Identity and Access Management no Amazon S3
Por padrão, todos os recursos do Amazon S3, como buckets, objetos e sub-recursos relacionados (por exemplo, configuração de lifecycle e de website), são privados. Somente o proprietário do recurso, a Conta da AWS que o criou, pode acessar o recurso. O proprietário do recurso pode conceder permissões de acesso a outros criando uma política de acesso.
O Amazon S3 oferece opções de política de acesso classificadas amplamente como políticas com base em recursos e políticas de usuário. As políticas de acesso que você anexa aos recursos (buckets e objetos) são chamadas de políticas com base em recursos. Por exemplo, as políticas de bucket e as políticas de ponto de acesso são políticas baseadas em recursos. Você também pode anexar políticas de acesso a usuários em sua conta. Elas são chamadas de políticas de usuário. Você pode optar por usar políticas com base em recursos, políticas de usuário ou qualquer combinação delas para gerenciar permissões para seus recursos do Amazon S3. Também é possível usar as listas de controle de acesso (ACLs) para conceder permissões básicas de leitura/gravação a outras contas da Contas da AWS.
A Propriedade de objetos do S3 é uma configuração no nível do bucket do Amazon S3 que você pode usar para controlar a propriedade de objetos carregados no bucket e para desabilitar ou habilitar as ACLs. Por padrão, a Propriedade de Objetos está definida com a configuração Imposto pelo proprietário do bucket e todas as ACLs estão desabilitadas. Quando as ACLs são desabilitadas, o proprietário do bucket possui todos os objetos do bucket e gerencia o acesso a eles exclusivamente usando políticas de gerenciamento de acesso.
A maioria dos casos de uso modernos no Amazon S3 não exige mais o uso de ACLs. Recomendamos manter as ACLs desabilitadas, exceto em circunstâncias incomuns em que seja necessário controlar o acesso para cada objeto individualmente. Com as ACLs desabilitadas, é possível usar políticas para controlar o acesso a todos os objetos no bucket, independentemente de quem carregou os objetos para o bucket. Para ter mais informações, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.
Solucionar erros de acesso negado (403 proibido)
Para receber mais informações sobre as causas comuns de erros de acesso negado (403 proibido) no Amazon S3, consulte Solucionar erros de acesso negado (403 proibido) no Amazon S3.
Ações, recursos e chaves de condição do Amazon S3
Para ver a lista completa de permissões do IAM, recursos e chaves de condição para o Amazon S3, consulte Ações, recursos e chaves de condição do Amazon S3 na Referência de autorização do serviço.
Mais informações
Para obter mais informações sobre como gerenciar o acesso aos seus objetos e buckets do Amazon S3, consulte os tópicos abaixo.
nota
Para obter mais informações sobre o uso da classe de armazenamento Amazon S3 Express One Zone com buckets de diretório, consulte O que é a classe S3 Express One Zone? e Buckets de diretório.
Tópicos
- Visão geral do gerenciamento de acesso
- Diretrizes para políticas de acesso
- Como o Amazon S3 autoriza uma solicitação
- Políticas de bucket e políticas de usuário
- Políticas gerenciadas da AWS para o Amazon S3
- Gerenciar o acesso com a funcionalidade Concessões de Acesso do S3
- Gerenciar o acesso com ACLs
- Usar o compartilhamento de recursos de origem cruzada (CORS)
- Bloquear o acesso público ao armazenamento do Amazon S3
- Revisar o acesso de bucket usando o IAM Access Analyzer para S3
- Verificar a propriedade do bucket com a condição de proprietário do bucket
