Ejemplo 2: propietario del bucket que concede permisos de bucket entre cuentas
importante
Conceder permisos a roles de IAM es preferible a conceder permisos a usuarios individuales. Para obtener información sobre como hacer esto, consulte Introducción: permisos a otras cuentas y uso de roles de IAM.
Temas
Una Cuenta de AWS, por ejemplo, la cuenta A, puede conceder a otra Cuenta de AWS, la cuenta B, permiso para acceder a sus recursos, como buckets y objetos. La cuenta B puede delegar estos permisos a los usuarios en la cuenta. En este escenario de ejemplo, un propietario de bucket concede permiso entre cuentas a otra cuenta para realizar operaciones de bucket específicas.
nota
La cuenta A también puede usar una política de bucket para conceder permisos directamente a un usuario de la cuanta B. Pero aún así, el usuario necesitará permiso de la cuenta principal, la cuenta B, a la que pertenece el usuario, incluso aunque la cuenta B no tenga permisos de la cuenta A. El usuario podrá acceder al recurso siempre y cuando tenga permiso del propietario del recurso y la cuenta principal.
El siguiente es un resumen de los pasos del tutorial:
-
El usuario administrador de la cuenta A adjunta una política de bucket que concede permisos entre cuentas a la cuenta B para realizar operaciones de bucket específicas.
Tenga en cuenta que el usuario administrador en la cuenta B heredará automáticamente los permisos.
-
El usuario administrador de la cuenta B le adjunta la política de usuario al usuario que delega los permisos que recibió de la cuenta A.
-
El usuario de la cuenta B luego accede a un objeto en el bucket que pertenece a la cuenta A para verificar los permisos.
Para este ejemplo, necesita dos cuentas. En la siguiente tabla se muestra cómo nos referimos a estas cuentas y a sus usuarios administradores. De acuerdo con las directrices de IAM (consulte Acerca del uso de un usuario administrador para crear recursos y conceder permisos), no utilizamos las credenciales de usuario raíz en este tutorial. En lugar de eso, usted crea un usuario administrador en cada cuenta y utiliza esas credenciales cuando se crean recursos y se conceden permisos.
| ID de Cuenta de AWS | Cuenta denominada | Usuario administrador de la cuenta |
|---|---|---|
|
|
Cuenta A |
AccountAadmin |
|
|
Cuenta B |
AccountBadmin |
Todas las tareas de creación de usuarios y concesión de permisos se realizan en la AWS Management Console. Para verificar los permisos, en la explicación se utilizan herramientas de línea de comandos, AWS Command Line Interface (CLI) y AWS Tools for Windows PowerShell, por lo que no necesita escribir código.
Paso 0: Prepararse para el tutorial
-
Asegúrese de tener dos Cuentas de AWS y que cada cuenta tenga un usuario administrador, como se muestra en la tabla de la sección anterior.
-
Si lo necesita, regístrese para obtener una Cuenta de AWS.
-
Con las credenciales de la cuenta A, inicie sesión en la consola de IAM
para crear el usuario administrador: -
Cree el usuario AccountAadmin y anote las credenciales de seguridad. Para obtener instrucciones, consulte Creación de un usuario de IAM en la Cuenta de AWS en la Guía del usuario de IAM.
-
Conceda privilegios de administrador a AccountAadmin adjuntando una política de usuario que le conceda acceso total. Para obtener instrucciones, consulte Uso de políticas en la guía del usuario de IAM.
-
-
Mientras se encuentra en la consola de IAM, anote la URL de inicio de sesión de usuario de IAM en el Panel. Todos los usuarios de la cuenta deben utilizar esta dirección URL para iniciar sesión en la AWS Management Console.
Para obtener más información, consulte Cómo los usuarios inician sesión en la cuenta en la Guía del usuario de IAM.
-
Repita el paso anterior con las credenciales de la cuenta B y cree el usuario administrador AccountBadmin.
-
-
Configure AWS Command Line Interface (CLI) o AWS Tools for Windows PowerShell. Asegúrese de guardar las credenciales del usuario administrador de la siguiente manera:
-
Si está usando la AWS CLI, cree dos perfiles, AccountAadmin y AccountBadmin, en el archivo de configuración.
-
Si está usando AWS Tools for Windows PowerShell, asegúrese de almacenar las credenciales para la sesión como AccountAadmin y AccountBadmin.
Para obtener instrucciones, consulte Configuración de las herramientas para los tutoriales de ejemplo.
-
-
Guarde las credenciales de usuario administrador, también denominadas perfiles. Puede utilizar el nombre de perfil en lugar de especificar las credenciales para cada comando que escribe. Para obtener más información, consulte Configuración de las herramientas para los tutoriales de ejemplo.
-
Agregue perfiles en el archivo de credenciales de la AWS CLI para cada uno de los usuarios administradores en las dos cuentas.
[AccountAadmin] aws_access_key_id =access-key-IDaws_secret_access_key =secret-access-keyregion = us-east-1 [AccountBadmin] aws_access_key_id =access-key-IDaws_secret_access_key =secret-access-keyregion = us-east-1 -
Si está usando AWS Tools for Windows PowerShell
set-awscredentials –AccessKeyAcctA-access-key-ID–SecretKeyAcctA-secret-access-key–storeas AccountAadmin set-awscredentials –AccessKeyAcctB-access-key-ID–SecretKeyAcctB-secret-access-key–storeas AccountBadmin
-
Paso 1: Realizar las tareas de la cuenta A
Paso 1.1: Iniciar sesión en la AWS Management Console
Con la dirección URL de inicio de sesión de usuario de IAM para la cuenta A, primero inicie sesión en la AWS Management Console como el usuario AccountAadmin. Este usuario creará un bucket y le asociará una política.
Paso 1.2: Crear un bucket
-
En la consola de Amazon S3, cree un bucket. En este ejercicio se asume que el bucket se crea en la región Este de EE. UU. (Norte de Virginia) y se llama
DOC-EXAMPLE-BUCKETPara obtener instrucciones, consulte Crear un bucket.
-
Cargue un objeto de ejemplo en el bucket.
Para obtener instrucciones, consulte Paso 2: Cargar un objeto en el bucket.
Paso 1.3: Asociar una política de bucket para conceder permisos entre cuentas a la cuenta B
La política de bucket le concede los permisos de s3:GetLifecycleConfiguration y s3:ListBucket a la cuenta B. Se asume que usted aún sigue registrado en la consola con las credenciales de usuario AccountAadmin.
-
Adjunte la siguiente política de bucket a
DOC-EXAMPLE-BUCKETs3:GetLifecycleConfigurationys3:ListBucket.Para obtener instrucciones, consulte Agregar una política de bucket mediante la consola de Amazon S3.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Example permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:root" }, "Action": [ "s3:GetLifecycleConfiguration", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ] } ] } -
Asegúrese de que la cuenta B (y por lo tanto el usuario administrador) pueda realizar las operaciones.
-
Uso de AWS CLI
aws s3 ls s3://DOC-EXAMPLE-BUCKET--profile AccountBadmin aws s3api get-bucket-lifecycle-configuration --bucketDOC-EXAMPLE-BUCKET--profile AccountBadmin -
Mediante AWS Tools for Windows PowerShell
get-s3object -BucketNameDOC-EXAMPLE-BUCKET-StoredCredentials AccountBadmin get-s3bucketlifecycleconfiguration -BucketNameDOC-EXAMPLE-BUCKET-StoredCredentials AccountBadmin
-
Paso 2: Realizar las tareas de la cuenta B
Ahora, el administrador de la cuenta B crea un usuario, Dave, y delega los permisos que recibió de la cuenta A.
Paso 2.1: Iniciar sesión en la AWS Management Console
Con la dirección URL de inicio de sesión de usuario de IAM para la cuenta B, primero inicie sesión en la AWS Management Console con el usuario AccountBadmin.
Paso 2.2: Crear el usuario Dave en la cuenta B
En la consola de IAM
Para obtener instrucciones, consulte Creación de usuarios de IAM (AWS Management Console) en la Guía del usuario de IAM.
Paso 2.3: Delegar permisos al usuario Dave
Cree una política en línea para el usuario Dave utilizando la siguiente política. Tendrá que proporcionar el nombre del bucket para actualizar la política.
Se asume que usted está registrado en la consola con las credenciales de usuario AccountBadmin.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Example", "Effect": "Allow", "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ] } ] }
Para obtener instrucciones, consulte Uso de políticas insertadas en la guía de usuario de IAM.
Paso 2.4: Probar los permisos
Ahora, Dave en la cuenta B puede indicar los contenidos de DOC-EXAMPLE-BUCKET
Probar con la AWS CLI
-
Agregue el perfil UserDave al archivo de configuración de la AWS CLI. Para obtener más información acerca del archivo de configuración, consulte Configuración de las herramientas para los tutoriales de ejemplo.
[profile UserDave] aws_access_key_id =access-keyaws_secret_access_key =secret-access-keyregion =us-east-1 -
En el símbolo del sistema, ingrese el siguiente comando de la AWS CLI para asegurarse de que Dave ya pueda obtener una lista de objetos de
DOC-EXAMPLE-BUCKETaws s3 ls s3://DOC-EXAMPLE-BUCKETDave no tiene ningún otro permiso. Por lo tanto, si intenta cualquier otra operación, como la siguiente configuración para obtener el ciclo de vida del bucket, Amazon S3 deniega el permiso.
aws s3api get-bucket-lifecycle-configuration --bucketDOC-EXAMPLE-BUCKET--profile UserDave
Probar con AWS Tools for Windows PowerShell
-
Guarde las credenciales de Dave como AccountBDave.
set-awscredentials -AccessKey AccessKeyID -SecretKey SecretAccessKey -storeas AccountBDave -
Pruebe el comando List Bucket.
get-s3object -BucketNameDOC-EXAMPLE-BUCKET-StoredCredentials AccountBDaveDave no tiene ningún otro permiso. Por lo tanto, si intenta cualquier otra operación, como la siguiente configuración para obtener el ciclo de vida del bucket, Amazon S3 deniega el permiso.
get-s3bucketlifecycleconfiguration -BucketNameDOC-EXAMPLE-BUCKET-StoredCredentials AccountBDave
Paso 3: (Opcional) Intentar denegar explícitamente
Puede obtener permisos a través de una Access Control List (ACL, Lista de control de acceso), una política de bucket y una política de usuario. Pero si se establece una denegación explícita a través de una política de bucket o una política de usuario, la denegación explícita tiene preferencia sobre cualquier otro permiso. Para las pruebas, actualice la política de bucket y niegue explícitamente los permisos de s3:ListBucket a la cuenta B. La política también concede permiso de s3:ListBucket, pero la denegación explícita prevalece, y la cuenta B o los usuarios de la cuenta B no podrán mostrar los objetos en DOC-EXAMPLE-BUCKET
-
Con las credenciales de usuario AccountAadmin en la cuenta A, reemplace la política de bucket por lo siguiente.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Example permissions", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:root" }, "Action": [ "s3:GetLifecycleConfiguration", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ] }, { "Sid": "Deny permission", "Effect": "Deny", "Principal": { "AWS": "arn:aws:iam::AccountB-ID:root" }, "Action": [ "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET" ] } ] } -
Ahora, si intenta obtener una lista de bucket con las credenciales de AccountBadmin, se le denegará el acceso.
-
Mediante la AWS CLI:
aws s3 ls s3://DOC-EXAMPLE-BUCKET--profile AccountBadmin -
Mediante la AWS Tools for Windows PowerShell:
get-s3object -BucketNameDOC-EXAMPLE-BUCKET-StoredCredentials AccountBDave
-
Paso 4: Limpiar
-
Después de que haya terminado de probar, puede realizar lo siguiente para limpiar.
-
Inicie sesión en la AWS Management Console (AWS Management Console
) con las credenciales de la cuenta A y haga lo siguiente: -
En la consola de Amazon S3, elimine la política de bucket asociada a
DOC-EXAMPLE-BUCKET -
Si se creó el bucket para este ejercicio, en la consola de Amazon S3, elimine los objetos y luego elimine el bucket.
-
En la consola de IAM
, quite el usuario AccountAadmin.
-
-
-
Inicie sesión en la consola de IAM
con las credenciales de la cuenta B. Elimine el usuario AccountBadmin. Para obtener instrucciones paso a paso, consulte Eliminación de un usuario de IAM en la guía del usuario de IAM.
