Introducción a S3 Access Grants

Amazon S3 Access Grants es una característica de Amazon S3 que ofrece una solución de control de acceso escalable para sus datos de S3. S3 Access Grants es un proveedor de credenciales de S3, lo que significa que usted registra su lista de concesiones con S3 Access Grants y en qué nivel. A partir de ese momento, cuando los usuarios o clientes tengan que acceder a sus datos de S3, primero piden las credenciales a S3 Access Grants. Si existe una concesión correspondiente que autorice el acceso, S3 Access Grants proporciona credenciales de acceso temporales con privilegios mínimos. A continuación, los usuarios o clientes pueden usar las credenciales vendidas de S3 Access Grants para acceder a sus datos de S3. Teniendo esto en cuenta, si sus requisitos de datos de S3 exigen una configuración de permisos compleja o amplia, puede usar Concesiones de datos de S3 para escalar los permisos de datos de S3 para los usuarios, grupos, roles y aplicaciones.

En la mayoría de los casos de uso, puede administrar el control de acceso de sus datos de S3 mediante AWS Identity and Access Management (IAM) con políticas de bucket o políticas basadas en identidad de IAM.

No obstante, si tiene requisitos de control de acceso de S3 complejos, como los siguientes, podría beneficiarse enormemente del uso de S3 Access Grants:

Está agotando el límite de tamaño de la política de bucket de 20 KB.
Concede acceso a identidades humanas, por ejemplo, usuarios y grupos de Microsoft Entra ID (anteriormente Azure Active Directory), Okta o a Ping, a los datos de S3 para realizar análisis y macrodatos.
Debe proporcionar acceso entre cuentas sin realizar actualizaciones frecuentes de las políticas de IAM.
Los datos están sin estructurar y a nivel de objeto en lugar de estar estructurados, en formato de fila y columna.

El flujo de trabajo de S3 Access Grants es el siguiente:

Pasos	Descripción
1	Crear una instancia de S3 Access Grants Para empezar, inicie una instancia de S3 Access Grants que contenga sus concesiones de acceso individuales.
2	Registrar una ubicación En segundo lugar, registre una ubicación de datos de S3 (como la predeterminada, `s3://`) y, a continuación, especifique un rol de IAM predeterminado que S3 Access Grants asuma al brindar acceso a la ubicación de datos de S3. También puede añadir ubicaciones personalizadas a grupos o prefijos específicos y asignarlos a roles de IAM personalizados.
3	Crear concesiones Cree concesiones de permisos individuales. Especifique la ubicación S3 registrada, el alcance del acceso a los datos dentro de la ubicación, la identidad del beneficiario y su nivel de acceso (`READ`, `WRITE` o`READWRITE`) en estas concesiones de permisos.
4	Solicitar acceso a los datos de S3 Cuando los usuarios, las aplicaciones y los Servicios de AWS deseen acceder a los datos de S3, primero realizan una solicitud de acceso. S3 Access Grants determina si la solicitud debe autorizarse. Si existe una concesión correspondiente que autorice el acceso, S3 Access Grants utiliza el rol de IAM de la ubicación registrada asociado a esa concesión para devolver las credenciales temporales al solicitante.
5	Acceder a los datos de S3 Las aplicaciones utilizan las credenciales temporales que suministra S3 Access Grants para acceder a los datos de S3.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

S3 Access Grants e identidades de directorios corporativos

Crear una instancia de S3 Access Grants