Configuración de IAM con S3 en Outposts
AWS Identity and Access Management (IAM) es un Servicio de AWS que ayuda a los administradores a controlar de forma segura el acceso a los recursos de AWS. Los administradores de IAM controlan quién se puede autenticar (iniciar sesión) y autorizar (tener permisos) para utilizar los recursos de Amazon S3 en Outposts. IAM es un Servicio de AWS que se puede utilizar sin cargo adicional. De forma predeterminada, los usuarios no tienen permisos para los recursos y las operaciones de S3 en Outposts. Para conceder permisos de acceso para los recursos de S3 en Outposts y operaciones de API, puede usar IAM para crear usuarios, grupos o roles y adjuntar permisos.
Para dar acceso, agregue permisos a los usuarios, grupos o roles:
-
Usuarios y grupos en AWS IAM Identity Center:
Cree un conjunto de permisos. Siga las instrucciones de Creación de un conjunto de permisos en la Guía del usuario de AWS IAM Identity Center.
-
Usuarios administrados en IAM a través de un proveedor de identidades:
Cree un rol para la federación de identidades. Siga las instrucciones descritas en Creación de un rol para un proveedor de identidad de terceros (federación) en la Guía del usuario de IAM.
-
Usuarios de IAM:
-
Cree un rol que el usuario pueda aceptar. Siga las instrucciones descritas en Creación de un rol para un usuario de IAM en la Guía del usuario de IAM.
-
(No recomendado) Adjunte una política directamente a un usuario o añada un usuario a un grupo de usuarios. Siga las instrucciones descritas en Adición de permisos a un usuario (consola) de la Guía del usuario de IAM.
-
Además de las políticas de IAM basadas en identidad, S3 en Outposts admite políticas de punto de acceso y bucket. Las políticas de punto de acceso y bucket son políticas de basadas en recursos que están asociadas al recurso S3 en Outposts.
-
Una política de bucket se asocia al bucket y permite o deniega solicitudes al bucket y a los objetos que hay en él en función de los elementos de la política.
-
Por el contrario, se adjunta una política de punto de acceso al punto de acceso y permite o deniega solicitudes al punto de acceso.
La política de punto de acceso funciona con la política de bucket asociada al bucket S3 en Outposts subyacente. Para que una aplicación o un usuario pueda acceder a objetos en un bucket de S3 en Outposts a través de un punto de acceso de S3 en Outposts, tanto la política de punto de acceso como la política de bucket deben permitir la solicitud.
Las restricciones que se incluyen en una política de punto de acceso solo se aplican a las solicitudes realizadas a través de ese punto de acceso. Por ejemplo, si un punto de acceso está conectado a un bucket, no puede usar la política de punto de acceso para permitir o denegar las solicitudes que se realizan directamente en el bucket. Sin embargo, las restricciones que se aplican a una política de bucket pueden permitir o denegar solicitudes realizadas directamente al bucket o a través del punto de acceso.
En una política de IAM o una política basada en recursos, usted define qué acciones de S3 en Outposts se permiten o deniegan. Las acciones de S3 en Outposts corresponden a operaciones específicas de la API S3 en Outposts. Las acciones de S3 en Outposts utilizan el prefijo de espacio de nombres s3-outposts:
. Las solicitudes realizadas a la API de control de S3 en Outposts en una Región de AWS y las solicitudes realizadas a los puntos de conexión de la API de objeto en el Outpost se autentican mediante IAM y se autorizan en el prefijo de espacio de nombres s3-outposts:
. Para trabajar con S3 en Outposts, configure los usuarios de IAM y autorícelos en el espacio de nombres de IAM de s3-outposts:
.
Para obtener información, consulte Acciones, recursos y claves de condición de Amazon S3 en Outposts en la Referencia de autorizaciones de servicio.
nota
-
S3 en Outposts no admite las listas de control de acceso (ACL).
-
S3 en Outposts toma de forma predeterminada al propietario del bucket como propietario del objeto, para ayudar a garantizar que no se pueda impedir que el propietario de un bucket acceda a los objetos o los elimine.
-
S3 en Outposts siempre tiene Bloquear Acceso público en S3 habilitado para ayudar a garantizar que los objetos nunca puedan tener acceso público.
Para obtener más información acerca de la configuración de IAM para S3 en Outposts, consulte los siguientes temas.
Temas
Entidades principales para las políticas de S3 en Outposts
Cuando crea una política basada en recursos para conceder acceso a su bucket S3 en Outposts, debe utilizar el elemento Principal
para especificar la persona o aplicación que puede realizar una solicitud para realizar una acción o una operación en ese recurso. Para las políticas S3 en Outposts, puede utilizar una de las siguientes entidades principales:
-
Una Cuenta de AWS
-
Un usuario de IAM
-
Un rol de IAM
-
Todas las entidades principales mediante la especificación de un carácter comodín (*) de una política que utiliza un elemento
Condition
para limitar el acceso a un rango de IP específicas
importante
No puede escribir una política para un bucket de S3 en Outposts que utilice un carácter comodín (*
) en el elemento Principal
a menos que la política también incluya una Condition
que limite el acceso a un rango de direcciones IP específicas. Esta restricción contribuye a asegurar que no hay acceso público a su bucket de S3 en Outposts. Para ver un ejemplo, consulte Ejemplos de políticas para S3 en Outposts.
Para obtener más información acerca del elemento Principal
, consulte Elementos de la política JSON de AWS: entidad principal en la Guía del usuario de IAM.
ARN de recursos para S3 en Outposts
Los nombres de recurso de Amazon (ARN) para S3 en Outposts contienen el ID de Outpost, además de la Región de AWS donde está destinado el Outpost, el ID de Cuenta de AWS y el nombre del recurso. Para acceder y realizar acciones en los buckets y objetos de Outposts, debe utilizar uno de los formatos de ARN que se muestran en la tabla siguiente.
El valor
en el ARN hace referencia a un grupo de Regiones de AWS. Cada Cuenta de AWS está limitada a una partición. Las siguientes son las particiones admitidas:partition
-
aws
– Regiones de AWS -
aws-us-gov
: regiones de AWS GovCloud (US)
La siguiente tabla muestra formatos ARN de S3 en Outposts.
ARN de Amazon S3 en Outposts | Formato de ARN | Ejemplo |
---|---|---|
ARN de bucket | arn: |
arn: |
ARN del punto de acceso. | arn: |
arn: |
ARN de objeto | arn: |
arn: |
ARN de objeto de punto de acceso de S3 en Outposts (utilizado en políticas) | arn: |
arn: |
ARN de S3 en Outposts | arn: |
arn: |
Ejemplos de políticas para S3 en Outposts
ejemplo : política de bucket de S3 en Outposts con una entidad principal de Cuenta de AWS
La siguiente política de bucket utiliza una entidad principal de Cuenta de AWS para conceder acceso a un bucket S3 en Outposts. Para utilizar esta política de bucket, reemplace
por su propia información.user
input placeholders
{
"Version":"2012-10-17",
"Id":"ExampleBucketPolicy1",
"Statement":[
{
"Sid":"statement1",
"Effect":"Allow",
"Principal":{
"AWS":"123456789012
"
},
"Action":"s3-outposts:*",
"Resource":"arn:aws:s3-outposts:region
:123456789012
:outpost/op-01ac5d28a6a232904
/bucket/example-outposts-bucket
"
}
]
}
ejemplo : política de bucket de S3 en Outposts con clave de entidad principal y condición (*
) para limitar el acceso a un rango de direcciones IP específicas
La siguiente política de bucket utiliza una entidad principal comodín (*
) con la condición aws:SourceIp
para limitar el acceso a un rango de direcciones IP específicas. Para utilizar esta política de bucket, reemplace
por su propia información.user input
placeholders
{
"Version": "2012-10-17",
"Id": "ExampleBucketPolicy2",
"Statement": [
{
"Sid": "statement1",
"Effect": "Allow",
"Principal": { "AWS" : "*" },
"Action":"s3-outposts:*",
"Resource":"arn:aws:s3-outposts:region
:123456789012
:outpost/op-01ac5d28a6a232904
/bucket/example-outposts-bucket
",
"Condition" : {
"IpAddress" : {
"aws:SourceIp": "192.0.2.0/24"
},
"NotIpAddress" : {
"aws:SourceIp": "198.51.100.0/24"
}
}
}
]
}
Permisos para los puntos de conexión de S3 en Outposts
S3 en Outposts requiere sus propios permisos en IAM para administrar las acciones de puntos de conexión de S3 en Outposts.
nota
-
Para los puntos de conexión que utilizan el tipo de acceso de grupo de direcciones IP propiedad del cliente (grupo de CoIP), también debe tener permisos para trabajar con direcciones IP desde el grupo de CoIP, como se describe en la siguiente tabla.
-
Para cuentas compartidas que acceden a S3 en Outposts mediante AWS Resource Access Manager, los usuarios en estas cuentas compartidas no pueden crear sus propios puntos de conexión en una subred compartida. Si el usuario de una cuenta compartida desea administrar sus propios puntos de conexión, la cuenta compartida debe crear su propia subred en Outpost. Para obtener más información, consulte Uso compartido de S3 en Outposts con AWS RAM.
La siguiente tabla muestra permisos de IAM relacionados con los puntos de conexión de S3 en Outposts.
Acción | Permisos de IAM |
---|---|
CreateEndpoint |
Para los puntos de enlace que utilizan el tipo de acceso de grupo de direcciones IP propiedad del cliente (grupo CoIP) en las instalaciones, se requieren los siguientes permisos adicionales:
|
DeleteEndpoint |
Para los puntos de enlace que utilizan el tipo de acceso de grupo de direcciones IP propiedad del cliente (grupo CoIP) en las instalaciones, se requieren los siguientes permisos adicionales:
|
ListEndpoints |
|
nota
Puede utilizar etiquetas de recursos en una política del IAM para administrar permisos.
Roles vinculados a servicios para S3 en Outposts
S3 en Outposts usa roles vinculados a servicios de IAM para crear algunos recursos de red en su nombre. Para obtener más información, consulte Uso de roles vinculados a servicios para Amazon S3 en Outposts.