Explicaciones de ejemplo: administrar acceso a sus recursos de Amazon S3 - Amazon Simple Storage Service

Explicaciones de ejemplo: administrar acceso a sus recursos de Amazon S3

Este tema proporciona los siguientes ejemplos de tutorial introductorio para ofrecer acceso a los recursos de Amazon S3. Estos ejemplos utilizan la AWS Management Console para crear recursos (buckets, objetos, usuarios) y otorgarles permisos. Luego, los ejemplos le muestran cómo verificar los permisos con las herramientas de línea de comandos para que no tenga que escribir ningún código. Proporcionamos comandos con la AWS Command Line Interface (CLI) y AWS Tools for Windows PowerShell.

  • Ejemplo 1: propietario del bucket que concede permisos de bucket a sus usuarios

    Los usuarios de IAM que crea en la cuenta no tienen permisos de forma predeterminada. En este ejercicio, usted le otorga a un usuario permiso para realizar operaciones de bucket y objeto.

  • Ejemplo 2: propietario del bucket que concede permisos de bucket entre cuentas

    En este ejercicio, el propietario de un bucket, la cuenta A, concede permisos entre cuentas a otra Cuenta de AWS, la cuenta B. Luego, la cuenta B delega esos permisos a los usuarios de la cuenta.

  • Administración de permisos de objetos cuando los propietarios del objeto y del bucket no son los mismos

    Los escenarios de ejemplo en este caso incluyen a un propietario de bucket que concede permisos de objetos a otros, pero no todos los objetos en el bucket le pertenecen al propietario del bucket. ¿Qué permisos necesita el propietario del bucket y cómo puede delegar esos permisos?

    La Cuenta de AWS que crea un bucket se denomina propietario del bucket. El propietario puede conceder permisos a otras Cuentas de AWS para cargar objetos, y las Cuentas de AWS que crean objetos son las propietarias de estos. El propietario del bucket no tiene permisos sobre aquellos objetos creados por otras Cuentas de AWS. Si el propietario del bucket escribe una política de bucket que concede acceso a los objetos, la política no se aplica a los objetos que le pertenecen a otras cuentas.

    En este caso, el propietario del objeto primero debe otorgar permisos al propietario del bucket con una Access Control List (ACL, Lista de control de acceso) de objetos. Luego, el propietario del bucket puede delegar esos permisos de objeto a otros, a usuarios de su propia cuenta o a otra Cuenta de AWS, como se muestra en los siguientes ejemplos.

Antes de probar los tutoriales de ejemplo

Estos ejemplos utilizan la AWS Management Console para crear recursos y conceder permisos. Y para probar los permisos, en los ejemplos se utilizan las herramientas de la línea de comandos, AWS Command Line Interface (CLI) y AWS Tools for Windows PowerShell, por lo que no necesita escribir ningún código. Para probar los permisos deberá configurar una de estas herramientas. Para obtener más información, consulte Configuración de las herramientas para los tutoriales de ejemplo.

Además, cuando se crean recursos, en estos ejemplos no se utilizan credenciales raíz de una Cuenta de AWS. En lugar de eso, usted crea un usuario administrador en estas cuentas para realizar estas tareas.

Acerca del uso de un usuario administrador para crear recursos y conceder permisos

AWS Identity and Access Management (IAM) recomienda no usar las credenciales raíz de su Cuenta de AWS para realizar solicitudes. En lugar de eso, cree un usuario de IAM, otorgue acceso completo a ese usuario y luego utilice las credenciales de ese usuario para realizar solicitudes. Este usuario se denomina usuario administrador. Para obtener más información, visite Diferencias entre las credenciales de usuario raíz y las credenciales de usuario de IAM en la Referencia general de AWS y las Prácticas recomendadas de IAM en la Guía del usuario de IAM.

Todos los tutoriales de ejemplo en esta sección utilizan las credenciales de usuario administrador. Si no creó un usuario administrador para su Cuenta de AWS, en los temas se indica cómo hacerlo.

Tenga en cuenta que para iniciar sesión en la AWS Management Console con las credenciales de usuario, deberá utilizar la dirección URL de inicio de sesión de usuario de IAM. La consola de IAM proporciona esta URL para su Cuenta de AWS. Los temas le muestran cómo obtener el URL.