Ejemplos de política de bucket
Las políticas de bucket de S3 en Outposts le permiten proteger el acceso a los objetos de sus buckets de S3 en Outposts, de modo que solo los usuarios con los permisos adecuados puedan acceder a ellos. Incluso puede impedir que los usuarios autenticados que no dispongan de los permisos adecuados accedan a los recursos de S3 en Outposts.
En esta sección se presentan ejemplos de casos de uso típicos de políticas de bucket de S3 en Outposts. Para probar estas políticas, sustituya user input
placeholders
Para conceder o denegar permisos a un conjunto de objetos, puede usar caracteres comodín (*) en nombres de recurso de Amazon (ARN) y otros valores. Por ejemplo, puede controlar el acceso a grupos de objetos que empiezan por un prefijo o terminar con una extensión dada, como.html.
Para obtener más información sobre el lenguaje de la política de AWS Identity and Access Management (IAM), consulte Configuración de IAM con S3 en Outposts.
nota
Si utiliza la consola de Amazon S3 para probar los permisos de s3outposts, debe conceder permisos adicionales requeridos por la consola como s3outposts:createendpoint o s3outposts:listendpoints, entre otros.
Recursos adicionales para crear políticas de bucket
-
Para obtener una lista de las acciones, los recursos y las claves de condición de la política de IAM que puede utilizar al crear una política de bucket de S3 en Outposts, consulte Actions, resources, and condition keys for Amazon S3 on Outposts.
-
Para obtener información sobre cómo crear una política de S3 en Outposts, consulte Adición o edición de una política de bucket para un bucket de Amazon S3 en Outposts.
Temas
Gestión del acceso a un bucket de Amazon S3 en Outposts en función de determinadas direcciones IP
Una política de bucket es una política AWS Identity and Access Management basada en recursos (IAM) que puede utilizar para conceder permisos de acceso al bucket y a los objetos que contiene. Solo el propietario del bucket puede asociar una política a un bucket. Los permisos asociados a un bucket se aplican a todos los objetos del bucket que son propiedad de la cuenta de propietario del bucket. Las políticas de bucket tienen un límite de tamaño de 20 KB. Para obtener más información, consulte Política de bucket.
Restringir el acceso a direcciones IP específicas
En el siguiente ejemplo se impide que los usuarios realicen operaciones de S3 en Outposts en objetos en los buckets especificados, a menos que la solicitud se origine en el rango de direcciones IP especificado.
nota
Al restringir el acceso a una dirección IP concreta, asegúrese de especificar también qué puntos de conexión de VPC, direcciones IP de origen de VPC o direcciones IP externas pueden acceder al bucket de S3 en Outposts. De lo contrario, podría perder el acceso al bucket si su política deniega a todos los usuarios realizar cualquier operación de s3outposts en los objetos de su bucket de S3 en Outposts sin contar con los permisos adecuados.
La instrucción Condition de esta política identifica 192.0.2.0/24
El bloque Condition utiliza la condición NotIpAddress y la clave de condición aws:SourceIp, que es una clave de condición general de AWS. La clave de condición aws:SourceIp solo puede utilizarse para rangos de direcciones IP públicas. Para obtener más información acerca de estas claves de condición, consulte Actions, resources, and condition keys for S3 on Outposts. Los valores de IPv4 aws:SourceIp utilizan la notación CIDR estándar. Para obtener más información, consulte Referencia de los elementos de las políticas de JSON de IAM en la Guía del usuario de IAM.
aviso
Antes de utilizar esta política de S3 en Outposts, reemplace el rango de direcciones IP 192.0.2.0/24
{ "Version": "2012-10-17", "Id": "S3OutpostsPolicyId1", "Statement": [ { "Sid": "IPAllow", "Effect": "Deny", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME" "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET" ], "Condition": { "NotIpAddress": { "aws:SourceIp": "192.0.2.0/24" } } } ] }
Permitir direcciones IPv4 e IPv6
Cuando empiece a usar direcciones IPv6, le recomendamos que actualice todas las políticas de la organización con los rangos de direcciones IPv6 además de los rangos de direcciones IPv4 existentes. De este modo se asegurará de que las políticas sigan funcionando durante la transición a IPv6.
En el siguiente ejemplo de política de bucket de S3 en Outposts se muestra cómo combinar los rangos de dirección IPv4 e IPv6 para incluir todas las direcciones IP válidas de la organización. La política de ejemplo permite el acceso a las direcciones IP de ejemplo 192.0.2.12001:DB8:1234:5678::1203.0.113.12001:DB8:1234:5678:ABCD::1
La clave de condición aws:SourceIp solo puede utilizarse para rangos de direcciones IP públicas. Los valores de IPv6 para aws:SourceIp deben estar en formato CIDR estándar. Para IPv6, aceptamos el uso de :: para representar un rango de 0, (por ejemplo, 2001:DB8:1234:5678::/64). Para obtener más información, consulte Operadores de condición de dirección IP en la Guía del usuario de IAM.
aviso
Antes de utilizar esta política de S3 en Outposts, sustituya los intervalos de direcciones IP del ejemplo por valores adecuados para su caso de uso. De lo contrario, puede perder la capacidad de acceder a su bucket.
{ "Id": "S3OutpostsPolicyId2", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowIPmix", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": [ "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET", "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*" ], "Condition": { "IpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "2001:DB8:1234:5678::/64" ] }, "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678:ABCD::/80" ] } } } ] }
