# Amazon S3: restringir la administración a un bucket de S3 específico
<a name="reference_policies_examples_s3_deny-except-bucket"></a>

En este ejemplo se muestra cómo podría crear una política basada en identidad que permita restringir la administración de un bucket de Amazon S3 a ese bucket específico. Esta política concede permiso para llevar a cabo todas las acciones de Amazon S3, pero deniega el acceso a cada Servicio de AWS, excepto Amazon S3. Consulte el siguiente ejemplo. De acuerdo con esta política, solo puede acceder a las acciones de Amazon S3 que pueda hacer en un bucket de S3 o un recurso de objeto de S3. Esta política concede los permisos necesarios para llevar a cabo esta acción mediante programación desde la API o la AWS CLI de AWS. Para utilizar esta política, sustituya el {{texto en cursiva del marcador}} de la política de ejemplo con su propia información. A continuación, siga las instrucciones en [Crear una política](access_policies_create.md) o [Editar una política](access_policies_manage-edit.md).

Si esta política se utiliza en combinación con otras políticas (como las políticas administradas por [AmazonS3FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonS3FullAccess) o [AmazonEC2FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AmazonEC2FullAccess) de AWS) que permiten acciones denegadas por esta política, el acceso se denegará. Esto se debe a que una instrucción de denegación explícita prevalece sobre las instrucciones de permiso. Para obtener más información, consulte [Cómo la lógica del código de aplicación de AWS evalúa las solicitudes para permitir o denegar el acceso](reference_policies_evaluation-logic_policy-eval-denyallow.md).

**aviso**  
[`NotAction`](reference_policies_elements_notaction.md) y [`NotResource`](reference_policies_elements_notresource.md) son elementos avanzados de política que deben utilizarse con precaución. Esta política deniega el acceso a cada servicio de AWS, salvo en Amazon S3. Si asocia esta política a un usuario, cualquier otra política que conceda permisos a otros servicios se pasará por alto y el acceso se denegará.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::{{bucket-name}}",
                "arn:aws:s3:::{{bucket-name}}/*"
            ]
        },
        {
            "Effect": "Deny",
            "NotAction": "s3:*",
            "NotResource": [
                "arn:aws:s3:::{{bucket-name}}",
                "arn:aws:s3:::{{bucket-name}}/*"
            ]
        }
    ]
}
```

------