Añada un recurso compartido de archivos - AWSStorage Gateway

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Añada un recurso compartido de archivos

Una vez que la gateway de archivos de S3 esté activada y en funcionamiento, puede agregar recursos compartidos de archivos adicionales y conceder acceso a buckets de Amazon S3. Cubos a los que puede conceder acceso para incluir los buckets en otroCuenta de AWSque el recurso compartido de archivos. Para obtener información sobre cómo agregar un recurso compartido de archivos, consulte Creación de un recurso compartido de archivos.

Concesión de acceso a un bucket de Amazon S3

Al crear un recurso compartido de archivos, la puerta de enlace de archivos requiere acceso para cargar archivos en el depósito de Amazon S3 y realizar acciones en cualquier punto de acceso o endpoints de nube privada virtual (VPC) que utilice para conectarse al bucket. Para conceder este acceso, la puerta de enlace de archivos asume unAWS Identity and Access Management(IAM) asociada a una política de IAM que concede este acceso.

El rol requiere esta política de IAM y una relación de confianza de Security Token Service (STS). La política determina qué acciones puede realizar el rol. Además, el bucket de S3 y cualquier punto de acceso asociado o endpoints de VPC deben tener una política de acceso que permita el rol de IAM para obtener acceso a ellos.

Puede crear el rol y la política de acceso manualmente o dejar que su gateway de archivos lo haga. Si su gateway de archivos crea la política, contendrá una lista de acciones de S3. Para obtener más información acerca de los roles de y permisos de, consulteCreación de un rol para delegar permisos a unServicio de AWSen laIAM User Guide.

El ejemplo siguiente es una política de confianza que permite que su gateway de archivos adopte un rol de IAM.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Si no desea que su gateway de archivos cree una política en su nombre, puede crear la suya propia y adjúntela al recurso compartido de archivos. Para obtener más información acerca de cómo hacerlo, consulte Creación de un recurso compartido de archivos.

La siguiente política de ejemplo permite que su gateway de archivos realice todas las acciones de Amazon S3 que aparecen en la política. La primera parte de la declaración permite que todas las acciones que se muestran se realicen en el bucket de S3 denominado TestBucket. La segunda parte permite las acciones que se muestran en todos los objetos de TestBucket.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:GetAccelerateConfiguration", "s3:GetBucketLocation", "s3:GetBucketVersioning", "s3:ListBucket", "s3:ListBucketVersions", "s3:ListBucketMultipartUploads" ], "Resource": "arn:aws:s3:::TestBucket", "Effect": "Allow" }, { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:::TestBucket/*", "Effect": "Allow" } ] }

La siguiente política de ejemplo es similar a la anterior, pero permite que la puerta de enlace de archivos realice las acciones necesarias para acceder a un bucket a través de un punto de acceso.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "s3:AbortMultipartUpload", "s3:DeleteObject", "s3:DeleteObjectVersion", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectVersion", "s3:ListMultipartUploadParts", "s3:PutObject", "s3:PutObjectAcl" ], "Resource": "arn:aws:s3:us-east-1:123456789:accesspoint/TestAccessPointName/*", "Effect": "Allow" } ] }
nota

Si necesita conectar el recurso compartido de archivos a un bucket de S3 a través de un endpoint de VPC, consultePolíticas de punto de enlace para Amazon S3en laAWS PrivateLinkGuía del usuario de.

Prevención del suplente confuso entre servicios

El problema del suplente confuso es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación entre servicios puede dar lugar al problema del suplente confuso. La suplantación entre servicios puede producirse cuando un servicio (el servicio que lleva a cabo las llamadas) llama a otro servicio (el servicio al que se llama). El servicio que lleva a cabo las llamadas se puede manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta.

Le recomendamos que utilice las claves de contexto de condición global aws:SourceArn y aws:SourceAccount en las políticas de recursos a fin de limitar los permisos que AWS Storage Gateway le concede a otro servicio para el recurso. Si se utilizan ambas claves de contexto de condición global, el valor aws:SourceAccount y la cuenta del valor aws:SourceArn deben utilizar el mismo ID de cuenta cuando se utilicen en la misma declaración de política.

El valor deaws:SourceArndebe ser el ARN de Storage Gateway al que está asociado el recurso compartido de archivos.

La forma más eficaz de protegerse contra el confuso problema del diputado es utilizar elaws:SourceArnclave de contexto de condición global con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si especifica varios recursos, utilice laaws:SourceArnclave de condición de contexto global con comodines (*) para las partes desconocidas del ARN. Por ejemplo, arn:aws:servicename::123456789012:*.

El siguiente ejemplo muestra cómo puede utilizar laaws:SourceArnyaws:SourceAccountclaves de contexto de condición global en Storage Gateway para evitar el confuso problema de adjunto.

{ "Version": "2012-10-17", "Statement": { "Sid": "ConfusedDeputyPreventionExamplePolicy", "Effect": "Allow", "Principal": { "Service": "storagegateway.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "123456789012" }, "ArnLike": { "aws:SourceArn": "arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-712345DA" } } } ] }

Uso de un recurso compartido de archivos para el acceso entre cuentas

Cuenta entre cuentasEl acceso se realiza cuando a una cuenta de Amazon Web Services y a los usuarios de dicha cuenta se les concede acceso a recursos que pertenecen a otra cuenta de Amazon Web Services. Con las gateways de archivos, puede utilizar un recurso compartido de archivos de una cuenta de Amazon Web Services para obtener acceso a los objetos de un bucket de Amazon S3 que pertenezca a otra cuenta de Amazon Web Services.

Para utilizar un recurso compartido de archivos propiedad de una cuenta de Amazon Web Services para obtener acceso a un bucket de S3 de otra cuenta de Amazon Web Services
  1. Asegúrese de que el propietario del bucket de S3 le haya concedido a su cuenta de Amazon Web Services el acceso que necesita al bucket de S3 y a los objetos contenidos en dicho bucket. Para obtener más información acerca de cómo conceder este acceso, consulteEjemplo 2: Propietario del bucket que concede permisos de bucket entre cuentasen laAmazon Simple Storage Service usuario Guide. Para obtener una lista de los permisos necesarios, consulte Concesión de acceso a un bucket de Amazon S3.

  2. Asegúrese de que el rol de IAM que utiliza el recurso compartido de archivos para obtener acceso al bucket de S3 incluya permisos para operaciones como s3:GetObjectAcl y s3:PutObjectAcl. Asegúrese también de que el rol de IAM incluya una política de confianza que permita a su cuenta para adoptar dicho rol. Para ver un ejemplo de esta política de confianza, consulte Concesión de acceso a un bucket de Amazon S3.

    Si el recurso compartido de archivos utiliza un rol existente para obtener acceso al bucket de S3, se deben incluir permisos para las operaciones s3:GetObjectAcl y s3:PutObjectAcl. El rol también necesita una política de confianza que permita a su cuenta asumir este rol. Para ver un ejemplo de esta política de confianza, consulte Concesión de acceso a un bucket de Amazon S3.

  3. Abrir la consola de Storage Gateway enhttps://console.aws.amazon.com/storagegateway/home.

  4. Elija Give bucket owner full control (Conceder control total al propietario del bucket) en los ajustes de Object metadata (Metadatos de objetos) del cuadro de diálogo Configure file share setting (Configuración del recurso compartido de archivos).

Una vez que haya creado o actualizado el recurso compartido de archivos para el acceso entre cuentas y lo haya montado localmente, recomendamos encarecidamente que pruebe la configuración. Puede hacerlo mostrando el contenido del directorio o escribiendo archivos de prueba y asegurándose de que los archivos aparecen como objetos en el bucket de S3.

importante

Asegúrese de configurar las políticas correctamente para conceder acceso entre cuentas a la cuenta utilizada por el recurso compartido de archivos. De lo contrario, las actualizaciones de archivos realizadas a través de su aplicaciones locales no se propagarán al bucket de Amazon S3 con el que está trabajando.

Para obtener más información sobre políticas de acceso y listas de control de acceso, consulte los siguientes temas:

Directrices para usar las opciones de política de acceso disponiblesen laAmazon Simple Storage Service usuario Guide

Información general de la lista de control de acceso (ACL)en laAmazon Simple Storage Service usuario Guide