Impedir el acceso al bucket de Amazon S3 entre entornos

En este tema se explica cómo las políticas administradas pueden permitir el acceso a los buckets de S3 entre entornos y cómo se pueden crear políticas personalizadas para administrar este tipo de acceso.

Elastic Beanstalk proporciona políticas administradas para AWS gestionar los recursos que requieren los entornos de Elastic Beanstalk de su cuenta. AWS Los permisos proporcionados de forma predeterminada a una aplicación de su AWS cuenta tienen acceso a los recursos de S3 que pertenecen a otras aplicaciones de la misma cuenta. AWS

Si su AWS cuenta ejecuta varias aplicaciones de Beanstalk, puede reducir la seguridad de sus políticas creando su propia política personalizada para adjuntarla a su propio rol de servicio o perfil de instancia para cada entorno. A continuación, puede limitar los permisos de S3 de su política personalizada a un entorno específico.

nota

Ten en cuenta que eres responsable de mantener tu política personalizada. Si cambia una política gestionada por Elastic Beanstalk en la que se basa la política personalizada, tendrá que modificar la política personalizada con los cambios correspondientes en la política base. Para obtener un historial de cambios de las políticas administradas de Elastic Beanstalk, consulte. Actualizaciones de Elastic AWS Beanstalk a las políticas administradas

Ejemplo de permisos restringidos

El siguiente ejemplo se basa en la política AWSElasticBeanstalkWebTieradministrada.

La política predeterminada incluye las siguientes líneas para los permisos de los buckets de S3. Esta política predeterminada no limita las acciones del bucket de S3 a entornos o aplicaciones específicos.


{
   "Sid" : "BucketAccess", 
   "Action" : [ 
      "s3:Get*",
      "s3:List*", 
      "s3:PutObject"
     ], 
   "Effect" : "Allow",
   "Resource" : [ 
      "arn:aws:s3:::elasticbeanstalk-*", 
      "arn:aws:s3:::elasticbeanstalk-*/*" 
     ] 
}

Puede limitar el acceso calificando recursos específicos para un rol de servicio especificado comoPrincipal. El siguiente ejemplo proporciona los aws-elasticbeanstalk-ec2-role-my-example-env permisos de rol de servicio personalizados para los buckets de S3 del entorno con idmy-example-env-ID.

ejemplo Otorgue permisos solo a los buckets de S3 de un entorno específico


{
   "Sid": "BucketAccess",
   "Action": [
      "s3:Get*",
      "s3:List*",
      "s3:PutObject"
    ],
   "Effect": "Allow",
   "Principal": {
      "AWS": "arn:aws:iam::...:role/aws-elasticbeanstalk-ec2-role-my-example-env"
     },
   "Resource": [
      "arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345",
      "arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345/resources/environments/my-example-env-ID/*"
    ]
}

nota

El recurso ARN debe incluir el ID del entorno de Elastic Beanstalk (no el nombre del entorno). Puede obtener el identificador del entorno en la consola de Elastic Beanstalk en la página de información general del entorno. También puede usar el comando AWS CLI describe-environments para obtener esta información.

Para obtener más información que le ayude a actualizar los permisos de los buckets de S3 para sus entornos de Elastic Beanstalk, consulte los siguientes recursos:

Usar Elastic Beanstalk con Amazon S3 en esta guía
Tipos de recursos definidos por Amazon S3 en la guía de referencia de autorización de servicios
ARNformato en la Guía IAM del usuario

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Ejemplo de políticas específicas de recursos

Amazon RDS