# Administración del acceso a conjuntos de datos compartidos con puntos de acceso
Los puntos de acceso de Amazon S3 facilitan el acceso a datos para cualquier servicio de AWS o aplicación de cliente que almacena datos en S3. Los puntos de acceso son puntos de conexión de red con nombre adjuntos a un origen de datos, como un bucket, un volumen de Amazon FSx para NetApp ONTAP o un volumen de Amazon FSx para OpenZFS. Para obtener información sobre cómo trabajar con buckets, consulte [Información general de los buckets de uso general](UsingBucket.md). Para obtener información sobre cómo trabajar con FSx para NetApp ONTAP, consulte [Qué es Amazon FSx para NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html) en la *Guía del usuario de FSx para ONTAP*. Para obtener información sobre cómo trabajar con FSx para OpenZFS, consulte [Qué es Amazon FSx para OpenZFS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/what-is-fsx.html) en la *Guía del usuario de FSx para OpenZFS*.
Puede usar los puntos de acceso para realizar operaciones de objetos de S3, como `GetObject` y `PutObject`. Cada punto de acceso tiene permisos y controles de red distintos que S3 aplica a cualquier solicitud que se realice a través de ese punto de acceso. Cada punto de conexión aplica una política de punto de acceso personalizada que le permite controlar el uso por recurso, usuario u otras condiciones. Si el punto de acceso está adjunto a un bucket, la política de punto de acceso funciona en conjunción con la política de bucket subyacente. Puede configurar cualquier punto de acceso para que acepte solo las solicitudes procedentes de una nube privada virtual (VPC) con el fin de restringir el acceso a los datos de Amazon S3 a una red privada. También puede configurar los parámetros de bloqueo de acceso público para cada punto de acceso.
**nota**
Solo se pueden utilizar puntos de acceso para realizar operaciones con objetos. No puede utilizar puntos de acceso para realizar otras operaciones de Amazon S3, como eliminar buckets o crear configuraciones de replicación de S3. Para obtener una lista completa de las operaciones de S3 que admiten puntos de acceso, consulte [Compatibilidad con puntos de acceso](access-points-service-api-support.md).
En los temas de esta sección se explica cómo trabajar con puntos de acceso de Amazon S3. Para obtener información sobre el uso de puntos de acceso con buckets de directorio, consulte [Administración del acceso a conjuntos de datos compartidos en buckets de directorio con puntos de acceso](access-points-directory-buckets.md).
**Topics**
+ [
# Reglas de nomenclatura, restricciones y limitaciones de los puntos de acceso
](access-points-restrictions-limitations-naming-rules.md)
+ [
# Referencia a puntos de acceso con ARN, alias de punto de acceso o URI de tipo de alojamiento virtual
](access-points-naming.md)
+ [
# Compatibilidad con puntos de acceso
](access-points-service-api-support.md)
+ [
# Configurar las políticas de IAM para el uso de puntos de acceso
](access-points-policies.md)
+ [
# Monitorización y registro de puntos de acceso
](access-points-monitoring-logging.md)
+ [
# Creación de un punto de acceso
](creating-access-points.md)
+ [
# Administración de los puntos de acceso de Amazon S3 para buckets de propósito general
](access-points-manage.md)
+ [
# Uso de los puntos de acceso de Amazon S3 para buckets de propósito general
](using-access-points.md)
+ [
# Uso de etiquetas con puntos de acceso de S3 para buckets de uso general
](access-points-tagging.md)
# Reglas de nomenclatura, restricciones y limitaciones de los puntos de acceso
Los puntos de acceso son puntos de conexión de red con nombre adjuntos a un bucket o un volumen de un sistema de archivos de Amazon FSx que simplifican la administración de datos. Cuando crea un punto de acceso, elige un nombre y la Región de AWS donde se creará. En los siguientes temas se proporciona información sobre las reglas de nomenclatura, restricciones y limitaciones de los puntos de acceso.
**Topics**
+ [
## Reglas de nomenclatura para los puntos de acceso
](#access-points-names)
+ [
## Restricciones y limitaciones de los puntos de acceso
](#access-points-restrictions-limitations)
+ [
## Restricciones y limitaciones de los puntos de acceso adjuntos a un volumen de un sistema de archivos de Amazon FSx
](#access-points-restrictions-limitations-fsx)
## Reglas de nomenclatura para los puntos de acceso
Cuando crea un punto de acceso, elige su nombre y la Región de AWS donde se creará. A diferencia de los buckets de uso general, los nombres de los puntos de acceso no tienen que ser únicos en todas las Cuentas de AWS o Regiones de AWS. La misma Cuenta de AWS puede crear puntos de acceso con el mismo nombre en diferentes Regiones de AWS o dos Cuentas de AWS diferentes pueden utilizar el mismo nombre de punto de acceso. No obstante, dentro de una sola Región de AWS una Cuenta de AWS no puede tener dos puntos de acceso con el mismo nombre.
**nota**
Si decide publicar el nombre del punto de acceso, evite incluir información confidencial en el nombre del punto de acceso. Los nombres de los puntos de acceso se publican en una base de datos de acceso público conocida como sistema de nombres de dominio (DNS).
Los nombres de los puntos de acceso deben ser compatibles con DNS y cumplir las siguientes condiciones:
+ Deben ser únicos para cada Cuenta de AWS y Región de AWS
+ Debe comenzar con un número o una letra minúscula.
+ Deben tener entre 3 y 50 caracteres de longitud.
+ No puede comenzar ni terminar con un guion (`-`)
+ No pueden contener guiones bajos (`_`), letras mayúsculas, espacios ni puntos (`.`)
+ No puede terminar con el sufijo `-s3alias` o `-ext-s3alias`. Estos sufijos están reservados para nombres de alias de punto de acceso. Para obtener más información, consulte [Alias de punto de acceso](access-points-naming.md#access-points-alias).
## Restricciones y limitaciones de los puntos de acceso
Los umbrales de error de Amazon S3 tienen en cuenta las siguientes restricciones y limitaciones:
+ Cada punto de acceso está asociado exactamente a un bucket o un volumen de FSx para OpenZFS. Debe especificarlo al crear el punto de acceso. Después de crear un punto de acceso, no puede asociarlo a un bucket diferente o volumen de FSx para OpenZFS. Sin embargo, puede eliminar un punto de acceso y, a continuación, crear otro con el mismo nombre.
+ Después de crear un punto de acceso, no puede cambiar su configuración de nube privada virtual (VPC).
+ Las políticas de punto de acceso tienen un límite de tamaño de 20 KB.
+ Puede crear un máximo de 10 000 puntos de acceso por Cuenta de AWS y Región de AWS. Si necesita más de 10 000 puntos de acceso para una sola cuenta en una sola región, puede solicitar un aumento de la cuota de servicio. Para obtener más información sobre las cuotas de servicio y solicitar un aumento, consulte [Cuotas de servicio de AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) en la *Referencia general de AWS*.
+ No puede usar un punto de acceso como destino para la replicación de S3. Para obtener más información acerca de la replicación, consulte [Replicación de objetos dentro de regiones y entre regiones](replication.md).
+ No puede usar los alias de los puntos de acceso S3 como origen o destino para las operaciones de **Mover** en la consola de Amazon S3.
+ Puede abordar los puntos de acceso solo mediante URL de tipo de host virtual. Para obtener más información acerca del direccionamiento de tipo de host virtual, consulte [Acceso a un bucket de uso general de Amazon S3](access-bucket-intro.md).
+ Las operaciones de la API que controlan la funcionalidad de los puntos de acceso (por ejemplo, `PutAccessPoint` y `GetAccessPointPolicy`) no admiten llamadas entre cuentas.
+ Debe usar AWS Signature Version 4 cuando realice solicitudes a un punto de acceso mediante las API de REST. Para obtener más información sobre las solicitudes de autenticación, consulte [Autenticación de solicitudes (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) en la *Referencia de la API de Amazon Simple Storage Service*.
+ Los puntos de acceso solo admiten solicitudes a través de HTTPS. Amazon S3 responderá automáticamente con una redirección HTTP a cualquier solicitud realizada a través de HTTP, para actualizar la solicitud a HTTPS.
+ Los puntos de acceso no admiten el acceso anónimo.
+ Después de crear un punto de acceso, no puede cambiar su configuración de bloqueo de acceso público.
+ Los puntos de acceso entre cuentas no conceden acceso a los datos hasta que el propietario del bucket le conceda los permisos. El propietario del bucket siempre retiene el control máximo sobre los datos y debe actualizar la política del bucket para autorizar las solicitudes desde el punto de acceso entre cuentas. Para ver un ejemplo de política de bucket, consulte [Configurar las políticas de IAM para el uso de puntos de acceso](access-points-policies.md)
+ En Regiones de AWS donde tenga más de 1000 puntos de acceso, no puede buscar un punto de acceso por nombre en la consola de Amazon S3.
+ Al ver un punto de acceso entre cuentas en la consola de Amazon S3, la columna **Acceso** muestra **Desconocido**. La consola de Amazon S3 no puede determinar si se ha concedido acceso público al bucket y a los objetos asociados. A menos que necesite una configuración pública para un caso de uso específico, le recomendamos que usted y el propietario del bucket bloqueen todo el acceso público al punto de acceso y al bucket. Para obtener más información, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](access-control-block-public-access.md).
## Restricciones y limitaciones de los puntos de acceso adjuntos a un volumen de un sistema de archivos de Amazon FSx
A continuación, se muestran limitaciones específicas al utilizar puntos de acceso adjuntos a un volumen en un sistema de archivos de Amazon FSx:
+ Al crear puntos de acceso, solo puede adjuntar el punto de acceso a un volumen de un sistema de archivos de Amazon FSx de su propiedad. No puede adjuntarlo a un volumen que sea propiedad de otra Cuenta de AWS.
+ No puede usar la API `CreateAccessPoint` al crear y adjuntar un punto de acceso a un volumen en un sistema de archivos de Amazon FSx. Debe utilizar la API [https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateAndAttachS3AccessPoint.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateAndAttachS3AccessPoint.html).
+ No puede desactivar ninguna configuración de bloqueo de acceso público al crear o utilizar un punto de acceso adjunto a un volumen en un sistema de archivos de Amazon FSx.
+ No puede mostrar objetos ni utilizar las operaciones de **Copiar** o **Mover** en la consola de S3 con puntos de acceso conectados a un volumen de un sistema de archivos de Amazon FSx.
+ `CopyObject` es compatible con los puntos de acceso adjuntos a un volumen de FSx para NetApp ONTAP o FSx para OpenZFS solo si el origen y el destino son el mismo punto de acceso. Para obtener más información acerca de la compatibilidad de los puntos de acceso, consulte [Compatibilidad con puntos de acceso](access-points-service-api-support.md).
+ Las cargas multiparte están limitadas a 5 GB.
+ La compatibilidad con el tipo de implementación y la clase de almacenamiento de FSx para OpenZFS varía según la Región de AWS. Para obtener más información, consulte [Disponibilidad según la Región de AWS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/available-aws-regions.html) en la *Guía del usuario de OpenZFS*.
# Referencia a puntos de acceso con ARN, alias de punto de acceso o URI de tipo de alojamiento virtual
Después de crear un punto de acceso, puede utilizar estos puntos de conexión para realizar una serie de operaciones. Al hacer referencia a un punto de acceso, puede utilizar los nombres de recursos de Amazon (ARN), el alias del punto de acceso o el URI de tipo de alojamiento virtual.
**Topics**
+ [
## ARN de punto de acceso
](#access-points-arns)
+ [
## Alias de punto de acceso
](#access-points-alias)
+ [
## URI de tipo de alojamiento virtual
](#accessing-a-bucket-through-s3-access-point)
## ARN de punto de acceso
Los puntos de acceso tienen nombres de recurso de Amazon (ARN). Los ARN de punto de acceso son similares a los ARN de bucket, pero tienen tipos explícitos y tienen codificada la Región de AWS del punto de acceso y el ID de Cuenta de AWS del propietario del punto de acceso. Para obtener más información acerca de los ARN, consulte [Identificar recursos de AWS con nombres de recursos de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) en la *Guía del usuario de IAM*.
Los ARN de punto de acceso utilizan el siguiente formato:
```
arn:aws:s3:region:account-id:accesspoint/resource
```
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test` representa el punto de acceso denominado `test`, de propiedad de la cuenta *`123456789012`* en la región *`us-west-2`*.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/*` representa todos los puntos de acceso en la cuenta *`123456789012`* en la región *`us-west-2`*.
Los ARN de objetos a los que se accede a través de un punto de acceso utilizan el siguiente formato:
```
arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource
```
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/unit-01` representa el objeto *`unit-01`*, al que se accede a través del punto de acceso denominado *`test`*, propiedad de la cuenta *`123456789012`* en la región *`us-west-2`*.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/*` representa todos los objetos para el punto de acceso denominado *`test`*, en la cuenta *`123456789012`* en la región *`us-west-2`*.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/unit-01/finance/*` representa todos los objetos con el prefijo *`unit-01/finance/`* para el punto de acceso denominado *`test`*, en la cuenta *`123456789012`* en la región *`us-west-2`*.
## Alias de punto de acceso
Al crear un punto de acceso, Amazon S3 genera de forma automática un alias que puede utilizar en lugar de un nombre de bucket de Amazon S3 para el acceso a datos. Puede utilizar este alias de punto de acceso en lugar de un nombre de recurso de Amazon (ARN) para operaciones de plano de datos de punto de acceso. Para obtener una lista de las operaciones, consulte [Compatibilidad con puntos de acceso](access-points-service-api-support.md).
Se crea un nombre de alias de punto de acceso en el mismo espacio de nombres que un bucket de Amazon S3. Este nombre de alias se genera de forma automática y no se puede cambiar. Un nombre de alias de punto de acceso cumple con todos los requisitos de un nombre de bucket válido de Amazon S3 y consta de las siguientes partes:
`ACCESS POINT NAME-METADATA-s3alias` (para los puntos de acceso adjuntos a un bucket de Amazon S3)
`ACCESS POINT NAME-METADATA-ext-s3alias` (para los puntos de acceso adjuntos a un origen de datos que no sea un bucket de S3)
**nota**
Los sufijos `-s3alias` y `-ext-s3alias` están reservados para los nombres de alias de punto de acceso y no se pueden utilizar para los nombres de punto de acceso o bucket. Para obtener más información acerca de las reglas de nomenclatura del bucket de Amazon S3, consulte [Reglas de nomenclatura de buckets de uso general](bucketnamingrules.md).
### Casos de uso y limitaciones de alias de puntos de acceso
Al adoptar puntos de acceso, puede utilizar nombres de alias de puntos de acceso sin tener que hacer cambios exhaustivos en el código.
Al crear un punto de acceso, Amazon S3 genera de forma automática un nombre de alias de punto de acceso, como se muestra en el siguiente ejemplo. Para ejecutar este comando, sustituya los `user input placeholders` con su propia información.
```
aws s3control create-access-point --bucket amzn-s3-demo-bucket1 --name my-access-point --account-id 111122223333
{
"AccessPointArn": "arn:aws:s3:region:111122223333:accesspoint/my-access-point",
"Alias": "my-access-point-aqfqprnstn7aefdfbarligizwgyfouse1a-s3alias"
}
```
Puede utilizar este nombre de alias de punto de acceso en lugar de un nombre de bucket de Amazon S3 en cualquier operación de plano de datos. Para obtener una lista de las operaciones, consulte [Compatibilidad con puntos de acceso](access-points-service-api-support.md).
El siguiente ejemplo de AWS CLI del comando `get-object` utiliza el alias del punto de acceso del bucket para devolver información sobre el objeto especificado. Para ejecutar este comando, sustituya los `user input placeholders` con su propia información.
```
aws s3api get-object --bucket my-access-point-aqfqprnstn7aefdfbarligizwgyfouse1a-s3alias --key dir/my_data.rtf my_data.rtf
{
"AcceptRanges": "bytes",
"LastModified": "2020-01-08T22:16:28+00:00",
"ContentLength": 910,
"ETag": "\"00751974dc146b76404bb7290f8f51bb\"",
"VersionId": "null",
"ContentType": "text/rtf",
"Metadata": {}
}
```
#### Limitaciones de alias de punto de acceso
+ Los clientes no pueden configurar los alias.
+ Los alias no se pueden eliminar, modificar ni deshabillitar en un punto de acceso.
+ Puede utilizar este nombre de alias de punto de acceso en lugar de un nombre de bucket de Amazon S3 en algunas operaciones de plano de datos. Para obtener una lista de las operaciones, consulte [Compatibilidad de los puntos de acceso con las operaciones de S3](access-points-service-api-support.md#access-points-operations-support).
+ No puede utilizar un nombre de alias de punto de acceso para operaciones de plano de control de Amazon S3. Para obtener una lista de operaciones de plano de control de Amazon S3, consulte [Control de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_AWS_S3_Control.html) en la *referencia de la API de Amazon Simple Storage Service*.
+ No puede usar los alias de los puntos de acceso de S3 como origen o destino para las operaciones de **Mover** en la consola de Amazon S3.
+ Los alias no se pueden usar en las políticas de AWS Identity and Access Management (IAM).
+ Los alias no se pueden usar como destino de registro para los registros de acceso al servidor de S3.
+ Los alias no se pueden usar como destino de registro para los registros de AWS CloudTrail.
+ Amazon SageMaker AI GroundTruth no admite los alias de punto de acceso.
## URI de tipo de alojamiento virtual
Los puntos de acceso solo admiten el direccionamiento de tipo host virtual. En un URI de tipo de alojamiento virtual, el nombre del punto de acceso, la Cuenta de AWS y la Región de AWS forman parte del nombre del dominio en la URL. Para obtener más información sobre el alojamiento virtual, consulte [Alojamiento virtual de buckets de uso general](VirtualHosting.md).
Los URI de tipo de alojamiento virtual para puntos de acceso utilizan el siguiente formato:
```
https://access-point-name-account-id.s3-accesspoint.region.amazonaws.com
```
**nota**
Si el nombre del punto de acceso incluye caracteres de guion (-), incluya los guiones en la URL e inserte otro guion antes del ID de cuenta. Por ejemplo, para utilizar un punto de acceso denominado *`finance-docs`* propiedad de la cuenta *`123456789012`* en la región *`us-west-2`*, la dirección URL adecuada sería `https://finance-docs-123456789012.s3-accesspoint.us-west-2.amazonaws.com`.
Los puntos de acceso de S3 no admiten el acceso a través de HTTP. Los puntos de acceso solo admiten el acceso seguro a través de HTTPS.
# Compatibilidad con puntos de acceso
Puede utilizar puntos de acceso para acceder a objetos mediante el siguiente subconjunto de API de Amazon S3. Todas las operaciones enumeradas a continuación aceptan ARN de punto de acceso o alias de punto de acceso.
Para ver ejemplos de uso de puntos de acceso para realizar operaciones en objetos, consulte [Uso de los puntos de acceso de Amazon S3 para buckets de propósito general](using-access-points.md).
## Compatibilidad de los puntos de acceso con las operaciones de S3
La siguiente tabla es una lista parcial de las operaciones de Amazon S3 y si son compatibles con los puntos de acceso. Todas las operaciones que se indican a continuación son compatibles con los puntos de acceso que utilizan un bucket de S3 como origen de datos, mientras que solo algunas operaciones son compatibles con los puntos de acceso que utilizan un volumen de FSx para ONTAP o FSx para OpenZFS como origen de datos.
Para obtener más información, consulte compatibilidad del punto de acceso en la [https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html) o la [https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-object-api-support.html](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-object-api-support.html).
| Operación de S3 | Punto de acceso adjunto a un bucket de S3 | Punto de acceso adjunto a un volumen de FSx para OpenZFS |
| --- | --- | --- |
| `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | Soportado | Soportado |
| `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | Soportado | Compatible |
| `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)` (solo copias de la misma región) | Compatible | Compatible, si el origen y el destino son el mismo punto de acceso |
| `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | Soportado | Soportado |
| `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | Soportado | Soportado |
| `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | Soportado | Soportado |
| `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | Soportado | Soportado |
| `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | Compatible | No admitido |
| `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | Compatible | No admitido |
| `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | Soportado | Soportado |
| `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | Compatible | No admitido |
| `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | Compatible | No admitido |
| `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | Soportado | Soportado |
| `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | Compatible | No admitido |
| `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | Soportado | Soportado |
| `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | Compatible | No admitido |
| `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | Compatible | No admitido |
| `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | Soportado | Soportado |
| `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | Soportado | Soportado |
| `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | Soportado | Soportado |
| `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | Soportado | Soportado |
| `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | Soportado | Soportado |
| `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | Soportado | Soportado |
| `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | Compatible | No admitido |
| `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | Soportado | Soportado |
| `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | Soportado | Soportado |
| `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | Soportado | Soportado |
| `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | Compatible | No admitido |
| `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | Compatible | No admitido |
| `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | Compatible | No admitido |
| `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | Soportado | Soportado |
| `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | Compatible | No admitido |
| `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | Soportado | Compatible |
| `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)` (solo copias de la misma región) | Compatible | Compatible, si el origen y el destino son el mismo punto de acceso |
# Configurar las políticas de IAM para el uso de puntos de acceso
Los puntos de acceso de Amazon S3 admiten políticas de recursos de AWS Identity and Access Management (IAM) que permiten controlar el uso del punto de acceso en función del recurso, del usuario o de otras condiciones. Para que una aplicación o un usuario puedan acceder a objetos a través de un punto de acceso, el punto de acceso y el bucket subyacente o el sistema de archivo de Amazon FSx deben permitir la solicitud.
**importante**
Las restricciones que se incluyen en una política de punto de acceso solo se aplican a las solicitudes realizadas a través de ese punto de acceso. Adjuntar un punto de acceso a un bucket no cambia el comportamiento del recurso subyacente. Todas las operaciones existentes respecto al bucket no realizadas a través del punto de acceso continuarán funcionando como antes.
Cuando utilice políticas de recurso de IAM, asegúrese de resolver advertencias de seguridad, errores, advertencias generales y sugerencias de AWS Identity and Access Management Access Analyzer antes de guardar la política. IAM Access Analyzer ejecuta verificaciones de política para validarla contra la [Gramática de la política](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) de IAM y las [prácticas recomendadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html). Estas verificaciones generan hallazgos y proporcionan recomendaciones para ayudarle a crear políticas funcionales y que se ajustan a las prácticas recomendadas de seguridad.
Para obtener más información sobre la validación de políticas utilizando IAM Access Analyzer, consulte [Validación de políticas de IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*. Para ver una lista de advertencias, errores y sugerencias que devuelve IAM Access Analyzer, consulte [Referencia de verificación de políticas de IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).
## Ejemplos de políticas de puntos de acceso
En los ejemplos siguientes se muestra cómo crear políticas de IAM para controlar las solicitudes realizadas a través de un punto de acceso.
**nota**
Los permisos concedidos en una política de puntos de acceso se aplican solo si el bucket subyacente también permite el mismo acceso. Puede lograr esto de dos maneras:
**(Recomendado)** Delegue el control de acceso del bucket al punto de acceso como se describe en [Delegar el control de acceso a los puntos de acceso](#access-points-delegating-control).
Agregue los mismos permisos contenidos en la política de puntos de acceso a la política del bucket subyacente. En el ejemplo 1 de política de puntos de acceso se muestra cómo modificar la política de bucket subyacente para permitir el acceso necesario.
**Example 1: Conceder política de punto de acceso**
La siguiente política de punto de acceso concede al usuario de IAM `Jane` de la cuenta `123456789012` permisos para objetos `GET` y `PUT` con el prefijo `Jane/` a través del punto de acceso *`my-access-point`* de la cuenta *`123456789012`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Jane"
},
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point/object/Jane/*"
}]
}
```
**nota**
Para que la política de punto de acceso conceda efectivamente acceso a *`Jane`*, el bucket subyacente también debe permitir el mismo acceso a *`Jane`*. Puede delegar el control de acceso desde el bucket al punto de acceso como se describe en [Delegar el control de acceso a los puntos de acceso](#access-points-delegating-control). O puede agregar la siguiente política al bucket subyacente para conceder los permisos necesarios a Jane. Tenga en cuenta que la entrada `Resource` difiere entre las políticas de punto de acceso y de bucket.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Jane"
},
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/Jane/*"
}]
}
```
**Example 2: Política de punto de acceso con condición de etiqueta**
La siguiente política de punto de acceso concede al usuario de IAM *`Mateo`* de la cuenta *`123456789012`* permisos para objetos `GET` a través del punto de acceso *`my-access-point`* de la cuenta *`123456789012`* que tengan la clave de etiqueta *`data`* establecida con un valor de *`finance`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Mateo"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point/object/*",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/data": "finance"
}
}
}]
}
```
**Example 3: Política de puntos de acceso que permite el listado de buckets**
La siguiente política de punto de acceso concede al usuario de IAM `Arnav` de la cuenta *`123456789012`* permiso para consultar los objetos contenidos en el punto de acceso subyacente del bucket *`my-access-point`* de la cuenta *`123456789012`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Arnav"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point"
}]
}
```
**Example 4: Política de control de servicios**
La política de control de servicio siguiente requiere que todos los puntos de acceso nuevos se creen con el origen de red de nube privada virtual (VPC). Con esta política en vigor, los usuarios de la organización no pueden crear nuevos puntos de acceso a los que se pueda acceder desde Internet.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3:CreateAccessPoint",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}]
}
```
**Example 5: Política de bucket para limitar las operaciones de S3 a los orígenes de red VPC**
La siguiente política de bucket limita el acceso a todas las operaciones de objetos de S3 para el bucket `amzn-s3-demo-bucket` a los puntos de acceso cuyo origen de red sea VPC.
Antes de utilizar una instrucción como la que se muestra en este ejemplo, asegúrese de que no necesita usar características que no sean compatibles con los puntos de acceso, como la replicación entre regiones.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:AbortMultipartUpload",
"s3:BypassGovernanceRetention",
"s3:DeleteObject",
"s3:DeleteObjectTagging",
"s3:DeleteObjectVersion",
"s3:DeleteObjectVersionTagging",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectLegalHold",
"s3:GetObjectRetention",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention",
"s3:PutObjectTagging",
"s3:PutObjectVersionAcl",
"s3:PutObjectVersionTagging",
"s3:RestoreObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}
]
}
```
## Claves de condición
Los puntos de acceso de S3 tienen claves de condición que se pueden utilizar en las políticas de IAM para controlar el acceso a los recursos. Las siguientes claves de condición representan solo una parte de una política de IAM. Para ver ejemplos de política completos, consulte [Ejemplos de políticas de puntos de acceso](#access-points-policy-examples), [Delegar el control de acceso a los puntos de acceso](#access-points-delegating-control) y [Concesión de permisos para puntos de acceso entre cuentas](#access-points-cross-account).
**`s3:DataAccessPointArn`**
Este ejemplo muestra una cadena que puede usar para obtener coincidencias en el ARN de un punto de acceso. En el siguiente ejemplo, se encuentran todas las concordancias con puntos de acceso de la Cuenta de AWS *`123456789012`* de la región *`us-west-2`*:
```
"Condition" : {
"StringLike": {
"s3:DataAccessPointArn": "arn:aws:s3:us-west-2:123456789012:accesspoint/*"
}
}
```
**`s3:DataAccessPointAccount`**
Este ejemplo muestra un operador de cadena que puede utilizar para hallar coincidencias del ID de cuenta del propietario de un punto de acceso. En el siguiente ejemplo, se encuentran todas las concordancias de puntos de acceso que son propiedad de la Cuenta de AWS *`123456789012`*.
```
"Condition" : {
"StringEquals": {
"s3:DataAccessPointAccount": "123456789012"
}
}
```
**`s3:AccessPointNetworkOrigin`**
En este ejemplo, se muestra un operador de cadena que puede utilizar para hallar coincidencias del origen de red, ya sea `Internet` o `VPC`. En el ejemplo siguiente, solo se hallarán las coincidencias de los puntos de acceso cuyo origen sea VPC.
```
"Condition" : {
"StringEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
```
Para obtener más información sobre el uso de claves de condición con Amazon S3, consulte [Actions, resources, and condition keys for Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) en la *Referencia de autorización de servicios*.
Para obtener más información sobre los permisos para las operaciones de la API de S3 por tipos de recursos de S3, consulte [Permisos necesarios para las operaciones de la API de Amazon S3](using-with-s3-policy-actions.md).
## Delegar el control de acceso a los puntos de acceso
Puede delegar el control de acceso de un bucket en los puntos de acceso del bucket. La política de bucket de ejemplo siguiente permite el acceso completo a todos los puntos de acceso de la cuenta del propietario del bucket. Por lo tanto, todo el acceso a este bucket está controlado por las políticas asociadas a sus puntos de acceso. Recomendamos configurar los buckets de esta manera para todos los casos de uso que no requieran acceso directo al bucket.
**Example 6: Política de bucket que delega el control de acceso a los puntos de acceso**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "*",
"Resource" : [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "111122223333" }
}
}]
}
```
## Concesión de permisos para puntos de acceso entre cuentas
Para crear un punto de acceso a un bucket que es propiedad de otra cuenta, primero debe crear el punto de acceso especificando el nombre del bucket y el ID del propietario de la cuenta. A continuación, el propietario del bucket debe actualizar la política del bucket para autorizar las solicitudes desde el punto de acceso. La creación de un punto de acceso es similar a crear un CNAME de DNS, ya que el punto de acceso no proporciona acceso al contenido del bucket. Todo el acceso al bucket está controlado por la política de bucket. La siguiente política de bucket de ejemplo permite solicitudes `GET` y `LIST` en el bucket desde un punto de acceso que es propiedad de una Cuenta de AWS de confianza.
Reemplace *ARN del bucket* por el ARN del bucket.
**Example 7: Política de bucket que delega permisos en otra Cuenta de AWS**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : ["s3:GetObject","s3:ListBucket"],
"Resource" : ["arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "Access point owner's account ID" }
}
}]
}
```
Los puntos de acceso entre cuentas solo están disponibles para los puntos de acceso conectados a buckets de S3. No puede adjuntar un punto de acceso a un volumen en un sistema de archivos de Amazon FSx que sea propiedad de otra Cuenta de AWS.
# Monitorización y registro de puntos de acceso
Amazon S3 registra las solicitudes realizadas a través de los puntos de acceso y las solicitudes realizadas a las operaciones de la API que administran puntos de acceso, como `CreateAccessPoint` y `GetAccessPointPolicy`. Para monitorear y gestionar patrones de uso, también puede configurar las métricas de solicitud de Amazon CloudWatch Logs para los puntos de acceso.
**Topics**
+ [
## Métricas de solicitudes de CloudWatch
](#request-metrics-access-points)
+ [
## AWS CloudTrail registra las solicitudes realizadas a través de puntos de acceso
](#logging-access-points)
## Métricas de solicitudes de CloudWatch
Para comprender y mejorar el rendimiento de las aplicaciones que utilizan puntos de acceso, puede utilizar las métricas de solicitudes de CloudWatch para Amazon S3. Las métricas de solicitudes le permiten monitorear las solicitudes de Amazon S3 para identificar rápidamente los problemas operativos y actuar en consecuencia.
De forma predeterminada, estas métricas están disponibles en el nivel del bucket. Sin embargo, puede definir un filtro para las métricas de solicitudes mediante un prefijo compartido, etiquetas de objeto o un punto de acceso. Al crear un filtro de punto de acceso, la configuración de métricas de solicitudes incluye las solicitudes al punto de acceso que especifique. Puede recibir métricas, establecer alarmas y tener acceso a paneles de para ver las operaciones en tiempo real realizadas a través de este punto de acceso.
Debe incluir métricas de solicitudes configurándolas en la consola o con la API de Amazon S3. Las métricas de solicitudes están disponibles en intervalos de 1 minuto después de un breve periodo de latencia para procesarlas. Las métricas de solicitudes se facturan al mismo precio que las métricas personalizadas de CloudWatch. Para más información, consulte [Precios de Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/).
Para crear una configuración de métricas de solicitudes que filtra por punto de acceso, consulte [Creación de una configuración de métricas que filtra por prefijo, etiqueta de objeto o punto de acceso](metrics-configurations-filter.md).
## AWS CloudTrail registra las solicitudes realizadas a través de puntos de acceso
Puede registrar las solicitudes realizadas a través de los puntos de acceso y las solicitudes realizadas a las API que administran puntos de acceso, tales como `CreateAccessPoint` y `GetAccessPointPolicy,` usando el registro de acceso del servidor y AWS CloudTrail.
Las entradas de registro de CloudTrail para solicitudes realizadas a través de puntos de acceso incluirán el ARN del punto de acceso en la sección `resources` del registro.
Supongamos que tiene la siguiente configuración:
+ Un bucket denominado *`amzn-s3-demo-bucket1`* en la región *`us-west-2`* que contiene un objeto denominado *`my-image.jpg`*
+ Un punto de acceso denominado *`my-bucket-ap`* que está asociado con *`amzn-s3-demo-bucket1`*
+ Un Cuenta de AWS ID de *`123456789012`*
En el ejemplo siguiente muestra la sección `resources` de una entrada de registro de CloudTrail para la configuración anterior:
```
"resources": [
{"type": "AWS::S3::Object",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket1/my-image.jpg"
},
{"accountId": "123456789012",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{"accountId": "123456789012",
"type": "AWS::S3::AccessPoint",
"ARN": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-bucket-ap"
}
]
```
Si utiliza un punto de acceso adjunto a un volumen en un sistema de archivos de Amazon FSx, la sección `resources` de una entrada de registro de CloudTrail tendrá un aspecto diferente. Por ejemplo:
```
"resources": [
{
"accountId": "123456789012",
"type": "AWS::FSx::Volume",
"ARN": "arn:aws:fsx:us-east-1:123456789012:volume/fs-0123456789abcdef9/fsvol-01234567891112223"
}
]
```
Para obtener más información acerca de los registros de acceso al servidor de S3, consulte [Registro de solicitudes con registro de acceso al servidor](ServerLogs.md). Para obtener más información sobre AWS CloudTrail, consulte [¿Qué es AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) en la *Guía del usuario de AWS CloudTrail*.
# Creación de un punto de acceso
Puede crear puntos de acceso de S3 mediante la Consola de administración de AWS, AWS Command Line Interface (AWS CLI), los SDK de AWS o la API de REST de Amazon S3. Los puntos de acceso son puntos de conexión de red con nombre adjuntos a un origen de datos, como un bucket, un volumen de Amazon FSx para ONTAP o un volumen de Amazon FSx para OpenZFS.
De forma predeterminada, puede crear hasta 10 000 puntos de acceso por región para cada una de sus Cuentas de AWS. Si necesita más de 10 000 puntos de acceso para una sola cuenta en una sola región, puede solicitar un aumento de la cuota de servicio. Para obtener más información sobre las cuotas de servicio y solicitar un aumento, consulte [Cuotas de servicio de AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) en la *Referencia general de AWS*.
**Topics**
+ [
## Creación de puntos de acceso con buckets de S3
](#create-access-points)
+ [
## Creación de puntos de acceso con Amazon FSx
](#create-access-points-with-fsx)
+ [
# Crear puntos de acceso restringidos a una nube privada virtual
](access-points-vpc.md)
+ [
# Administración del acceso público a los puntos de acceso para buckets de propósito general
](access-points-bpa-settings.md)
## Creación de puntos de acceso con buckets de S3
Un punto de acceso está asociado con exactamente un bucket de propósito general de Amazon S3. Si desea utilizar un bucket en la Cuenta de AWS, primero debe crear un bucket. Para obtener más información acerca de cómo se crean los buckets, consulte [Creación, configuración y trabajo con buckets de propósito general de Amazon S3](creating-buckets-s3.md).
También puede crear un punto de acceso entre cuentas que esté asociado a un bucket en otra Cuenta de AWS, siempre y cuando conozca el nombre del bucket y el ID de cuenta del propietario del bucket. Sin embargo, la creación de puntos de acceso entre cuentas no le permite acceder a los datos del bucket hasta que el propietario del bucket le conceda los permisos. El propietario del bucket debe conceder acceso al bucket a la cuenta del propietario del punto de acceso (su cuenta) mediante la política de bucket. Para obtener más información, consulte [Concesión de permisos para puntos de acceso entre cuentas](access-points-policies.md#access-points-cross-account).
### Uso de la consola de S3
**Para crear un punto de acceso**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región en la que desea crear un punto de acceso. El punto de acceso debe crearse en la misma región que el bucket asociado.
1. En el panel de navegación, elija **Puntos de acceso**.
1. En la página de **Puntos de acceso**, elija **Crear punto de acceso**.
1. Introduzca el nombre que desee para el punto de acceso en el campo **Nombre del punto de acceso**. Para obtener más información acerca de cómo nombrar los puntos de acceso, consulte [Reglas de nomenclatura para los puntos de acceso](access-points-restrictions-limitations-naming-rules.md#access-points-names).
1. Para **Origen de datos**, especifique el bucket de S3 que desea usar con el punto de acceso.
Para usar un bucket en la cuenta, seleccione **Elegir un bucket de esta cuenta** y escriba o examine los nombres del bucket.
Para usar un bucket de otra Cuenta de AWS, elija **Especificar un bucket de otra cuenta** e introduzca el ID Cuenta de AWS y el nombre del bucket. Si está utilizando un bucket de otra Cuenta de AWS, el propietario del bucket debe actualizar la política del bucket para autorizar las solicitudes del punto de acceso. Para ver una política de bucket de ejemplo, consulte [Concesión de permisos para puntos de acceso entre cuentas](access-points-policies.md#access-points-cross-account).
**nota**
Para obtener información sobre el uso de un volumen de FSx para OpenZFS como origen de datos, consulte [Creación de puntos de acceso con Amazon FSx](#create-access-points-with-fsx).
1. Elija un **Origen de red**, ya sea **Internet** o una **nube privada virtual (VPC)**. Si elige **Nube privada virtual (VPC)**, escriba el identificador **ID de VPC** que desea usar con el punto de acceso.
Para obtener más información acerca de los orígenes de red para los puntos de acceso, consulte [Crear puntos de acceso restringidos a una nube privada virtual](access-points-vpc.md).
1. En **Block Public Access settings for this Access Point (Configuración de bloqueo del acceso público a este punto de acceso)**, seleccione la configuración de bloqueo de acceso público que desee aplicar al punto de acceso. Todas las configuraciones de bloqueo de acceso público están habilitadas de forma predeterminada para los puntos de acceso nuevos. Le recomendamos que deje todas las configuraciones habilitadas a menos que sepa que tiene una necesidad específica de desactivar cualquiera de ellas.
**nota**
Después de crear un punto de acceso, no puede cambiar su configuración de bloqueo de acceso público.
Para obtener más información sobre el uso de Amazon S3 Block Public Access con puntos de acceso, consulte [Administración del acceso público a los puntos de acceso para buckets de propósito general](access-points-bpa-settings.md).
1. (Opcional) En **Access point policy - *optional*** (Política de punto de acceso: opcional), especifique la política de punto de acceso. Antes de guardar la política, asegúrese de resolver las advertencias de seguridad, los errores, las advertencias generales y las sugerencias. Para obtener más información acerca de cómo especificar una política de punto de acceso, consulte [Ejemplos de políticas de puntos de acceso](access-points-policies.md#access-points-policy-examples).
1. Elija **Create access point (Crear punto de acceso)**.
### Uso de AWS CLI
El comando de ejemplo siguiente crea un punto de acceso denominado *`example-ap`* para el bucket *`amzn-s3-demo-bucket`* de la cuenta *`111122223333`*. Para crear el punto de acceso, debe enviar una solicitud a Amazon S3 que especifique lo siguiente:
+ El nombre del punto de acceso. Para obtener información sobre las reglas de nomenclatura, consulte [Reglas de nomenclatura para los puntos de acceso](access-points-restrictions-limitations-naming-rules.md#access-points-names).
+ El nombre del bucket al que desea asociar el punto de acceso.
+ El ID de la cuenta para la Cuenta de AWS propietaria del punto de acceso.
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
Cuando cree un punto de acceso mediante un bucket en una Cuenta de AWS diferente, incluya el parámetro `--bucket-account-id`. El comando de ejemplo siguiente crea un punto de acceso en la Cuenta de AWS *`111122223333`*, con el bucket *`amzn-s3-demo-bucket2`*, que está en la Cuenta de AWS *`444455556666`*.
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket --bucket-account-id 444455556666
```
### Uso de la API de REST
Puede utilizar la API de REST para crear un punto de acceso. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html) en la *Referencia de la API de Amazon Simple Storage Service*.
## Creación de puntos de acceso con Amazon FSx
Puede crear y adjuntar un punto de acceso a un volumen de FSx para OpenZFS mediante la consola de Amazon FSx, la AWS CLI o la API. Una vez adjuntado, puede usar las API de objetos de S3 para acceder a los datos de los archivos. Los datos seguirán residiendo en el sistema de archivos de Amazon FSx y seguirán siendo directamente accesibles para las cargas de trabajo existentes. Seguirá gestionando su almacenamiento con todas las funciones de gestión del almacenamiento de FSx para OpenZFS, incluidas las copias de seguridad, las instantáneas, las cuotas de usuarios y grupos y la compresión.
Para obtener instrucciones sobre cómo crear un punto de acceso y adjuntarlo a un volumen de FSx para OpenZFS, consulte [Creating an access point](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) en la *Guía del usuario de FSx para OpenZFS*.
# Crear puntos de acceso restringidos a una nube privada virtual
Al crear un punto de acceso, tiene la opción de elegir hacer que sea accesible desde Internet o especificar que todas las solicitudes realizadas a través de ese punto de acceso deban originarse en una nube privada virtual (VPC) específica. Se dice que el origen de red de un punto de acceso que es accesible desde Internet es `Internet`. Se puede usar desde cualquier lugar de Internet, con sujeción a las restricciones de acceso en vigor para el punto de acceso, el origen de datos subyacente y los recursos relacionados, como los objetos solicitados. El origen de un punto de acceso al que solo se puede acceder desde una VPC es `VPC`. En este caso, Amazon S3 rechazará todas las solicitudes realizadas al punto de acceso cuando el origen de estas no sea esa misma VPC.
**importante**
Solo se puede especificar el origen de red de un punto de acceso en el momento de crearlo. Una vez creado el punto de acceso, ya no puede cambiar su origen de red.
Para restringir un punto de acceso de modo que sea solo VPC, incluya el parámetro `VpcConfiguration` con la solicitud de creación del punto de acceso. En el parámetro `VpcConfiguration`, especifique el ID de VPC que desee que el punto de acceso pueda utilizar. Si se realiza una solicitud a través del punto de acceso, la solicitud debe originarse en la VPC; de lo contrario, Amazon S3 la rechazará.
Puede recuperar el origen de red de un punto de acceso mediante la AWS CLI, los AWS SDK o las API de REST. Si para un punto de acceso se ha especificado una configuración de VPC, su origen de red es `VPC`. De lo contrario, el origen de red del punto de acceso es `Internet`.
## Ejemplo: Creación y restricción de un punto de acceso a un ID de la VPC
En el ejemplo siguiente se crea un punto de acceso denominado `example-vpc-ap` para el bucket `amzn-s3-demo-bucket` en la cuenta `123456789012`, que permite el acceso únicamente desde la VPC `vpc-1a2b3c`. A continuación, el ejemplo comprueba que el origen de red del nuevo punto de acceso sea `VPC`.
------
#### [ AWS CLI ]
```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
```
```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012
{
"Name": "example-vpc-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "VPC",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
------
Para utilizar un punto de acceso con una VPC, debe modificar la política de acceso para el punto de conexión de la VPC. Los puntos de enlace de la VPC permiten que el tráfico fluya desde su VPC hasta Amazon S3. Tienen políticas de control de acceso que controlan cómo pueden interactuar con Amazon S3 los recursos dentro de la VPC. Las solicitudes de la VPC a Amazon S3 solo se realizan correctamente a través de un punto de conexión de VPC si la política de punto de conexión de VPC concede acceso tanto al punto de conexión como al bucket subyacente.
**nota**
Para que los recursos estén accesibles solo dentro de una VPC, asegúrese de crear una [zona alojada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) para el punto de conexión de VPC. Para usar una zona alojada privada, [modifique la configuración de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating), de modo que los [atributos de red de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` y `enableDnsSupport` estén configurados para `true`.
En el siguiente ejemplo de una instrucción de política, se configura un punto de conexión de la VPC para permitir llamadas a `GetObject` para un bucket denominado `awsexamplebucket1` y un punto de acceso denominado `example-vpc-ap`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*",
"arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**nota**
La declaración `"Resource"` de este ejemplo utiliza un nombre de recurso de Amazon (ARN) para especificar el punto de acceso. Para obtener más información acerca de los ARN de puntos de acceso, consulte [Referencia a puntos de acceso con ARN, alias de punto de acceso o URI de tipo de alojamiento virtual](access-points-naming.md).
Para obtener más información acerca de las políticas de punto de conexión de VPC, consulte [Utilización de políticas de punto de conexión para Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) en la *Guía del usuario de VPC*.
Para ver un tutorial sobre cómo crear puntos de acceso con puntos de conexión de VPC, consulte [Administración del acceso a Amazon S3 con puntos de conexión de VPC y puntos de acceso](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/).
## Ejemplo: Creación y restricción de un punto de acceso adjunto a un volumen de FSx para OpenZFS a un ID de VPC
Puede crear un punto de acceso adjunto a un volumen de FSx para OpenZFS mediante la consola de Amazon FSx, la AWS CLI o la API. Una vez adjunto, puede usar las API de objetos de S3 para acceder a los datos de los archivos desde una VPC específica.
Para obtener instrucciones sobre cómo crear y restringir un punto de acceso adjunto a un volumen de FSx para OpenZFS, consulte [Creación de puntos de acceso restringidos a una nube privada virtual (VPC)](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) en la *Guía del usuario de FSx para OpenZFS*.
## Ejemplo: Creación y restricción de un punto de acceso adjunto a un volumen de FSx para ONTAP a un ID de VPC
Puede crear un punto de acceso adjunto a un volumen de FSx para ONTAP mediante la consola de Amazon FSx, la AWS CLI o la API. Una vez adjunto, puede usar las API de objetos de S3 para acceder a los datos de los archivos desde una VPC específica.
Para obtener instrucciones sobre cómo crear y restringir un punto de acceso asociado a un volumen de FSx para ONTAP, consulte la [https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html).
# Administración del acceso público a los puntos de acceso para buckets de propósito general
Los puntos de acceso de Amazon S3 admiten configuraciones de *Bloqueo de acceso público* independientes para cada punto de acceso. Al crear un punto de acceso, puede especificar la configuración del bloqueo de acceso público aplicable a ese punto de acceso. Para cualquier solicitud realizada a través de un punto de acceso, Amazon S3 evalúa la configuración de bloqueo de acceso público para ese punto de acceso, el bucket subyacente y la cuenta propietaria del bucket. Si alguna de estas configuraciones indica que la solicitud debe ser bloqueada, Amazon S3 rechaza la solicitud.
Para obtener más información acerca de la característica S3 Block Public Access, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](access-control-block-public-access.md).
**importante**
Todas las configuraciones de bloqueo de acceso público están habilitadas de forma predeterminada para los puntos de acceso. Debe desactivar explícitamente cualquier configuración que no desee durante la creación del punto de acceso.
No puede desactivar ninguna configuración de bloqueo de acceso público al crear o utilizar un punto de acceso adjunto a un sistema de archivos de Amazon FSx.
Después de crear un punto de acceso, no puede cambiar su configuración de bloqueo de acceso público.
**Example**
***Ejemplo: crear un punto de acceso con una configuración de bloqueo de acceso público personalizada***
En este ejemplo se crea un punto de acceso denominado `example-ap` para el bucket `amzn-s3-demo-bucket` en la cuenta `123456789012` con una configuración de bloqueo de acceso público no predeterminada. A continuación, en el ejemplo se recupera la configuración del nuevo punto de acceso para comprobar su configuración de bloqueo de acceso público.
```
aws s3control create-access-point --name example-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket--public-access-block-configuration BlockPublicAcls=false,IgnorePublicAcls=false,BlockPublicPolicy=true,RestrictPublicBuckets=true
```
```
aws s3control get-access-point --name example-ap --account-id 123456789012
{
"Name": "example-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"IgnorePublicAcls": false,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
# Administración de los puntos de acceso de Amazon S3 para buckets de propósito general
En esta sección se explica cómo administrar los puntos de acceso de Amazon S3 para buckets de propósito general mediante la Consola de administración de AWS, la AWS Command Line Interface o la API de REST. Para obtener información sobre la administración de los puntos de acceso adjuntos a un volumen de FSx para OpenZFS, consulte [Managing your Amazon S3 access points](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-manage.html) en la *Guía del usuario de FSx para OpenZFS*.
**nota**
Solo se pueden utilizar puntos de acceso para realizar operaciones con objetos. No puede utilizar puntos de acceso para realizar otras operaciones de Amazon S3, como eliminar buckets o crear configuraciones de replicación de S3. Para obtener una lista completa de las operaciones de S3 que admiten puntos de acceso, consulte [Compatibilidad con puntos de acceso](access-points-service-api-support.md).
**Topics**
+ [
# Enumeración de los puntos de acceso para buckets de propósito general
](access-points-list.md)
+ [
# Consulta de los detalles del punto de acceso para buckets de propósito general
](access-points-details.md)
+ [
# Eliminación del punto de acceso para un bucket de propósito general
](access-points-delete.md)
# Enumeración de los puntos de acceso para buckets de propósito general
En esta sección se explica cómo enumerar los puntos de acceso para buckets de propósito general mediante la Consola de administración de AWS, la AWS Command Line Interface o la API de REST.
## Uso de la consola de S3
**Enumeración de los puntos de acceso de la Cuenta de AWS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región para la que desee enumerar los puntos de acceso.
1. En el panel de navegación del lado izquierdo de la consola, elija **Puntos de acceso**.
1. (Opcional) Busque puntos de acceso por nombre. Aquí solo aparecerán los puntos de acceso de la Región de AWS seleccionada.
1. Elija el nombre del punto de acceso que desea administrar o utilizar.
## Uso de AWS CLI
El siguiente comando `list-access-points` de ejemplo muestra cómo puede utilizar la AWS CLI para enumerar los puntos de acceso.
El siguiente comando enumera los puntos de acceso para la Cuenta de AWS *111122223333*.
```
aws s3control list-access-points --account-id 111122223333
```
El siguiente comando enumera los puntos de acceso para la Cuenta de AWS *111122223333* que están asociados al bucket *amzn-s3-demo-bucket*.
```
aws s3control list-access-points --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html) en la *referencia de comandos de AWS CLI*.
## Uso de la API de REST
Puede utilizar la API de REST para enumerar los puntos de acceso. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html) en la *Referencia de la API de Amazon Simple Storage Service*.
# Consulta de los detalles del punto de acceso para buckets de propósito general
En esta sección se explica cómo ver los detalles del punto de acceso para un bucket de propósito general mediante la Consola de administración de AWS, la AWS Command Line Interface o la API de REST.
## Uso de la consola de S3
**Visualización de los detalles del punto de acceso en la Cuenta de AWS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región para la que desee enumerar los puntos de acceso.
1. En el panel de navegación del lado izquierdo de la consola, elija **Puntos de acceso**.
1. (Opcional) Busque puntos de acceso por nombre. Aquí solo aparecerán los puntos de acceso de la Región de AWS seleccionada.
1. Elija el nombre del punto de acceso que desea administrar o utilizar.
1. Seleccione la pestaña **Propiedades** para ver el origen de datos del punto de acceso, el ID de cuenta, la Región de AWS, la fecha de creación, el origen de la red, el URI de S3, el ARN y el alias del punto de acceso seleccionado.
1. Seleccione la pestaña **Permisos** para ver la configuración de bloqueo de acceso público y la política del punto de acceso seleccionado.
**nota**
No puede cambiar la configuración de bloqueo de acceso público de un punto de acceso después de crear el punto de acceso.
## Uso de AWS CLI
El siguiente comando `get-access-point` de ejemplo muestra cómo puede utilizar la AWS CLI para ver los detalles del punto de acceso.
El siguiente comando muestra los detalles del punto de acceso *my-access-point* para la Cuenta de AWS *111.122.223.333* adjunta al bucket de S3 *amzn-s3-demo-bucket*.
```
aws s3control get-access-point --name my-access-point --account-id 111122223333
```
Ejemplo de código de salida:
```
{
"Name": "my-access-point",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2016-08-29T22:57:52Z",
"Alias": "my-access-point-u1ny6bhm7moymqx8cuon8o1g4mwikuse2a-s3alias",
"AccessPointArn": "arn:aws:s3:Región de AWS:111122223333:accesspoint/my-access-point",
"Endpoints": {
"ipv4": "s3-accesspoint.Región de AWS.amazonaws.com",
"fips": "s3-accesspoint-fips.Región de AWS.amazonaws.com",
"fips_dualstack": "s3-accesspoint-fips.dualstack.Región de AWS.amazonaws.com",
"dualstack": "s3-accesspoint.dualstack.Región de AWS.amazonaws.com"
},
"BucketAccountId": "111122223333"
}
```
El siguiente comando muestra los detalles del punto de acceso *example-fsx-ap* para la Cuenta de AWS *444.455.556.666*. Este punto de acceso está adjunto a un sistema de archivos de Amazon FSx.
```
aws s3control get-access-point --name example-fsx-ap --account-id 444455556666
```
Ejemplo de código de salida:
```
{
"Name": "example-fsx-ap",
"Bucket": "",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2025-01-19T14:16:12Z",
"Alias": "example-fsx-ap-qrqbyebjtsxorhhaa5exx6r3q7-ext-s3alias",
"AccessPointArn": "arn:aws:s3:Región de AWS:444455556666:accesspoint/example-fsx-ap",
"Endpoints": {
"ipv4": "s3-accesspoint.Región de AWS.amazonaws.com",
"fips": "s3-accesspoint-fips.Región de AWS.amazonaws.com",
"fips_dualstack": "s3-accesspoint-fips.dualstack.Región de AWS.amazonaws.com",
"dualstack": "s3-accesspoint.dualstack.Región de AWS.amazonaws.com"
},
"DataSourceId": "arn:aws::fsx:Región de AWS:444455556666:file-system/fs-5432106789abcdef0/volume/vol-0123456789abcdef0",
"DataSourceType": "FSX_OPENZFS"
}
```
Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html) en la *referencia de comandos de AWS CLI*.
## Uso de la API de REST
Puede utilizar la API de REST para ver los detalles del punto de acceso. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html) en la *Referencia de la API de Amazon Simple Storage Service*.
# Eliminación del punto de acceso para un bucket de propósito general
En esta sección se explica cómo eliminar el punto de acceso para un bucket de propósito general mediante la Consola de administración de AWS, la AWS Command Line Interface o la API de REST.
## Uso de la consola de S3
**Eliminación de los puntos de acceso en la Cuenta de AWS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región para la que desee enumerar los puntos de acceso.
1. En el panel de navegación del lado izquierdo de la consola, elija **Puntos de acceso**.
1. (Opcional) Busque puntos de acceso por nombre. Aquí solo aparecerán los puntos de acceso de la Región de AWS seleccionada.
1. Elija el nombre del punto de acceso que desea administrar o utilizar.
1. En la página **Punto de acceso**, seleccione **Eliminar** para eliminar el punto de acceso que ha seleccionado.
1. Para confirmar la eliminación, escriba el nombre del punto de acceso y elija **Eliminar**.
## Uso de AWS CLI
El siguiente comando `delete-access-point` de ejemplo muestra cómo puede utilizar la AWS CLI para eliminar el punto de acceso.
El siguiente comando elimina el punto de acceso *my-access-point* para la Cuenta de AWS *111122223333*.
```
aws s3control delete-access-point --name my-access-point --account-id 111122223333
```
Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html) en la *referencia de comandos de AWS CLI*.
## Uso de la API de REST
Puede utilizar la API de REST para ver los detalles del punto de acceso. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html) en la *Referencia de la API de Amazon Simple Storage Service*.
# Uso de los puntos de acceso de Amazon S3 para buckets de propósito general
Los siguientes ejemplos muestran cómo utilizar puntos de acceso para buckets de propósito general con operaciones compatibles en Amazon S3.
**nota**
S3 genera automáticamente alias de punto de acceso para todos los puntos de acceso y estos alias se pueden utilizar en cualquier lugar donde se utilice un nombre de bucket para realizar operaciones a nivel de objeto. Para obtener más información, consulte [Alias de punto de acceso](access-points-naming.md#access-points-alias).
Solo se pueden utilizar puntos de acceso para buckets de propósito general para realizar operaciones con objetos. No se pueden utilizar puntos de acceso para realizar otras operaciones de Amazon S3, como modificar o eliminar buckets. Para obtener una lista completa de las operaciones de S3 que admiten puntos de acceso, consulte [Compatibilidad con puntos de acceso](access-points-service-api-support.md).
**Topics**
+ [
# Enumeración de objetos mediante un punto de acceso para un bucket de propósito general
](list-object-ap.md)
+ [
# Descarga de un objeto mediante un punto de acceso para un bucket de propósito general
](get-object-ap.md)
+ [
# Configuración de listas de control de acceso (ACL) a través de un punto de acceso para un bucket de propósito general
](put-acl-permissions-ap.md)
+ [
# Carga de un objeto mediante un punto de acceso para un bucket de propósito general
](put-object-ap.md)
+ [
# Adición de un conjunto de etiquetas de un objeto mediante un punto de acceso para un bucket de propósito general
](add-tag-set-ap.md)
+ [
# Eliminación de un objeto mediante un punto de acceso para un bucket de propósito general
](delete-object-ap.md)
# Enumeración de objetos mediante un punto de acceso para un bucket de propósito general
En esta sección se explica cómo enumerar los objetos a través de un punto de acceso para un bucket de propósito general mediante la Consola de administración de AWS, la AWS Command Line Interface o la API de REST.
## Uso de la consola de S3
**Enumeración de los objetos a través de un punto de acceso en la Cuenta de AWS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región para la que desee enumerar los puntos de acceso.
1. En el panel de navegación del lado izquierdo de la consola, elija **Puntos de acceso**.
1. (Opcional) Busque puntos de acceso por nombre. Aquí solo aparecerán los puntos de acceso de la Región de AWS seleccionada.
1. Elija el nombre del punto de acceso que desea administrar o utilizar.
1. En la pestaña **Objetos**, puede ver el nombre de los objetos a los que desea acceder a través del punto de acceso. Mientras utiliza el punto de acceso, solo puede realizar las operaciones con objetos permitidas por los permisos de ese punto de acceso.
**nota**
La vista de consola siempre muestra todos los objetos del bucket. El uso de un punto de acceso como se describe en este procedimiento restringe las operaciones que puede realizar en esos objetos, pero no la posibilidad de ver si existen en el bucket.
La Consola de administración de AWS no admite el uso de puntos de acceso de nube privada virtual (VPC) para acceder a los recursos del bucket. Para acceder a los recursos del bucket desde un punto de acceso de VPC, utilice la AWS CLI, los SDK de AWS o las API de REST de Amazon S3.
## Uso de AWS CLI
El siguiente comando `list-objects-v2` de ejemplo muestra cómo puede utilizar la AWS CLI para enumerar el objeto a través de un punto de acceso.
El siguiente comando enumera los objetos para la Cuenta de AWS *111122223333* mediante el punto de acceso *my-access-point*.
```
aws s3api list-objects-v2 --bucket arn:aws:s3:Región de AWS:111122223333:accesspoint/my-access-point
```
**nota**
S3 genera automáticamente alias de punto de acceso para todos los puntos de acceso y estos alias se pueden utilizar en cualquier lugar donde se utilice un nombre de bucket para realizar operaciones a nivel de objeto. Para obtener más información, consulte [Alias de punto de acceso](access-points-naming.md#access-points-alias).
Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-objects-v2.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-objects-v2.html) en la *referencia de comandos de AWS CLI*.
## Uso de la API de REST
Puede utilizar la API de REST para enumerar los puntos de acceso. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) en la *Referencia de la API de Amazon Simple Storage Service*.
# Descarga de un objeto mediante un punto de acceso para un bucket de propósito general
En esta sección se explica cómo descargar un objeto a través de un punto de acceso para un bucket de propósito general mediante la Consola de administración de AWS, la AWS Command Line Interface o la API de REST.
## Uso de la consola de S3
**Descarga de un objeto a través de un punto de acceso en la Cuenta de AWS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región para la que desee enumerar los puntos de acceso.
1. En el panel de navegación del lado izquierdo de la consola, elija **Puntos de acceso**.
1. (Opcional) Busque puntos de acceso por nombre. Aquí solo aparecerán los puntos de acceso de la Región de AWS seleccionada.
1. Elija el nombre del punto de acceso que desea administrar o utilizar.
1. En la pestaña **Objetos**, seleccione el nombre del objeto que desea descargar.
1. Elija **Descargar**.
## Uso de AWS CLI
El siguiente comando `get-object` de ejemplo muestra cómo puede utilizar la AWS CLI para descargar un objeto a través de un punto de acceso.
El siguiente comando descarga el objeto `puppy.jpg` para la Cuenta de AWS *111122223333* mediante el punto de acceso *my-access-point*. Debe incluir un `outfile`, que es un nombre de archivo para el objeto descargado, como `my_downloaded_image.jpg`.
```
aws s3api get-object --bucket arn:aws:s3:Región de AWS:111122223333:accesspoint/my-access-point --key puppy.jpg my_downloaded_image.jpg
```
**nota**
S3 genera automáticamente alias de punto de acceso para todos los puntos de acceso y estos alias se pueden utilizar en cualquier lugar donde se utilice un nombre de bucket para realizar operaciones a nivel de objeto. Para obtener más información, consulte [Alias de punto de acceso](access-points-naming.md#access-points-alias).
Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html) en la *referencia de comandos de AWS CLI*.
## Uso de la API de REST
Puede utilizar la API de REST para descargar un objeto a través de un punto de acceso. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) en la *Referencia de la API de Amazon Simple Storage Service*.
## Uso de los AWS SDK
Puede utilizar el AWS SDK para Python para descargar un objeto a través de un punto de acceso.
------
#### [ Python ]
En el siguiente ejemplo, se descarga el archivo denominado `hello.txt` se descarga para la cuenta de AWS *111122223333* mediante el punto de acceso denominado *my-access-point*.
```
import boto3
s3 = boto3.client('s3')
s3.download_file('arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point', 'hello.txt', '/tmp/hello.txt')
```
------
# Configuración de listas de control de acceso (ACL) a través de un punto de acceso para un bucket de propósito general
En esta sección se explica cómo configurar las ACL a través de un punto de acceso para un bucket de propósito general mediante la Consola de administración de AWS, la AWS Command Line Interface o la API de REST. Para obtener más información acerca de las ACL, consulte lo siguiente [Información general de las Listas de control de acceso (ACL)](acl-overview.md).
## Uso de la consola de S3
**Configuración de las ACL a través de un punto de acceso en la Cuenta de AWS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región para la que desee enumerar los puntos de acceso.
1. En el panel de navegación del lado izquierdo de la consola, elija **Puntos de acceso**.
1. (Opcional) Busque puntos de acceso por nombre. Aquí solo aparecerán los puntos de acceso de la Región de AWS seleccionada.
1. Elija el nombre del punto de acceso que desea administrar o utilizar.
1. En la pestaña **Objetos**, seleccione el nombre del objeto para el que desea configurar una ACL.
1. En la pestaña **Permisos**, seleccione **Editar** para configurar la ACL del objeto.
**nota**
Amazon S3 actualmente no admite cambiar la configuración de bloqueo de acceso público de un punto de acceso después de que se haya creado el punto de acceso.
## Uso de AWS CLI
En el siguiente comando `put-object-acl` de ejemplo se muestra cómo puede utilizar la AWS CLI para configurar permisos de acceso a través de un punto de acceso mediante una ACL.
El siguiente comando aplica una ACL a un objeto `puppy.jpg` existente a través de un punto de acceso propiedad de la Cuenta de AWS *111122223333*.
```
aws s3api put-object-acl --bucket arn:aws:s3:Región de AWS:111122223333:accesspoint/my-access-point --key puppy.jpg --acl private
```
**nota**
S3 genera automáticamente alias de punto de acceso para todos los puntos de acceso y estos alias se pueden utilizar en cualquier lugar donde se utilice un nombre de bucket para realizar operaciones a nivel de objeto. Para obtener más información, consulte [Alias de punto de acceso](access-points-naming.md#access-points-alias).
Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-acl.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-acl.html) en la *referencia de comandos de AWS CLI*.
## Uso de la API de REST
Puede utilizar la API de REST para configurar permisos de acceso a través de un punto de acceso mediante una ACL. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html) en la *Referencia de la API de Amazon Simple Storage Service*.
# Carga de un objeto mediante un punto de acceso para un bucket de propósito general
En esta sección se explica cómo cargar un objeto a través de un punto de acceso para un bucket de propósito general mediante la Consola de administración de AWS, la AWS Command Line Interface o la API de REST.
## Uso de la consola de S3
**Carga de un objeto a través de un punto de acceso en la Cuenta de AWS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región para la que desee enumerar los puntos de acceso.
1. En el panel de navegación del lado izquierdo de la consola, elija **Puntos de acceso**.
1. (Opcional) Busque puntos de acceso por nombre. Aquí solo aparecerán los puntos de acceso de la Región de AWS seleccionada.
1. Elija el nombre del punto de acceso que desea administrar o utilizar.
1. En la pestaña **Objetos**, seleccione **Cargar**.
1. Arrastre y suelte aquí los archivos y carpetas que desee cargar o elija **Agregar archivos** o **Agregar carpeta**.
**nota**
El tamaño máximo de un archivo que puede cargar con la consola de Amazon S3 es de 160 GB. Para cargar un archivo que sobrepase los 160 GB de tamaño, utilice la AWS Command Line Interface (AWS CLI), el SDK de AWS o la API de REST de Amazon S3.
1. Para cambiar los permisos de la lista de control de acceso, elija **Permissions (Permisos)**.
1. En **Access control list (ACL) (Lista de control de acceso [ACL])**, edite los permisos.
Para obtener información acerca de los permisos de acceso a objetos, consulte [Uso de la consola S3 para establecer permisos de ACL para un objeto](managing-acls.md#set-object-permissions). Puede conceder acceso de lectura a los objetos al público (a todo el mundo) para todos los archivos que esté cargando. Sin embargo, recomendamos no cambiar la configuración predeterminada para el acceso de lectura pública. Otorgar acceso de lectura público es aplicable a un pequeño conjunto de casos de uso, por ejemplo cuando los buckets se utilizan para sitios web. Siempre puede cambiar los permisos del objeto después de cargarlo.
1. Para configurar otras propiedades, elija **Propiedades**.
1. En la sección **Clase de almacenamiento**, elija la clase de almacenamiento para los archivos que esté cargando.
Para obtener más información acerca de las clases de almacenamiento, consulte [Descripción y administración de clases de almacenamiento de Amazon S3](storage-class-intro.md).
1. Para actualizar la configuración de cifrado de los objetos, en **Server-side encryption settings** (Configuración de cifrado del lado del servidor), haga lo siguiente.
1. Elija **Specify an encryption key (Especificar una clave de cifrado)**.
1. En **Configuración del cifrado**, elija **Usar la configuración del bucket para el cifrado predeterminado** o **Anular la configuración del bucket para el cifrado predeterminado**.
1. Si elige **Anular la configuración del bucket para el cifrado predeterminado**, debe configurar los siguientes ajustes de cifrado.
+ Para cifrar los archivos cargados con claves que administra Amazon S3, seleccione **Clave administrada de Amazon S3 (SSE-S3)**.
Para obtener más información, consulte [Uso del cifrado del servidor con claves administradas por Amazon S3 (SSE-S3)](UsingServerSideEncryption.md).
+ Si desea cifrar los archivos cargados mediante claves almacenadas en AWS Key Management Service (AWS KMS), elija la **Clave de AWS Key Management Service (SSE-KMS)**. A continuación, elija una de las siguientes opciones para la **clave de AWS KMS**:
+ Para seleccionar en una lista de claves de KMS disponibles, marque **Elija entre sus claves de AWS KMS keys** y seleccione su **clave de KMS** de la lista de claves disponibles.
En esta lista aparecen tanto la Clave administrada de AWS (`aws/s3`) como las claves administradas por el cliente. Para obtener más información acerca de las claves administradas por el cliente, consulte [Claves de cliente y claves de AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) en la *Guía para desarrolladores de AWS Key Management Service*.
+ Para introducir el ARN de la clave de KMS, elija **Introducir el ARN de la clave de AWS KMS key** e introduzca el ARN de la clave de KMS en el campo que aparece.
+ Para crear una nueva clave administrada por el cliente en la consola de AWS KMS, elija **Crear una clave de KMS**.
Para obtener más información acerca de cómo crear una AWS KMS key, consulte [Creación de claves](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) en la *AWS Key Management Service Guía para desarrolladores*.
**importante**
Solo puede utilizar las claves de KMS que estén disponibles en la misma Región de AWS del bucket. La consola de Amazon S3 solo muestra las primeras 100 claves de KMS de la misma región del bucket. Para utilizar una clave de KMS que no aparezca en la lista, debe introducir el ARN de la clave de KMS. Si desea utilizar una clave de KMS propiedad de una cuenta de diferente, primero debe tener permiso para utilizar la clave y, después, debe introducir el ARN de la clave de KMS.
Amazon S3 admite solo claves de KMS de cifrado simétricas y no claves de KMS asimétricas. Para obtener más información, consulte [Identificación de claves de KMS simétricas y asimétricas](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html) en la *Guía para desarrolladores de AWS Key Management Service*.
1. Para utilizar sumas de comprobación adicionales, elija **On (Activado)**. A continuación, en **Checksum function (Función de suma de comprobación)**, elija la función que desearía utilizar. Amazon S3 calcula y almacena el valor de la suma de comprobación después de recibir todo el objeto. Puede utilizar el recuadro **Precalculated value (Valor precalculado)** para proporcionar un valor precalculado. Si lo hace, Amazon S3 compara el valor que proporcionó con el valor que calcula. Si los valores no coinciden, Amazon S3 genera un error.
Las sumas de comprobación adicionales le permiten especificar el algoritmo de suma de comprobación que desea utilizar para verificar los datos. Para obtener más información sobre sumas de comprobación adicionales, consulte [Comprobación de la integridad de objetos en Amazon S3](checking-object-integrity.md).
1. Para agregar etiquetas a todos los objetos que va a cargar, elija **Add tag** (Agregar etiqueta). Escriba un nombre de etiqueta en el campo **Clave**. Ingrese un valor para la etiqueta.
El etiquetado de objetos le permite categorizar el almacenamiento. Cada etiqueta es un par clave-valor. Los valores de clave y de etiqueta distinguen entre mayúsculas y minúsculas. Puede tener hasta 10 etiquetas por cada objeto. Una clave de etiqueta puede tener una longitud de hasta 128 caracteres Unicode y los valores de etiqueta pueden tener una longitud de hasta 255 caracteres Unicode. Para obtener más información acerca de las etiquetas de objeto, consulte [Categorización de los objetos mediante etiquetas](object-tagging.md).
1. Para agregar metadatos, elija **Agregar metadatos**.
1. En **Tipo**, elija **Definidos por el sistema** o **Definidos por el usuario**.
Para los metadatos definidos por el sistema, puede seleccionar encabezados HTTP comunes, como **Tipo de contenido** y **Disposición de contenido**. Para obtener una lista de metadatos definidos por el sistema e información sobre si puede agregar el valor, consulte [Metadatos de objetos definidos por el sistema](UsingMetadata.md#SysMetadata). Cualquier metadato que comience con el prefijo `x-amz-meta-` se trata como metadato definido por el usuario. Los metadatos definidos por el usuario se almacenan con el objeto y se devuelven cuando lo descarga. Tanto las claves como sus valores deben cumplir los estándares ASCII de EE. UU. Los metadatos definidos por el usuario pueden tener un tamaño de hasta 2 KB. Para obtener más información acerca de los metadatos definidos por el sistema y por el usuario, consulte [Trabajar con metadatos de objeto](UsingMetadata.md).
1. En **Clave**, elija una clave.
1. Escriba un valor para la clave.
1. Para cargar los objetos, seleccione **Cargar**.
Amazon S3 carga su objeto. Cuando finalice la carga, puede ver un mensaje de éxito en la página **Cargar: estado**.
## Uso de AWS CLI
El siguiente comando `put-object` de ejemplo muestra cómo puede utilizar la AWS CLI para cargar un objeto a través de un punto de acceso.
El siguiente comando carga el objeto `puppy.jpg` para la Cuenta de AWS *111122223333* mediante el punto de acceso *my-access-point*.
```
aws s3api put-object --bucket arn:aws:s3:Región de AWS:111122223333:accesspoint/my-access-point --key puppy.jpg --body puppy.jpg
```
**nota**
S3 genera automáticamente alias de punto de acceso para todos los puntos de acceso y los alias de punto de acceso se pueden utilizar en cualquier lugar donde se utilice un nombre de bucket para realizar operaciones a nivel de objeto. Para obtener más información, consulte [Alias de punto de acceso](access-points-naming.md#access-points-alias).
Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object.html) en la *referencia de comandos de AWS CLI*.
## Uso de la API de REST
Puede utilizar la API de REST para cargar un objeto a través de un punto de acceso. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) en la *Referencia de la API de Amazon Simple Storage Service*.
## Uso de los AWS SDK
Puede utilizar el AWS SDK para Python para cargar un objeto a través de un punto de acceso.
------
#### [ Python ]
En el siguiente ejemplo, se descarga el archivo denominado `hello.txt` se carga para la cuenta de AWS *111122223333* mediante el punto de acceso denominado *my-access-point*.
```
import boto3
s3 = boto3.client('s3')
s3.upload_file('/tmp/hello.txt', 'arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point', 'hello.txt')
```
------
# Adición de un conjunto de etiquetas de un objeto mediante un punto de acceso para un bucket de propósito general
En esta sección se explica cómo agregar un conjunto de etiquetas a través de un punto de acceso para un bucket de propósito general mediante la Consola de administración de AWS, la AWS Command Line Interface o la API de REST. Para obtener más información, consulte [Categorización de los objetos mediante etiquetas](object-tagging.md).
## Uso de la consola de S3
**Cómo agregar un conjunto de etiquetas a través de un punto de acceso en la Cuenta de AWS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región para la que desee enumerar los puntos de acceso.
1. En el panel de navegación del lado izquierdo de la consola, elija **Puntos de acceso**.
1. (Opcional) Busque puntos de acceso por nombre. Aquí solo aparecerán los puntos de acceso de la Región de AWS seleccionada.
1. Elija el nombre del punto de acceso que desea administrar o utilizar.
1. En la pestaña **Objetos**, seleccione el nombre del objeto al que desea agregar un conjunto de etiquetas.
1. En la pestaña **Propiedades**, busque el subencabezado **Etiquetas** y elija **Editar**.
1. Revise los objetos mencionados y elija **Agregar etiqueta**.
1. Cada etiqueta de objeto es un par clave-valor. Introduzca la información pertinente en **Key (Clave)** y **Value (Valor)**. Para agregar otra etiqueta, elija **Add Tag (Añadir etiqueta)**.
Puede introducir hasta 10 etiquetas para un objeto.
1. Elija **Save changes (Guardar cambios)**.
## Mediante AWS CLI
El siguiente comando `put-object-tagging` de ejemplo muestra cómo puede utilizar la AWS CLI para agregar un conjunto de etiquetas a través de un punto de acceso.
El siguiente comando agrega un conjunto de etiquetas para un objeto `puppy.jpg` existente mediante el punto de acceso *my-access-point*.
```
aws s3api put-object-tagging --bucket arn:aws:s3:Región de AWS:111122223333:accesspoint/my-access-point --key puppy.jpg --tagging TagSet=[{Key="animal",Value="true"}]
```
**nota**
S3 genera automáticamente alias de punto de acceso para todos los puntos de acceso y los alias de punto de acceso se pueden utilizar en cualquier lugar donde se utilice un nombre de bucket para realizar operaciones a nivel de objeto. Para obtener más información, consulte [Alias de punto de acceso](access-points-naming.md#access-points-alias).
Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-tagging.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-tagging.html) en la *referencia de comandos de AWS CLI*.
## Uso de la API de REST
Puede utilizar la API de REST para agregar un conjunto de etiquetas a un objeto a través de un punto de acceso. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html) en la *Referencia de la API de Amazon Simple Storage Service*.
# Eliminación de un objeto mediante un punto de acceso para un bucket de propósito general
En esta sección se explica cómo eliminar un objeto a través de un punto de acceso para un bucket de propósito general mediante la Consola de administración de AWS, la AWS Command Line Interface o la API de REST.
## Uso de la consola de S3
**Eliminación de objetos a través de un punto de acceso en la Cuenta de AWS**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región para la que desee enumerar los puntos de acceso.
1. En el panel de navegación del lado izquierdo de la consola, elija **Puntos de acceso**.
1. (Opcional) Busque puntos de acceso por nombre. Aquí solo aparecerán los puntos de acceso de la Región de AWS seleccionada.
1. Elija el nombre del punto de acceso que desea administrar o utilizar.
1. En la pestaña **Objetos**, seleccione el nombre de los objetos que desea eliminar.
1. Revise los objetos enumerados para eliminarlos y escriba *eliminar* en el cuadro de confirmación.
1. Elija **Eliminar objetos**.
## Uso de AWS CLI
El siguiente comando `delete-object` de ejemplo muestra cómo puede utilizar la AWS CLI para eliminar un objeto a través de un punto de acceso.
El siguiente comando elimina el objeto `puppy.jpg` existente mediante el punto de acceso *my-access-point*.
```
aws s3api delete-object --bucket arn:aws:s3:Región de AWS:111122223333:accesspoint/my-access-point --key puppy.jpg
```
**nota**
S3 genera automáticamente alias de punto de acceso para todos los puntos de acceso y los alias de punto de acceso se pueden utilizar en cualquier lugar donde se utilice un nombre de bucket para realizar operaciones a nivel de objeto. Para obtener más información, consulte [Alias de punto de acceso](access-points-naming.md#access-points-alias).
Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-object.html) en la *referencia de comandos de AWS CLI*.
## Uso de la API de REST
Puede utilizar la API de REST para eliminar un objeto a través de un punto de acceso. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html) en la *Referencia de la API de Amazon Simple Storage Service*.
# Uso de etiquetas con puntos de acceso de S3 para buckets de uso general
Una etiqueta de AWS es un par clave-valor que contiene metadatos sobre recursos, en este caso, puntos de acceso de Amazon S3. Puede etiquetar puntos de acceso al crearlos o administrar las etiquetas en los puntos de acceso existentes. Para obtener información general sobre las etiquetas, consulte [Etiquetado para la asignación de costos o el control de acceso basado en atributos (ABAC)](tagging.md).
**nota**
No hay ningún cargo adicional por utilizar etiquetas en los puntos de acceso más allá de las tarifas de solicitud estándar de la API de S3. Para obtener más información, consulte [Precios de Amazon S3](https://aws.amazon.com/s3/pricing/).
## Formas habituales de utilizar etiquetas con puntos de acceso
Control de acceso basado en atributos (ABAC) le permite escalar los permisos de acceso y conceder acceso a los puntos de acceso en función de las etiquetas. Para obtener más información sobre ABAC en Amazon S3, consulte [Uso de etiquetas para ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#).
### ABAC para Puntos de acceso de S3
Los puntos de acceso de Amazon S3 admiten el control de acceso basado en atributos (ABAC) mediante etiquetas. Utilice claves de condición basadas en etiquetas en las organizaciones de AWS, IAM y las políticas de puntos de acceso. Para las empresas, ABAC en Amazon S3 admite la autorización en varias cuentas de AWS.
En las políticas de IAM, puede controlar el acceso a los puntos de acceso en función de las etiquetas de los puntos de acceso mediante las siguientes [claves de condición globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys):
+ `aws:ResourceTag/key-name`
**importante**
La clave de condición `aws:ResourceTag` solo se puede usar para las acciones de S3 realizadas a través de un ARN de punto de acceso para buckets de uso general y solo cubre las etiquetas de punto de acceso subyacentes.
+ Utilice esta clave para comparar el par clave-valor de etiqueta que especifique en la política con el par clave-valor asociado al recurso. Por ejemplo, puede requerir que el acceso a un recurso solo se permita si el recurso tiene la clave de etiqueta `Dept` adjunta con el valor `Marketing`. Para obtener más información, consulte [Control del acceso a los recursos de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).
+ `aws:RequestTag/key-name`
+ Utilice esta clave para comparar el par clave-valor de etiqueta que se transfirió en la solicitud con el par de etiquetas especificado en la política. Por ejemplo, podría comprobar si la solicitud incluya la clave de etiqueta `Dept` y que tenga el valor `Accounting`. Para obtener más información, consulte [Control del acceso durante solicitudes de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests). Puede utilizar esta clave de condición para restringir qué pares de clave-valor de etiqueta se pueden pasar durante las operaciones de API `TagResource` y `CreateAccessPoint`.
+ `aws:TagKeys`
+ Utilice esta clave para comparar las claves de etiqueta de una solicitud con las claves que especifique en la política. Como práctica recomendada cuando utilice políticas para controlar el acceso mediante etiquetas, utilice la clave de condición `aws:TagKeys` para definir lo que se permite realizar a las claves de etiqueta. Para obtener más información y políticas de ejemplo, consulte [Control del acceso en función de las claves de etiqueta](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys). Puede crear un punto de acceso con etiquetas. Para permitir el etiquetado durante la operación de API `CreateAccessPoint`, debe crear una política que incluya las acciones `s3:TagResource` y `s3:CreateAccessPoint`. A continuación, puede utilizar la clave de condición `aws:TagKeys` para imponer el uso de etiquetas específicas en la solicitud `CreateAccessPoint`.
+ `s3:AccessPointTag/tag-key`
+ Utilice esta clave de condición para conceder permisos a datos específicos a través de puntos de acceso mediante etiquetas. Cuando se utiliza `aws:ResourceTag/tag-key` en una política de IAM, tanto el punto de acceso como el bucket al que apunta el punto de acceso deben tener la misma etiqueta, ya que ambos se tienen en cuenta durante la autorización. Si desea controlar el acceso a los datos específicamente a través de la etiqueta del punto de acceso solo, puede utilizar la clave de condición `s3:AccessPointTag/tag-key`.
### Ejemplos de políticas ABAC de puntos de acceso
Consulte los siguientes ejemplos de políticas ABAC para puntos de acceso de Amazon S3.
#### 1.1: Política de IAM para crear o modificar buckets con etiquetas específicas
En esta política de IAM, los usuarios o roles con esta política solo pueden crear puntos de acceso si etiquetan los puntos de acceso con la clave de etiqueta `project` y el valor de etiqueta `Trinity` en la solicitud de creación de los puntos de acceso. También pueden agregar o modificar etiquetas en puntos de acceso existentes siempre que la solicitud `TagResource` incluya el par clave-valor de etiqueta `project:Trinity`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccessPointWithTags",
"Effect": "Allow",
"Action": [
"s3:CreateAccessPoint",
"s3:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
#### 1.2: Política de punto de acceso para restringir las operaciones en el punto de acceso mediante etiquetas
En esta política de punto de acceso, las entidades principales de IAM (usuarios y roles) pueden realizar operaciones mediante la acción `GetObject` en el punto de acceso solo si el valor de la etiqueta `project` del punto de acceso coincide con el valor de la etiqueta `project` de la entidad principal.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowObjectOperations",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3:GetObject",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3: Política de IAM para modificar las etiquetas de los recursos existentes manteniendo la gobernanza del etiquetado
En esta política de IAM, las entidades principales de IAM (usuarios o roles) pueden modificar etiquetas de un punto de acceso solo si el valor de la etiqueta `project` del punto de acceso coincide con el valor de la etiqueta `project` de la entidad principal. Solo se permiten las cuatro etiquetas `project`, `environment`, `owner` y `cost-center` especificadas en las claves de condición `aws:TagKeys` para estos puntos de acceso. Esto ayuda a reforzar la gobernanza de las etiquetas, evita las modificaciones no autorizadas de las etiquetas y mantiene la coherencia del esquema de etiquetado en todos los puntos de acceso.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3:TagResource"
],
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
#### 1.4: Uso de la clave de condición s3:AccessPointTag
En esta política de IAM, la instrucción de condición permite el acceso a los datos del bucket si el punto de acceso tiene la clave de etiqueta `Environment` y el valor de etiqueta `Production`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
#### 1.5: Uso de una política de delegación de bucket
En Amazon S3, puede delegar el acceso o el control de la política del bucket de S3 a otra cuenta de AWS o a un usuario o rol de AWS Identity and Access Management (IAM) específico de la otra cuenta. La política de delegación de bucket concede a esta otra cuenta, usuario o rol permiso para acceder al bucket y a los objetos. Para obtener más información, consulte [Delegación de permisos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html#permission-delegation).
Si utiliza una política de delegación de bucket, como la siguiente:
```
{
"Version": "2012-10-17",
"Statement": {
"Principal": {"AWS": "*"},
"Effect": "Allow",
"Action": ["s3:*"],
"Resource":["arn:aws::s3:::amzn-s3-demo-bucket/*", "arn:aws::s3:::amzn-s3-demo-bucket"],
"Condition": {
"StringEquals" : {
"s3:DataAccessPointAccount" : "111122223333"
}
}
}
}
```
En la siguiente política de IAM, la instrucción de condición permite el acceso a los datos del bucket si el punto de acceso tiene la clave de etiqueta `Environment` y el valor de etiqueta `Production`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
## Uso de etiquetas para puntos de acceso de buckets de uso general
Puede agregar o administrar etiquetas de puntos de acceso mediante la consola de Amazon S3, la interfaz de la línea de comandos (CLI) de AWS, los SDK de AWS o las API de S3: [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), [UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) y [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html). Para obtener más información, consulte:
**Topics**
+ [
## Formas habituales de utilizar etiquetas con puntos de acceso
](#common-ways-to-use-tags-directory-bucket)
+ [
## Uso de etiquetas para puntos de acceso de buckets de uso general
](#working-with-tags-access-points)
+ [
# Creación de puntos de acceso con etiquetas
](access-points-create-tag.md)
+ [
# Agregación de una etiqueta a un punto de acceso
](access-points-tag-add.md)
+ [
# Visualización de etiquetas de punto de acceso
](access-points-tag-view.md)
+ [
# Eliminación de una etiqueta de un punto de acceso
](access-points-tag-delete.md)
# Creación de puntos de acceso con etiquetas
Puede etiquetar los puntos de acceso cuando los crea. No hay ningún cargo adicional por utilizar etiquetas en los puntos de acceso más allá de las tarifas de solicitud estándar de la API de S3. Para obtener más información, consulte [Precios de Amazon S3](https://docs.aws.amazon.com/s3/pricing/). Para obtener más información sobre el etiquetado de puntos de acceso, consulte [Uso de etiquetas con puntos de acceso de S3 para buckets de uso general](access-points-tagging.md).
## Permisos
Para crear un punto de acceso con etiquetas, debe tener los siguientes permisos:
+ `s3:CreateBucket`
+ `s3:TagResource`
## Solución de errores
Si se produce un error al intentar crear un punto de acceso con etiquetas, puede hacer lo siguiente:
+ Compruebe que tiene los [Permisos](#access-points-create-tag-permissions) necesarios para crear el punto de acceso y agregarle una etiqueta.
+ Compruebe la política de usuario de IAM para ver si hay condiciones de control de acceso basado en atributos (ABAC). Es posible que se le solicite etiquetar los puntos de acceso solo con claves y valores de etiqueta específicos. Para obtener más información, consulte [Uso de etiquetas para el control de acceso basado en atributos (ABAC)](tagging.md#using-tags-for-abac).
## Steps
Puede crear un punto de acceso con etiquetas aplicadas mediante la consola de Amazon S3, la AWS Command Line Interface (AWS CLI), la API de REST de Amazon S3 y los SDK de AWS.
## Uso de la consola de S3
Para crear un punto de acceso con etiquetas mediante la consola de Amazon S3:
1. Inicie sesión en la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En el panel de navegación izquierdo, elija **Puntos de acceso (buckets de uso general)**.
1. Elija **crear punto de acceso** para crear un nuevo punto de acceso.
1. En la página **Crear punto de acceso**, **Etiquetas** es una opción al crear un nuevo punto de acceso.
1. Introduzca un nombre para el punto de acceso. Para obtener más información, consulte [Reglas de nomenclatura, restricciones y limitaciones de los puntos de acceso](access-points-restrictions-limitations-naming-rules.md).
1. Elija **Agregar nueva etiqueta** para abrir el editor de **Etiquetas** e introduzca un par clave-valor de etiqueta. Se requiere la clave de la etiqueta, pero el valor es opcional.
1. Para agregar otra etiqueta, vuelva a seleccionar **Agregar nueva etiqueta**. Puede ingresar hasta 50 pares de clave-valor de etiquetas.
1. Después de completar la especificación de las opciones para el nuevo punto de acceso, elija **Crear punto de acceso**.
## Uso de los AWS SDK
------
#### [ SDK for Java 2.x ]
En este ejemplo se muestra cómo crear un punto de acceso con etiquetas mediante AWS SDK for Java 2.x. Para usar el comando, sustituya los *marcadores de posición de entrada del usuario* con su propia información.
```
CreateAccessPointRequest createAccessPointRequest = CreateAccessPointRequest.builder()
.accountId(111122223333)
.name(my-access-point)
.bucket(amzn-s3-demo-bucket)
.tags(Collections.singletonList(Tag.builder().key("key1").value("value1").build()))
.build();
awss3Control.createAccessPoint(createAccessPointRequest);
```
------
## Uso de la API de REST
Para obtener información sobre la compatibilidad de la API de REST de Amazon S3 con la creación de puntos de acceso con etiquetas, consulte la siguiente sección de la *Referencia de la API de Amazon Simple Storage Service*:
+ [CreateAccessPoint](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html)
## Uso de AWS CLI
Para instalar la CLI de AWS, consulte [Instalación de la CLI de AWS](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) en la *Guía del usuario de AWS Command Line Interface*.
En el siguiente ejemplo de la CLI se muestra cómo crear un punto de acceso con etiquetas mediante la AWS CLI. Para usar el comando, sustituya los *marcadores de posición de entrada del usuario* con su propia información.
**Solicitud:**
```
aws s3control create-access-point --name my-access-point \
--bucket amzn-s3-demo-bucket \
--account-id 111122223333 \ --profile personal \
--tags [{Key=key1,Value=value1},{Key=key2,Value=value2}] \
--region region
```
# Agregación de una etiqueta a un punto de acceso
Puede agregar etiquetas a Puntos de acceso de Amazon S3 y modificar estas etiquetas. No hay ningún cargo adicional por utilizar etiquetas en los puntos de acceso más allá de las tarifas de solicitud estándar de la API de S3. Para obtener más información, consulte [Precios de Amazon S3](https://docs.aws.amazon.com/s3/pricing/). Para obtener más información sobre el etiquetado de puntos de acceso, consulte [Uso de etiquetas con puntos de acceso de S3 para buckets de uso general](access-points-tagging.md).
## Permisos
Para agregar una etiqueta a un punto de acceso, debe tener el siguiente permiso:
+ `s3:TagResource`
## Solución de errores
Si se produce un error al intentar agregar una etiqueta a un punto de acceso, puede hacer lo siguiente:
+ Compruebe que tiene los [Permisos](#access-points-tag-add-permissions) necesarios para agregar una etiqueta al punto de acceso.
+ Si ha intentado agregar una clave de etiqueta que comience con el prefijo reservado de AWS `aws:`, cámbiela e inténtelo de nuevo.
## Steps
Puede agregar etiquetas a los puntos de acceso mediante la consola de Amazon S3, la interfaz de la línea de comandos (AWS CLI) de AWS, la API de REST de Amazon S3 y los SDK de AWS.
## Uso de la consola de S3
Para agregar etiquetas a un punto de acceso mediante la consola de Amazon S3:
1. Inicie sesión en la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En el panel de navegación izquierdo, elija **Puntos de acceso (buckets de uso general)**.
1. Seleccione el nombre del punto de acceso.
1. Elija la pestaña **Propiedades**.
1. Desplácese hasta la sección **Etiquetas** y elija **Agregar nueva etiqueta**.
1. Esto abre la página **Agregar etiquetas**. Puede ingresar hasta 50 pares de clave valor de etiquetas.
1. Si agrega una nueva etiqueta con el mismo nombre de clave que una etiqueta existente, el valor de la nueva etiqueta invalida el valor de la etiqueta existente.
1. Puede editar también los valores de las etiquetas existentes en esta página.
1. Una vez que haya agregado las etiquetas, elija **Guardar cambios**.
## Uso de los AWS SDK
------
#### [ SDK for Java 2.x ]
En este ejemplo se muestra cómo agregar etiquetas a un punto de acceso mediante AWS SDK for Java 2.x. Para usar el comando, sustituya los *marcadores de posición de entrada del usuario* con su propia información.
```
TagResourceRequest tagResourceRequest = TagResourceRequest.builder().resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333)
.tags(List.of(Tag.builder().key("key1").value("value1").build(),
Tag.builder().key("key2").value("value2").build()))
.build();
awss3Control.tagResource(tagResourceRequest);
```
------
## Uso de la API de REST
Para obtener información sobre la compatibilidad de la API de REST de Amazon S3 con la agregación de etiquetas a un punto de acceso, consulte la siguiente sección de la *Referencia de la API de Amazon Simple Storage Service*:
+ [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)
## Uso de AWS CLI
Para instalar la CLI de AWS, consulte [Instalación de la CLI de AWS](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) en la *Guía del usuario de AWS Command Line Interface*.
En el siguiente ejemplo de la CLI se muestra cómo agregar etiquetas a un punto de acceso mediante la AWS CLI. Para usar el comando, sustituya los *marcadores de posición de entrada del usuario* con su propia información.
**Solicitud:**
```
aws s3control tag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:111122223333:accesspoint/my-access-point/* \
--tags "Key=key1,Value=value1"
```
**Response: (Respuesta:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 200,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```
# Visualización de etiquetas de punto de acceso
Puede ver o enumerar las etiquetas aplicadas a los puntos de acceso. Para obtener más información acerca de las etiquetas, consulte [Uso de etiquetas con puntos de acceso de S3 para buckets de uso general](access-points-tagging.md).
## Permisos
Para ver las etiquetas aplicadas a un punto de acceso, debe tener el siguiente permiso:
+ `s3:ListTagsForResource`
## Solución de errores
Si se produce un error al intentar enumerar o ver las etiquetas de un punto de acceso, puede hacer lo siguiente:
+ Compruebe que tiene los [Permisos](#access-points-tag-view-permissions) necesarios para ver o enumerar las etiquetas del punto de acceso.
## Steps
Puede ver las etiquetas aplicadas a los puntos de acceso mediante la consola de Amazon S3, la AWS Command Line Interface (AWS CLI), la API de REST de Amazon S3 y los SDK de AWS.
## Uso de la consola de S3
Para ver las etiquetas a un punto de acceso mediante la consola de Amazon S3:
1. Inicie sesión en la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En el panel de navegación izquierdo, elija **Puntos de acceso (buckets de uso general)**.
1. Seleccione el nombre del punto de acceso.
1. Elija la pestaña **Propiedades**.
1. Desplácese hasta la sección **Etiquetas** para ver todas las etiquetas aplicadas al punto de acceso.
1. La sección **Etiquetas** muestra las **etiquetas definidas por el usuario** de forma predeterminada. Puede seleccionar la pestaña **Etiquetas generadas por AWS** para ver las etiquetas aplicadas al punto de acceso por los servicios de AWS.
## Uso de los AWS SDK
En esta sección se proporciona un ejemplo de cómo ver las etiquetas aplicadas a un punto de acceso mediante los SDK de AWS.
------
#### [ SDK for Java 2.x ]
En este ejemplo se muestra cómo ver las etiquetas aplicadas a un punto de acceso mediante AWS SDK for Java 2.x.
```
ListTagsForResourceRequest listTagsForResourceRequest = ListTagsForResourceRequest
.builder().resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333).build();
awss3Control.listTagsForResource(listTagsForResourceRequest);
```
------
## Uso de la API de REST
Para obtener información sobre la compatibilidad de la API de REST de Amazon S3 para ver las etiquetas aplicadas a un punto de acceso, consulte la siguiente sección en la *Referencia de la API de Amazon Simple Storage Service*:
+ [ListTagsforResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)
## Uso de AWS CLI
Para instalar la CLI de AWS, consulte [Instalación de la CLI de AWS](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) en la *Guía del usuario de AWS Command Line Interface*.
En el siguiente ejemplo de la CLI se muestra cómo ver las etiquetas aplicadas a un punto de acceso. Para usar el comando, sustituya los *marcadores de posición de entrada del usuario* con su propia información.
**Solicitud:**
```
aws s3control list-tags-for-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:bucket/prefix--use1-az4--x-s3 \
```
**Respuesta: etiquetas presentes:**
```
{
"Tags": [
{
"Key": "MyKey1",
"Value": "MyValue1"
},
{
"Key": "MyKey2",
"Value": "MyValue2"
},
{
"Key": "MyKey3",
"Value": "MyValue3"
}
]
}
```
**Respuesta: no hay etiquetas presentes:**
```
{
"Tags": []
}
```
# Eliminación de una etiqueta de un punto de acceso
Puede eliminar etiquetas de Puntos de acceso de Amazon S3. Una etiqueta de AWS es un par clave-valor que contiene metadatos sobre recursos, en este caso, puntos de acceso. Para obtener más información acerca de las etiquetas, consulte [Uso de etiquetas con puntos de acceso de S3 para buckets de uso general](access-points-tagging.md).
**nota**
Si elimina una etiqueta y más adelante descubre que se estaba utilizando para realizar un seguimiento de los costos o para el control de acceso, puede volver a agregar la etiqueta al punto de acceso.
## Permisos
Para eliminar una etiqueta de un punto de acceso, debe tener el siguiente permiso:
+ `s3:UntagResource`
## Solución de errores
Si se produce un error al intentar eliminar una etiqueta de un punto de acceso, puede hacer lo siguiente:
+ Compruebe que tiene los [Permisos](access-points-db-tag-delete.md#access-points-db-tag-delete-permissions) necesarios para eliminar una etiqueta de un punto de acceso.
## Steps
Puede eliminar etiquetas de los puntos de acceso mediante la consola de Amazon S3, la AWS Command Line Interface (AWS CLI), la API de REST de Amazon S3 y los SDK de AWS.
## Uso de la consola de S3
Para eliminar etiquetas de un punto de acceso mediante la consola de Amazon S3:
1. Inicie sesión en la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En el panel de navegación izquierdo, elija **Puntos de acceso (buckets de uso general)**.
1. Seleccione el nombre del punto de acceso.
1. Elija la pestaña **Propiedades**.
1. Desplácese hasta la sección **Etiquetas** y seleccione la casilla de verificación situada junto a la etiqueta o etiquetas que desee eliminar.
1. Elija **Eliminar**.
1. Aparece la ventana emergente **Eliminar etiquetas definidas por el usuario** y le pide que confirme la eliminación de la etiqueta o etiquetas que ha seleccionado.
1. Elija **Eliminar** para confirmar.
## Uso de los AWS SDK
------
#### [ SDK for Java 2.x ]
En este ejemplo se muestra cómo eliminar etiquetas de un punto de acceso mediante AWS SDK for Java 2.x. Para usar el comando, sustituya los *marcadores de posición de entrada del usuario* con su propia información.
```
UntagResourceRequest tagResourceRequest = UntagResourceRequest.builder()
.resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333)
.tagKeys(List.of("key1", "key2")).build();
awss3Control.untagResource(tagResourceRequest);
```
------
## Uso de la API de REST
Para obtener información sobre la compatibilidad de la API de REST de Amazon S3 con la eliminación de etiquetas de un punto de acceso, consulte la siguiente sección en la *Referencia de la API de Amazon Simple Storage Service*:
+ [UnTagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)
## Uso de AWS CLI
Para instalar la CLI de AWS, consulte [Instalación de la CLI de AWS](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) en la *Guía del usuario de AWS Command Line Interface*.
En el siguiente ejemplo de la CLI se muestra cómo eliminar etiquetas de un punto de acceso mediante la AWS CLI. Para usar el comando, sustituya los *marcadores de posición de entrada del usuario* con su propia información.
**Solicitud:**
```
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:access-point/my-access-point \
--tag-keys "tagkey1" "tagkey2"
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:accesspointmy-access-point/* \
--tag-keys "key1" "key2"
```
**Response: (Respuesta:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 204,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```