Acerca de los permisos Administración del acceso público a los buckets Configuración del bucket

Descripción general de los buckets

Para cargar sus datos (fotos, videos, documentos, etc.) en Amazon S3, primero tiene que crear un bucket de S3 en una de las Regiones de AWS.

Un bucket es un contenedor para objetos almacenados en Amazon S3. Puede almacenar cualquier cantidad de objetos en un bucket y puede tener hasta 100 buckets en su cuenta. Para solicitar un aumento, visite la Consola de Service Quotas.

Cada objeto está almacenado en un bucket. Por ejemplo, si el objeto denominado photos/puppy.jpg se almacena en el bucket DOC-EXAMPLE-BUCKET en la región Oeste de EE. UU. (Oregón), se puede redirigir con la URL https://DOC-EXAMPLE-BUCKET.s3.us-west-2.amazonaws.com/photos/puppy.jpg. Para obtener más información, consulte Acceso bucket.

En términos de implementación, los buckets y los objetos son recursos de AWS, y Amazon S3 proporciona API para que pueda administrarlos. Por ejemplo, puede crear un bucket y cargar objetos con la API de Amazon S3. También puede usar la consola de Amazon S3 para realizar estas operaciones. La consola utiliza las API de Amazon S3 para enviar solicitudes a Amazon S3.

En esta sección se describe cómo trabajar con buckets. Para obtener información acerca del uso de objetos, consulte Información general de los objetos de Amazon S3.

Amazon S3 admite buckets globales, lo que significa que cada nombre de bucket debe ser único en todas las Cuentas de AWS de todas las Regiones de AWS dentro de una partición. Una partición es una agrupación de regiones. AWS actualmente tiene tres particiones: aws (regiones estándar), aws-cn (regiones de China) y aws-us-gov (AWS GovCloud (US)).

Una vez que se crea un bucket, ninguna otra Cuenta de AWS de ninguna otra partición puede utilizar el nombre de ese bucket hasta que este se elimine. No debe confiar en convenciones específicas de nomenclatura de buckets para propósitos de verificación de la seguridad o disponibilidad. Para conocer las directrices de nomenclatura de buckets, consulte Reglas de nomenclatura de buckets.

Amazon S3 crea buckets en la región que usted especifique. Elija cualquier Región de AWS que esté geográficamente cerca de usted para optimizar la latencia, minimizar los costos o satisfacer los requisitos normativos. Por ejemplo, si vive en Europa, puede resultarle más conveniente crear buckets en las regiones de UE (Irlanda) o UE (Fráncfort). Para ver una lista de las regiones de Amazon S3, consulte Regiones y puntos de enlace en la Referencia general de AWS.

nota

Para obtener más información sobre el uso de la clase de almacenamiento Amazon S3 Express One Zone con buckets de directorio, consulte ¿Qué es S3 Express One Zone? y Buckets de directorio.

nota

Los objetos que pertenecen a un bucket que se crea en una Región de AWS específica nunca salen de ella, a menos que se transfieran de manera explícita a otra región. Por ejemplo, los objetos almacenados en la región UE (Irlanda) nunca salen de ella.

Temas

Acerca de los permisos
Administración del acceso público a los buckets
Opciones de configuración de buckets

Acerca de los permisos

Puede utilizar las credenciales de Usuario raíz de la cuenta de AWS para crear un bucket y realizar cualquier otra operación de Amazon S3. Sin embargo, le recomendamos no utilizar las credenciales de usuario raíz de su Cuenta de AWS para realizar solicitudes, como crear un bucket. En su lugar, cree un usuario de AWS Identity and Access Management (IAM) y concédale acceso completo a dicho usuario (de forma predeterminada, los usuarios no tienen permisos).

Estos usuarios se denominan administradores. Para interactuar con AWS y realizar tareas, tales como crear un bucket, crear usuarios y concederles permisos, puede utilizar las credenciales de usuario administrador en lugar de las credenciales de usuario raíz de su cuenta.

Para obtener más información, consulte Credenciales de Usuario raíz de la cuenta de AWS y credenciales de usuario de IAM en la Referencia general de AWS y las Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM.

La Cuenta de AWS que crea un recurso se convierte en la propietaria de este recurso. Por ejemplo, si usted crea un usuario de IAM en su Cuenta de AWS y le concede al usuario permiso para crear un bucket, el usuario puede crear un bucket. Pero el usuario no es el propietario del bucket, sino la Cuenta de AWS a la que pertenece el usuario. El usuario necesita un permiso adicional del propietario del recurso para realizar otras operaciones relacionadas con el bucket. Para obtener más información acerca de la administración de permisos para los recursos de Amazon S3, consulte Identity and Access Management en Amazon S3.

Administración del acceso público a los buckets

El acceso público se otorga a buckets y objetos a través de listas de control de acceso (ACL), políticas de bucket o ambas. Para ayudarlo a administrar el acceso público a los recursos de Amazon S3, Amazon S3 proporciona configuraciones para bloquear el acceso público. La configuración de bloqueo de acceso público de Amazon S3 puede anular políticas de buckets y ACL para que pueda aplicar al acceso público límites uniformes a dichos recursos. Puede aplicar una configuración de bloqueo de acceso público a buckets individuales o a todos los buckets de la cuenta.

Para ayudar a garantizar que todos los buckets y objetos de Amazon S3 tengan el acceso público bloqueado, los cuatro ajustes del bloqueo de acceso público se activan de forma predeterminada al crear un nuevo bucket. Le recomendamos que también active los cuatro ajustes del bloqueo de acceso público de la cuenta. Estos ajustes bloquean la totalidad del acceso público a todos los buckets actuales y futuros.

Antes de aplicar estos ajustes, verifique que sus aplicaciones funcionen correctamente sin acceso público. Si necesita algún nivel de acceso público a los buckets u objetos, como, por ejemplo, para alojar un sitio web estático, tal como se describió en Alojamiento de un sitio web estático mediante Amazon S3, puede personalizar los ajustes individuales para que se adapten a sus casos de uso de almacenamiento. Para obtener más información, consulte Bloquear el acceso público a su almacenamiento de Amazon S3.

Sin embargo, recomendamos encarecidamente mantener activado el bloqueo de acceso público. Si desea conservar las cuatro configuraciones de bloqueo de acceso público activados y alojar un sitio web estático, puede utilizar el control de acceso de origen (OAC) de Amazon CloudFront. Amazon CloudFront proporciona las capacidades necesarias para configurar un sitio web estático seguro. Los sitios web estáticos de Amazon S3 solo admiten puntos de conexión HTTP. Amazon CloudFront utiliza el almacenamiento duradero de Amazon S3 a la vez que proporciona encabezados de seguridad adicionales, como HTTPS. HTTPS agrega seguridad al cifrar una solicitud HTTP normal y proteger contra ataques cibernéticos comunes.

Para obtener información, consulte Introducción a un sitio web estático seguro en la guía para desarrolladores de Amazon CloudFront.

nota

Si ve un Error cuando muestre los buckets y la configuración de acceso público, es posible que no tenga los permisos necesarios. Asegúrese de que los siguientes permisos se hayan agregado a la política del usuario o rol:


s3:GetAccountPublicAccessBlock
s3:GetBucketPublicAccessBlock
s3:GetBucketPolicyStatus
s3:GetBucketLocation
s3:GetBucketAcl
s3:ListAccessPoints
s3:ListAllMyBuckets

En algunos casos excepcionales, las solicitudes también pueden producir un error debido a una interrupción de Región de AWS.

Opciones de configuración de buckets

Amazon S3 admite varias opciones para que configure su bucket. Por ejemplo, puede configurar su bucket para alojamiento de sitios web, agregar configuraciones para administrar el ciclo de vida de los objetos en el bucket y configurar el bucket para registrar la totalidad del acceso al bucket. Amazon S3 admite subrecursos para que almacene y administre la información de configuración del bucket. Puede usar la API de Amazon S3 para crear y administrar estos subrecursos. Sin embargo, también puede usar la consola o los SDK de AWS.

nota

También hay configuraciones a nivel del objeto. Por ejemplo, puede configurar permisos a nivel del objeto mediante la configuración de una Access Control List (ACL, Lista de control de acceso) que sea específica para ese objeto.

Estos se denominan subrecursos porque existen en el contexto de un bucket u objeto específico. En la siguiente tabla, se muestran los subrecursos que le permiten administrar configuraciones específicas de buckets.

Subrecurso	Descripción
cors (uso compartido de recursos entre orígenes)	Puede configurar su bucket para permitir solicitudes entre orígenes. Para obtener más información, consulte Uso compartido de recursos entre orígenes (CORS).
notificación de eventos	Puede habilitar su bucket para que le envíe notificaciones de eventos especificados de buckets. Para obtener más información, consulte Notificaciones de eventos de Amazon S3.
ciclo de vida	Puede definir reglas de ciclo de vida para los objetos de su bucket que tienen un ciclo de vida bien definido. Por ejemplo, puede definir una regla para archivar objetos un año después de su creación o para eliminar objetos 10 años después de su creación. Para obtener más información, consulte Administración del ciclo de vida del almacenamiento.
location	Cuando crea un bucket, especifica la Región de AWS en la que desea que Amazon S3 cree el bucket. Amazon S3 almacena esta información en el subrecurso ubicación y proporciona una API para que recupere esta información.
registro	El registro le permite realizar un seguimiento de las solicitudes de acceso a su bucket. Cada entrada del registro de acceso contiene detalles de la solicitud de acceso tales como el solicitante, el nombre del bucket, la hora de la solicitud, la acción solicitada, el estado de la respuesta y el código de error, si hay alguno. La información del registro de acceso puede ser útil en auditorías de acceso y seguridad. También puede ayudarle a conocer mejor su base de clientes y entender su factura de Amazon S3. Para obtener más información, consulte Registro de solicitudes con registro de acceso al servidor.
bloqueo de objetos	Para usar Bloqueo de objetos de S3, debe habilitarlo para un bucket. De manera opcional, puede configurar un modo y un periodo de retención predeterminados para los nuevos objetos colocados en el bucket. Para obtener más información, consulte Usar Bloqueo de objetos de S3.
política y ACL (lista de control de acceso)	Todos sus recursos (como los buckets y objetos) son de carácter privado de forma predeterminada. Amazon S3 admite opciones de política y lista de control de acceso (ACL) de buckets para que conceda y administre los permisos a nivel del bucket. Amazon S3 almacena la información de los permisos en los subrecursos política y ACL. Para obtener más información, consulte Identity and Access Management en Amazon S3.
replicación	La reproducción consiste en la copia automática y asíncrona de los objetos de los buckets ubicados en la misma o en diferentes Regiones de AWS. Para obtener más información, consulte Replicación de objetos.
requestPayment	De forma predeterminada, la Cuenta de AWS que crea el bucket (la propietaria del bucket) paga las descargas realizadas desde el bucket. Mediante este subrecurso, el propietario del bucket puede especificar que se le cobre la descarga a la persona que la solicita. Amazon S3 proporciona una API para que administre este subrecurso. Para obtener más información, consulte Utilización de buckets de pago por solicitante para transferencias de almacenamiento y uso.
etiquetado	Puede agregar etiquetas de asignación de costos a su bucket para clasificar en categorías los costos de AWS y realizar un seguimiento de ellos. Amazon S3 proporciona el subrecurso etiquetado para almacenar y administrar las etiquetas en un bucket. Mediante las etiquetas que se aplican a su bucket, AWS genera un informe de asignación de costos con el uso y los costos agregados por sus etiquetas. Para obtener más información, consulte Informes de facturación y uso de Amazon S3.
aceleración de transferencia	Transfer Acceleration permite transferir archivos de forma rápida, fácil y segura entre su cliente y un bucket de S3 a larga distancia. Transfer Acceleration aprovecha las ubicaciones de borde de Amazon CloudFront distribuidas globalmente. Para obtener más información, consulte Configuración de transferencias de archivos rápidas y seguras con Amazon S3 Transfer Acceleration.
control de versiones	EL control de versiones lo ayuda a recuperar objetos que se han sobrescrito y eliminado accidentalmente. Recomendamos el control de versiones como práctica recomendada para recuperar objetos que se han eliminado o sobrescrito accidentalmente. Para obtener más información, consulte Usar el control de versiones en buckets de S3.
sitio web	Puede configurar su bucket para el alojamiento de sitios web estáticos. Amazon S3 almacena esta configuración mediante la creación del subrecurso sitio web. Para obtener más información, consulte Alojamiento de un sitio web estático mediante Amazon S3.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Trabajar con buckets

Reglas de nomenclatura