Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Impedir el acceso al bucket de Amazon S3 entre entornos
En este tema se explica cómo las políticas administradas pueden permitir el acceso a los buckets de S3 entre entornos y cómo se pueden crear políticas personalizadas para administrar este tipo de acceso.
Elastic Beanstalk proporciona políticas administradas para AWS gestionar los recursos que requieren los entornos de Elastic Beanstalk de su cuenta. AWS Los permisos proporcionados de forma predeterminada a una aplicación de su AWS cuenta tienen acceso a los recursos de S3 que pertenecen a otras aplicaciones de la misma cuenta. AWS
Si su AWS cuenta ejecuta varias aplicaciones de Beanstalk, puede reducir la seguridad de sus políticas creando su propia política personalizada para adjuntarla a su propio rol de servicio o perfil de instancia para cada entorno. A continuación, puede limitar los permisos de S3 de su política personalizada a un entorno específico.
nota
Ten en cuenta que eres responsable de mantener tu política personalizada. Si cambia una política gestionada por Elastic Beanstalk en la que se basa la política personalizada, tendrá que modificar la política personalizada con los cambios correspondientes en la política base. Para obtener un historial de cambios de las políticas administradas de Elastic Beanstalk, consulte. Actualizaciones de Elastic AWS Beanstalk a las políticas administradas
Ejemplo de permisos restringidos
El siguiente ejemplo se basa en la política AWSElasticBeanstalkWebTieradministrada.
La política predeterminada incluye las siguientes líneas para los permisos de los buckets de S3. Esta política predeterminada no limita las acciones del bucket de S3 a entornos o aplicaciones específicos.
{
"Sid" : "BucketAccess",
"Action" : [
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Effect" : "Allow",
"Resource" : [
"arn:aws:s3:::elasticbeanstalk-*",
"arn:aws:s3:::elasticbeanstalk-*/*"
]
}
Puede limitar el acceso calificando recursos específicos para un rol de servicio especificado comoPrincipal
. El siguiente ejemplo proporciona los aws-elasticbeanstalk-ec2-role-my-example-env
permisos de rol de servicio personalizados para los buckets de S3 del entorno con idmy-example-env-ID
.
ejemplo Otorgue permisos solo a los buckets de S3 de un entorno específico
{
"Sid": "BucketAccess",
"Action": [
"s3:Get*",
"s3:List*",
"s3:PutObject"
],
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::...:role/aws-elasticbeanstalk-ec2-role-my-example-env"
},
"Resource": [
"arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345",
"arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345/resources/environments/my-example-env-ID/*"
]
}
nota
El recurso ARN debe incluir el ID del entorno de Elastic Beanstalk (no el nombre del entorno). Puede obtener el identificador del entorno en la consola de Elastic Beanstalk en la página de información general del entorno. También puede usar el comando AWS CLI describe-environments para obtener esta información.
Para obtener más información que le ayude a actualizar los permisos de los buckets de S3 para sus entornos de Elastic Beanstalk, consulte los siguientes recursos:
-
Usar Elastic Beanstalk con Amazon S3 en esta guía
-
Tipos de recursos definidos por Amazon S3 en la guía de referencia de autorización de servicios
-
ARNformato en la Guía IAM del usuario