Identity and Access Management en Amazon S3 - Amazon Simple Storage Service

Identity and Access Management en Amazon S3

De forma predeterminada, todos los recursos de Amazon S3 (buckets, objetos y subrecursos relacionados [por ejemplo, lifecycle configuración y website configuración]) son privados. Solamente el propietario del recurso, la Cuenta de AWS que lo creó, puede acceder a este. El propietario del recurso puede conceder permisos de acceso opcionalmente a terceros si escribe una política de acceso.

Amazon S3 ofrece opciones de política de acceso ampliamente categorizadas como políticas basadas en recursos y políticas de usuario. Las políticas de acceso que adjunte a sus recursos (buckets y objetos) se denominan políticas basadas en recursos. Por ejemplo, las políticas de bucket y las políticas de puntos de acceso son políticas basadas en recursos. También puede adjuntar políticas de acceso a usuarios de la cuenta. Estas se denominan políticas de usuario. Puede elegir usar políticas basadas en recursos, políticas de usuario o una combinación de ambas para administrar los permisos en sus recursos de Amazon S3. También puede utilizar las listas de control de acceso (ACL) para conceder permisos básicos de lectura y escritura a otras Cuentas de AWS.

De forma predeterminada, cuando otra Cuenta de AWS carga un objeto en el bucket de S3, esa cuenta (el escritor del objeto) es propietario del objeto, tiene acceso a él y puede conceder acceso a él a otros usuarios a través de ACL. Puede utilizar la propiedad de objetos para cambiar este comportamiento predeterminado de modo que las ACL estén desactivadas y, como propietario del bucket, tenga automáticamente la propiedad de todos los objetos del bucket. Como resultado, el control de acceso de los datos se basa en políticas, tales como políticas de IAM, políticas de bucket de S3, políticas de puntos de conexión de nube privada virtual (VPC) y políticas de control de servicios (SCP) de AWS Organizations.

La mayoría de los casos de uso modernos de Amazon S3 ya no requieren el uso de ACL. Le recomendamos desactivar las ACL, excepto en circunstancias inusuales en las que necesite controlar el acceso de cada objeto de manera individual. Con la propiedad de objetos, puede desactivar las ACL y confiar en políticas para el control de acceso. Al desactivar las ACL, puede mantener fácilmente un bucket con objetos cargados por diferentes Cuentas de AWS. Como propietario del bucket, posee todos los objetos del bucket y puede administrar el acceso a ellos mediante políticas. Para obtener más información, consulte Control de la propiedad de los objetos y desactivación de las ACL del bucket .

Para obtener más información sobre cómo administrar el acceso a los objetos y buckets de Amazon S3, consulte los siguientes temas.