso de varias regiones para que solo acepte solicitudes de usuarios o grupos de IAM específicos. Para ver un ejemplo práctico, consulte el ejemplo 2 en Ejemplos de política de punto de acceso multirregional. Para restringir el acceso a los datos de Amazon S3 a una red privada, puede configurar la política del punto de acceso de varias regiones para aceptar solo las solicitudes procedentes de una nube privada virtual (VPC).

Por ejemplo, suponga que crea una solicitud GetObject a través de un punto de acceso multirregional utilizando un usuario llamado AppDataReader en la cuenta de AWS. Para ayudar a garantizar que no se denegará la solicitud, al usuario de AppDataReader se le debe conceder el permiso s3:GetObject mediante el punto de acceso multirregional y por cada bucket subyacente el punto de acceso multirregional. AppDataReader no podrá recuperar datos de ningún bucket que no conceda este permiso.

importante

La delegación del control de acceso para un bucket a una política de punto de acceso multirregional no cambia el comportamiento del bucket cuando se accede al bucket a través del nombre de recurso de Amazon (ARN). Todas las operaciones realizadas directamente con respecto al bucket continuarán funcionando como antes. Las restricciones que se incluyen en una política de punto de acceso de varias regiones solo se aplican a las solicitudes realizadas a través de ese punto de acceso multirregional.

Administración del acceso público a un punto de acceso de varias regiones

Los puntos de acceso de varias regiones admiten configuraciones de Bloquear punto de acceso independientes para cada punto de acceso de varias regiones. Al crear un punto de acceso de varias regiones, puede especificar la configuración del bloqueo de acceso público aplicable a ese punto de acceso de varias regiones.

nota

Cualquier configuración de bloqueo de acceso público que esté habilitada en Configuración de bloqueo de acceso público correspondiente a esta cuenta (en su propia cuenta) o Bloquear la configuración pública para los buckets externos seguirá siendo válida incluso si la configuración independiente de bloqueo del acceso público para su punto de acceso de varias regiones está deshabilitada.

Para cualquier solicitud que se realice a través de un punto de acceso multirregional, Amazon S3 evalúa la configuración de bloqueo de acceso público para:

• El punto de acceso multirregional

• Los buckets subyacentes (incluidos los buckets externos)

• La cuenta que posee el punto de acceso de varias regiones

• La cuenta que posee los buckets subyacentes (incluidas las cuentas externas)

Si alguna de estas configuraciones indica que la solicitud debe bloquearse, Amazon S3 rechaza la solicitud. Para obtener más información acerca de la característica Bloquear acceso público en S3, consulte Bloquear el acceso público a su almacenamiento de Amazon S3.

importante

Todas las configuraciones de bloqueo de acceso público están habilitadas de forma predeterminada para los puntos de acceso de varias regiones. Debe deshabilitar explícitamente cualquier configuración que no desee aplicar a un punto de acceso de varias regiones.

No puede cambiar la configuración de Bloquear acceso público después de que se cree el punto de acceso de varias regiones.

Visualización de la configuración de Block Public Access para un punto de acceso multirregional

Para ver la configuración de Block Public Access para un punto de acceso multirregional

1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

2. En el panel de navegación izquierdo, elija Puntos de acceso de varias regiones.

3. Elija el nombre del punto de acceso de varias regiones que desee revisar.

4. Elija la pestaña Permissions (Permisos).

5. En Block Public Access settings for this Multi-Region Access Point (Configuración de bloqueo del acceso público a este punto de acceso multirregional), revise la configuración de bloqueo del acceso público para el punto de acceso multirregional.

   nota

   No puede editar la configuración de Block Public Access después de que se cree el punto de acceso multirregional. Por lo tanto, si va a bloquear el acceso público, asegúrese de que las aplicaciones funcionen correctamente sin acceso público antes de crear un punto de acceso multirregional.

Uso de una política de punto de acceso multirregional

La política de punto de acceso multirregional de ejemplo siguiente concede un acceso de usuario de IAM para mostrar y descargar archivos desde el punto de acceso multirregional. Para utilizar esta política de ejemplo, sustituya user input placeholders por su propia información.

 {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:user/JohnDoe" 
         },
         "Action":[
            "s3:ListBucket",
            "s3:GetObject"
         ],
         "Resource":[
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias",
            "arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*"
         ]
      }
   ]
}

Para asociar la política de punto de acceso de varias regiones con el punto de acceso de varias regiones con la AWS Command Line Interface (AWS CLI), utilice el siguiente comando put-multi-region-access-point-policy. Para utilizar este comando de ejemplo, sustituya user input placeholders por su propia información. Cada punto de acceso de varias regiones solo puede tener una política, por lo que una solicitud realizada a la acción put-multi-region-access-point-policy sustituye cualquier política existente que esté asociada con el punto de acceso de varias regiones especificado.

AWS CLI

aws s3control put-multi-region-access-point-policy
--account-id 111122223333
--details { "Name": "DOC-EXAMPLE-BUCKET-MultiRegionAccessPoint", "Policy": "{ \"Version\": \"2012-10-17\", \"Statement\": { \"Effect\": \"Allow\", \"Principal\": { \"AWS\": \"arn:aws:iam::111122223333:root\" }, \"Action\": [\"s3:ListBucket\", \"s3:GetObject\"], \"Resource\": [ \"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias", \"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*\" ] } }" }

Para consultar los resultados de la operación anterior, utilice el siguiente comando:

AWS CLI

aws s3control describe-multi-region-access-point-operation
--account-id 111122223333
--request-token-arn requestArn

Para recuperar la política de punto de acceso de varias regiones, utilice el siguiente comando:

AWS CLI

aws s3control get-multi-region-access-point-policy
--account-id 111122223333
--name=DOC-EXAMPLE-BUCKET-MultiRegionAccessPoint

Editar la política del punto de acceso multirregional

La política de punto de acceso multirregional (escrita en JSON) proporciona acceso de almacenamiento a los buckets de Amazon S3 que se utilizan con este punto de acceso multirregional. Puede permitir o denegar que determinadas entidades principales realicen diversas acciones en el punto de acceso multirregional. Cuando una solicitud se enruta a un bucket a través del punto de acceso multirregional, se aplican las políticas de acceso para el punto de acceso multirregional y para los buckets. La política de acceso más restrictiva siempre tiene prioridad.

nota

Si un bucket contiene objetos que pertenecen a otras cuentas, la política de puntos de acceso de varias regiones no se aplica a los objetos que son propiedad de otras Cuentas de AWS.

Después de aplicar una política de punto de acceso multirregional, la política no se puede eliminar. Puede editar la política o crear una nueva política que sobrescriba la existente.

Para editar la política del punto de acceso multirregional

1. Inicie sesión en la AWS Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

2. En el panel de navegación izquierdo, elija Puntos de acceso de varias regiones.

3. Elija el nombre del punto de acceso de varias regiones para el que desea editar la política.

4. Elija la pestaña Permissions (Permisos).

5. Desplácese hacia abajo hasta la sección Multi-Region Access Point policy (Política de punto de acceso multirregional). Elija Edit (Editar) para actualizar la política (en JSON).

6. Aparece la página Edit Multi-Region Access Point policy (Editar política de punto de acceso multirregional). Puede ingresar la política directamente en el campo de texto o puede elegir Add statement (Agregar instrucción) para seleccionar los elementos de la política de una lista desplegable.

   nota

   La consola muestra automáticamente el nombre de recurso de Amazon (ARN) del punto de acceso de varias regiones, que puede utilizar en la política. Para políticas de punto de acceso multirregional de ejemplo, consulte Ejemplos de política de punto de acceso multirregional.

Ejemplos de política de punto de acceso multirregional

Los puntos de acceso de varias regiones de Amazon S3 admiten políticas de recursos de AWS Identity and Access Management (IAM). Puede usar estas políticas para controlar el uso del punto de acceso de varias regiones en función del recurso, del usuario o de otras condiciones. Para que una aplicación o un usuario puedan acceder a objetos a través de un punto de acceso multirregional, tanto el punto de acceso de varias regiones como el bucket subyacente deben permitir el mismo acceso.

Para permitir el mismo acceso al punto de acceso multirregional y al bucket subyacente, realice una de las siguientes acciones:

• (Recomendado) Para simplificar los controles de acceso al utilizar un punto de acceso multirregional de Amazon S3, delegue el control de acceso del bucket de Amazon S3 al punto de acceso multirregional. Para ver un ejemplo práctico, consulte el ejemplo 1 de esta sección.

• Agregue los mismos permisos contenidos en la política de puntos de acceso de varias regiones a la política del bucket subyacente.

importante

La delegación del control de acceso para un bucket a una política de punto de acceso multirregional no cambia el comportamiento del bucket cuando se accede al bucket a través del nombre de recurso de Amazon (ARN). Todas las operaciones realizadas directamente con respecto al bucket continuarán funcionando como antes. Las restricciones que se incluyen en una política de punto de acceso de varias regiones solo se aplican a las solicitudes realizadas a través de ese punto de acceso multirregional.

ejemplo 1: Delegar el acceso a puntos de acceso de varias regiones en la política de buckets (para la misma cuenta o entre cuentas)

La política de bucket de ejemplo siguiente permite acceso completo a puntos de acceso de varias regiones. Esto significa que todo el acceso a este bucket está controlado por las políticas asociadas a los puntos de acceso de varias regiones. Recomendamos configurar los buckets de esta manera para todos los casos de uso que no requieran acceso directo al bucket. Puede utilizar esta estructura de política de bucket para los puntos de acceso de varias regiones de la misma cuenta o de otra cuenta.

{
    "Version": "2012-10-17",
    "Statement" : [
    {
        "Effect": "Allow",
        "Principal" : { "AWS": "*" },
        "Action" : "*",
        "Resource" : [ "Bucket ARN", "Bucket ARN/*"],
        "Condition": {
            "StringEquals" : { "s3:DataAccessPointArn" : "MultiRegionAccessPoint_ARN" }
        }
    }]
}

nota

Si hay varios puntos de acceso de varias regiones a los que está concediendo acceso, asegúrese de mostrar cada punto de acceso de varias regiones.

ejemplo 2: Conceder acceso a una cuenta a un punto de acceso de varias regiones en la política de punto de acceso de varias regiones

La política de punto de acceso multirregional siguiente concede a la cuenta 123456789012 permiso para enumerar y consultar los objetos contenidos en el punto de acceso multirregional definidos por el MultiRegionAccessPoint_ARN.

{
  "Version":"2012-10-17",
  "Statement": [
    {
       "Effect": "Allow",
       "Principal": {
          "AWS":"arn:aws:iam::123456789012:user/JohnDoe"
       },
       "Action":[
          "s3:ListBucket",
          "s3:GetObject"
       ],
       "Resource":[ 
          "MultiRegionAccessPoint_ARN",
          "MultiRegionAccessPoint_ARN/object/*"
       ]
     }
  ]
}

ejemplo 3: Política de puntos de acceso multirregional que permite el listado de buckets

La siguiente política de punto de acceso multirregional siguiente concede el permiso 123456789012 de cuenta para enumerar los objetos contenidos en el punto de acceso multirregional definidos por el MultiRegionAccessPoint_ARN.

{
   "Version":"2012-10-17",
   "Statement": [
      {
       "Effect": "Allow",
       "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/JohnDoe"
        },
        "Action": "s3:ListBucket",
        "Resource": "MultiRegionAccessPoint_ARN"
       }
    ]
}