Administración del acceso con S3 Access Grants

Para cumplir con el principio de privilegio mínimo, debe definir el acceso granular a sus datos de Amazon S3 en función de las aplicaciones, las personas, los grupos o las unidades organizativas. Según la escala y la complejidad de los patrones de acceso, puede utilizar varios enfoques para lograr un acceso granular a sus datos en Amazon S3.

El enfoque más sencillo para administrar el acceso a números pequeños a medianos de conjuntos de datos en Amazon S3 por parte de las entidades principales de AWS Identity and Access Management (IAM) consiste en definir las políticas de permisos de IAM y las políticas de buckets de S3. Esta estrategia funciona siempre que las políticas necesarias se ajusten a los límites de tamaño de las políticas de buckets de S3 (20 KB) y de las políticas de IAM (5 KB) y al número de entidades principales de IAM permitidas por cuenta.

A medida que escale el número de conjuntos de datos y casos de uso, es posible que necesite más espacio para las políticas. Un enfoque que ofrece mucho más espacio para instrucciones de política consiste en utilizar los puntos de acceso de S3 como puntos de conexión adicionales para los buckets de S3, ya que cada punto de acceso puede tener su propia política. Puede definir patrones de control de acceso bastante granulares, ya que puede tener miles de puntos de acceso por Región de AWS por cuenta, con una política de hasta 20 KB de tamaño para cada punto de acceso. Aunque los puntos de acceso de S3 aumentan la cantidad de espacio disponible para las políticas, requieren un mecanismo para que los clientes descubran el punto de acceso correcto para el conjunto de datos adecuado.

Un tercer enfoque consiste en implementar un patrón de agente de sesiones de IAM, en el que se implementa una lógica de decisión de acceso y se generan dinámicamente credenciales de sesión de IAM a corto plazo para cada sesión de acceso. Aunque el enfoque de agente de sesiones de IAM admite patrones de permisos dinámicos arbitrarios y se escala de forma eficaz, es necesario desarrollar la lógica del patrón de acceso.

En lugar de usar estos enfoques, puede utilizar S3 Access Grants para administrar el acceso a sus datos de Amazon S3. S3 Access Grants proporciona un modelo simplificado para definir los permisos de acceso a los datos en Amazon S3 por prefijo, bucket u objeto. Además, puede utilizar S3 Access Grants para conceder acceso tanto a las entidades principales de IAM como directamente a los usuarios o grupos de su directorio corporativo.

Por lo general, los permisos para los datos de Amazon S3 se definen asignando usuarios y grupos a conjuntos de datos. Puede usar S3 Access Grants para definir las asignaciones de acceso directo de los prefijos de S3 a los usuarios y roles dentro de los buckets y objetos de Amazon S3. Con el esquema de acceso simplificado de S3 Access Grants, puede conceder acceso de solo lectura, de solo escritura o de lectura y escritura por prefijo de S3 tanto a las entidades principales de IAM como directamente a los usuarios o grupos de un directorio corporativo. Con estas funciones de S3 Access Grants, las aplicaciones pueden solicitar datos de Amazon S3 en nombre del usuario autenticado actual de la aplicación.

Al integrar S3 Access Grants con la característica de propagación de identidad de confianza de AWS IAM Identity Center, sus aplicaciones pueden realizar solicitudes a Servicios de AWS (incluido S3 Access Grants) directamente en nombre de un usuario autenticado del directorio corporativo. Ya no es necesario que sus aplicaciones asignen primero al usuario a una entidad principal de IAM. Además, puesto que las identidades de los usuarios finales se propagan hasta Amazon S3, se simplifica la auditoría de qué usuario ha accedido a qué objeto de S3. Ya no es necesario reconstruir la relación entre los distintos usuarios y las sesiones de IAM. Cuando utiliza S3 Access Grants con la propagación de identidad de confianza del Centro de identidades de IAM, cada evento de datos de AWS CloudTrail de Amazon S3 contiene una referencia directa al usuario final en cuyo nombre se accedió a los datos.

Consulte los siguientes temas para obtener más información acerca de las S3 Access Grants.