Sustitución de la lista de control de acceso (ACL) - Amazon Simple Storage Service
Restricciones y limitaciones

Sustitución de la lista de control de acceso (ACL)

Puede utilizar Operaciones por lotes de Amazon S3 para realizar operaciones por lotes a gran escala en objetos de Amazon S3. La operación Sustituir la lista de control de acceso (ACL) sustituye las listas de control de acceso (ACL) para cada objeto que se muestra en el manifiesto. Con las ACL, se puede definir quién puede tener acceso a un objeto y qué acciones puede realizar.

nota

La mayoría de los casos de uso modernos de Amazon S3 ya no requieren el uso de ACL. Le recomendamos desactivar las ACL, excepto en circunstancias inusuales en las que necesite controlar el acceso a cada objeto de manera individual. Si las ACL están desactivadas, puede usar políticas para controlar el acceso a todos los objetos del bucket, independientemente de quién haya subido los objetos al bucket. Para obtener más información, consulte Control de la propiedad de los objetos y desactivación de las ACL del bucket.

Operaciones por lotes de S3 permite utilizar ACL personalizadas que se definen y ACL predefinidas que están incluidas en Amazon S3 con un conjunto de permisos de acceso preestablecidos.

Si los objetos del manifiesto están en un bucket con control de versiones, puede aplicar las ACL a versiones específicas de cada objeto. Para hacerlo, especifique un ID de versión para cada objeto del manifiesto. Si no incluye el ID de versión de un objeto, Operaciones por lotes de S3 aplicará la ACL a la versión más reciente del objeto.

Para obtener más información acerca de las ACL en Amazon S3, consulte Información general de las Listas de control de acceso (ACL).

S3 Block Public Access

Si desea limitar el acceso público en todos los objetos de un bucket, recomendamos utilizar Bloqueo de acceso público de Amazon S3 en lugar de Operaciones por lotes de S3 para aplicar ACL. Con el bloqueo de acceso público, se puede limitar el acceso público en cada bucket o en toda la cuenta mediante una única y sencilla operación que surte efecto rápidamente. Este comportamiento hace que Bloqueo de acceso público de Amazon S3 sea una mejor opción cuando el objetivo es controlar el acceso público a todos los objetos de un bucket o una cuenta. Utilice Operaciones por lotes de S3 solo cuando necesite aplicar una ACL personalizada a cada uno de los objetos del manifiesto. Para obtener más información acerca del bloqueo de acceso público de S3, consulte Bloquear el acceso público a su almacenamiento de Amazon S3.

S3 Object Ownership

Si los objetos del manifiesto se encuentran en un bucket que utiliza la configuración Aplicada al propietario del bucket de Propiedad de objetos, la operación Sustituir la lista de control de acceso (ACL) solo puede especificar las ACL de objetos que conceden control total al propietario del bucket. En este caso, la operación Sustituir la lista de control de acceso (ACL) no puede conceder permisos de ACL de objeto a otras Cuentas de AWS o grupos. Para obtener más información, consulte Control de la propiedad de los objetos y desactivación de las ACL del bucket.

Restricciones y limitaciones

Al utilizar Operaciones por lotes para sustituir ACL, se aplican las siguientes restricciones y limitaciones:

  • El rol de AWS Identity and Access Management (IAM) que especifique para ejecutar el trabajo Sustituir la lista de control de acceso (ACL) debe tener permisos para realizar la operación PutObjectAcl subyacente de Amazon S3. Para obtener más información sobre los permisos necesarios, consulte PutObjectAcl en la Amazon Simple Storage Service API Reference.

  • Las operaciones por lotes de S3 utilizan la operación PutObjectAcl de Amazon S3 para aplicar la ACL especificada a cada objeto del manifiesto. Por lo tanto, todas las restricciones y limitaciones que se aplican a la operación PutObjectAcl subyacente también se aplican a los trabajos Sustituir la lista de control de acceso (ACL) de Operaciones por lotes de S3.