Identity and Access Management no Amazon S3 - Amazon Simple Storage Service

Identity and Access Management no Amazon S3

Por padrão, todos os recursos do Amazon S3, como buckets, objetos e sub-recursos relacionados (por exemplo, configuração de lifecycle e de website), são privados. Somente o proprietário do recurso, a Conta da AWS que o criou, pode acessar o recurso. O proprietário do recurso pode conceder permissões de acesso a outros criando uma política de acesso.

O Amazon S3 oferece opções de política de acesso classificadas amplamente como políticas com base em recursos e políticas de usuário. As políticas de acesso que você anexa aos recursos (buckets e objetos) são chamadas de políticas com base em recursos. Por exemplo, as políticas de bucket e as políticas de ponto de acesso são políticas baseadas em recursos. Você também pode anexar políticas de acesso a usuários em sua conta. Elas são chamadas de políticas de usuário. Você pode optar por usar políticas com base em recursos, políticas de usuário ou qualquer combinação delas para gerenciar permissões para seus recursos do Amazon S3. Também é possível usar as listas de controle de acesso (ACLs) para conceder permissões básicas de leitura/gravação a outras contas da Contas da AWS.

Por padrão, quando outra Conta da AWS carrega um objeto no bucket do S3, essa conta (que gravou o objeto) é a proprietária do objeto, tem acesso a ele e pode conceder acesso a outros usuários por meio de ACLs. É possível usar Object Ownership para alterar esse comportamento padrão para que as ACLs sejam desabilitadas e você, como proprietário do bucket, automaticamente seja proprietário de todos os objetos de seu bucket. Como resultado, o controle de acesso para seus dados é baseado em políticas, como políticas do IAM, políticas de bucket do S3, políticas de endpoint da Virtual Private Cloud (VPC) e políticas de controle de serviço (SCPs) do AWS Organizations.

A maioria dos casos de uso modernos no Amazon S3 não requer mais o uso de ACLs, e recomendamos desabilitar as ACLs, exceto em circunstâncias incomuns em que seja necessário controlar o acesso para cada objeto individualmente. Com Object Ownership, é possível desabilitar ACLs e confiar em políticas para controle de acesso. Ao desabilitar ACLs, você pode facilmente manter um bucket com objetos carregados por diferentes Contas da AWS. Como proprietário do bucket, você possui todos os objetos do bucket e pode gerenciar o acesso a eles usando políticas. Para obter mais informações, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.

Para obter mais informações sobre como gerenciar o acesso aos seus objetos e buckets do Amazon S3, consulte os tópicos abaixo.