Explicaciones que utilizan políticas para administrar el acceso a los recursos de Amazon S3
Este tema proporciona los siguientes ejemplos de tutorial introductorio para ofrecer acceso a los recursos de Amazon S3. Estos ejemplos utilizan la AWS Management Console para crear recursos (buckets, objetos, usuarios) y otorgarles permisos. Luego, los ejemplos le muestran cómo verificar los permisos con las herramientas de línea de comandos para que no tenga que escribir ningún código. Proporcionamos comandos con la AWS Command Line Interface (AWS CLI) y AWS Tools for Windows PowerShell.
-
Ejemplo 1: propietario del bucket que concede permisos de bucket a sus usuarios
Los usuarios de IAM que crea en la cuenta no tienen permisos de forma predeterminada. En este ejercicio, usted le otorga a un usuario permiso para realizar operaciones de bucket y objeto.
-
Ejemplo 2: propietario del bucket que concede permisos de bucket entre cuentas
En este ejercicio, el propietario de un bucket, la cuenta A, concede permisos entre cuentas a otra Cuenta de AWS, la cuenta B. Luego, la cuenta B delega esos permisos a los usuarios de la cuenta.
-
Administración de permisos de objetos cuando los propietarios del objeto y del bucket no son los mismos
Los escenarios de ejemplo en este caso incluyen a un propietario de bucket que concede permisos de objetos a otros, pero no todos los objetos en el bucket le pertenecen al propietario del bucket. ¿Qué permisos necesita el propietario del bucket y cómo puede delegar esos permisos?
La Cuenta de AWS que crea un bucket se denomina propietario del bucket. El propietario puede conceder permisos a otras Cuentas de AWS para cargar objetos, y las Cuentas de AWS que crean objetos son las propietarias de estos. El propietario del bucket no tiene permisos sobre aquellos objetos creados por otras Cuentas de AWS. Si el propietario del bucket escribe una política de bucket que concede acceso a los objetos, la política no se aplica a los objetos que le pertenecen a otras cuentas.
En este caso, el propietario del objeto primero debe otorgar permisos al propietario del bucket con una Access Control List (ACL, Lista de control de acceso) de objetos. Luego, el propietario del bucket puede delegar esos permisos de objeto a otros, a usuarios de su propia cuenta o a otra Cuenta de AWS, como se muestra en los siguientes ejemplos.
-
Ejemplo 3: propietario del bucket que concede a sus usuarios permisos para objetos que no posee
En este ejercicio, el propietario del bucket primero obtiene permisos del propietario del objeto. Luego, el propietario del bucket delega esos permisos a usuarios de su propia cuenta.
-
Después de recibir los permisos del propietario del objeto, el propietario del bucket no puede delegar permisos a otras Cuentas de AWS, ya que no se admite la delegación entre cuentas (consulte Delegación de permisos). En lugar de eso, el propietario del bucket puede crear un rol de IAM con permisos para realizar operaciones específicas (como Get object) y permitir que otra Cuenta de AWS asuma ese rol. Luego, cualquiera que asuma el rol puede acceder a los objetos. En este ejemplo se muestra cómo el propietario de un bucket utiliza un rol de IAM para habilitar esta delegación entre cuentas.
-
Antes de probar los tutoriales de ejemplo
Estos ejemplos utilizan la AWS Management Console para crear recursos y conceder permisos. Para probar los permisos, en los ejemplos se utilizan las herramientas de la línea de comandos, AWS CLI y AWS Tools for Windows PowerShell, por lo que no necesita escribir ningún código. Para probar los permisos, debe configurar una de estas herramientas. Para obtener más información, consulte Configuración de las herramientas para los tutoriales.
Además, cuando se crean recursos, en estos ejemplos no se utilizan credenciales de usuario raíz de una Cuenta de AWS. En lugar de eso, usted crea un usuario administrador en estas cuentas para realizar estas tareas.
Acerca del uso de un usuario administrador para crear recursos y conceder permisos
AWS Identity and Access Management (IAM) recomienda no usar las credenciales de usuario raíz de la Cuenta de AWS para realizar solicitudes. En lugar de eso, cree un usuario o rol de IAM, concédale acceso completo y luego utilice sus credenciales para realizar solicitudes. Recibe el nombre de usuario o rol administrador. Para obtener más información, consulte Credenciales de Usuario raíz de la cuenta de AWS e identidades de IAM en la Referencia general de AWS y Prácticas recomendadas de IAM en la Guía del usuario de IAM.
Todos los tutoriales de ejemplo en esta sección utilizan las credenciales de usuario administrador. Si no creó un usuario administrador para su Cuenta de AWS, en los temas se indica cómo hacerlo.
Para iniciar sesión en la AWS Management Console con las credenciales de usuario, debe utilizar la dirección URL de inicio de sesión de usuario de IAM. La consola de IAM