Restricción del acceso público a los buckets y los objetos de Lightsail - Amazon Lightsail
Establecer la configuración de acceso al bloque público para la cuentaAdministración de buckets y objetos

Restricción del acceso público a los buckets y los objetos de Lightsail

Amazon Simple Storage Service (Amazon S3) es un servicio de almacenamiento de objetos en el que los clientes pueden almacenar y proteger los datos. El servicio de almacenamiento de objetos de Amazon Lightsail se basa en la tecnología de Amazon S3. Amazon S3 ofrece bloqueo del acceso público de cuenta, que puede usar para limitar el acceso público a todos los buckets de S3 de una Cuenta de AWS. El bloqueo del acceso público a nivel de cuenta puede hacer que todos los buckets de S3 en una Cuenta de AWS sean privados, independientemente de los permisos individuales de los buckets y de los objetos existentes.

Al permitir o denegar el acceso público, los buckets de almacenamiento de objetos de Lightsail tienen en cuenta lo siguiente:

  • Los permisos de acceso al bucket de Lightsail. Para obtener más información, consulte Permisos de bucket.

  • Las configuraciones de bloqueo del acceso público de cuenta de Amazon S3, que sobrescriben los permisos de acceso a los buckets de Lightsail.

Si ha habilitado Bloquear todo el acceso público en Amazon S3, los objetos y los buckets públicos de Lightsail pasarán a ser privados y no serán accesibles públicamente.

Establecer la configuración de acceso al bloque público para la cuenta

Puede utilizar la consola de Amazon S3, AWS Command Line Interface (AWS CLI), SDK de AWS y la API de REST para establecer la configuración de bloqueo del acceso público. Puede acceder a la característica de bloqueo del acceso público en la cuenta en el panel de la consola de Amazon S3, tal como se muestra en el ejemplo siguiente.

Opción del panel de navegación para bloquear el acceso público en la consola de Amazon S3

La consola de Amazon S3 ofrece configuraciones para bloquear todo el acceso público, bloquear el acceso público concedido a través de listas de control de acceso nuevas o de cualquier tipo y bloquear el acceso público a buckets y objetos concedido mediante políticas de puntos de acceso o buckets públicas nuevas o de cualquier tipo.

Opciones de bloqueo del acceso público en la consola de Amazon S3

Puede activar o desactivar cada configuración en la consola de Amazon S3. En la API, la configuración correspondiente es TRUE (On) (Activado) o FALSE (Off) (Desactivado). En las secciones siguientes se describen los efectos de cada configuración en los buckets de S3 y buckets de Lightsail.

nota

En las secciones siguientes se mencionan las listas de control de acceso (ACL). Una ACL define los usuarios que poseen o tienen acceso a un bucket u objetos individuales. Para obtener más información, consulte Información general de las Listas de control de acceso (ACL) en la Guía del usuario de Amazon S3.

  • Bloquear todo el acceso público: active esta configuración para bloquear todo el acceso público a sus buckets de S3, buckets de Lightsail y sus objetos correspondientes. Esta configuración incorpora todos los ajustes siguientes. Cuando activa esta configuración, solo usted (el propietario del bucket) y los usuarios autorizados pueden acceder a sus buckets y objetos. Solo puede activar esta configuración en la consola de Amazon S3. No está disponible en AWS CLI, la API de Amazon S3 ni el SDK de AWS.

    • Bloquear el acceso público a los buckets y objetos otorgado mediante nuevas listas de control de acceso (ACL): active esta configuración para bloquear la colocación de ACL públicas en buckets y objetos. Esta configuración no afecta a las ACL existentes. Por lo tanto, un objeto que ya tiene una ACL pública permanece público. Esta configuración tampoco afecta a los objetos que son públicos debido a que se ha establecido el permiso de acceso al bucket All objects are public and read-only (Todos los objetos son públicos y de solo lectura). Esta configuración está etiquetada como BlockPublicAcls en la API de Amazon S3.

      nota

      Complementos de WordPress que incluyen contenido multimedia en los buckets de Lightsail, como el complemento Offload Media Light, pueden dejar de funcionar cuando se activa esta configuración. Esto se debe a que la mayoría de los complementos de WordPress configuran la ACL de lectura pública en objetos. Los complementos de WordPress que alternan las ACL de objetos también pueden dejar de funcionar.

    • Bloquear el acceso público a los buckets y objetos otorgado mediante cualquier lista de control de acceso (ACL): active esta configuración para ignorar las ACL públicas y bloquear el acceso público a los buckets y objetos. Esta configuración permite que las ACL públicas se coloquen en buckets y objetos, pero las ignora al conceder acceso. En el caso de los buckets de Lightsail, establecer el permiso de acceso de un bucket en All objects are public and read-only (Todos los objetos son públicos y de solo lectura) o establecer el permiso de un objeto individual como Public (read-only) (Público [solo lectura]) equivale a colocar una ACL pública en cualquiera de los dos. Esta configuración está etiquetada como IgnorePublicAcls en la API de Amazon S3.

    • Bloquear el acceso público a los buckets y objetos otorgado mediante nuevas políticas de puntos de acceso o buckets públicas: active esta configuración para evitar que el permiso de acceso a buckets Todos los objetos son públicos y de solo lectura se configure en sus buckets de Lightsail. Esta configuración no afecta a los buckets que ya están configurados con el permiso de acceso al bucket All objects are public and read-only (Todos los objetos son públicos y de solo lectura). Esta configuración está etiquetada como BlockPublicPolicy en la API de Amazon S3.

    • Bloquear el acceso público entre cuentas a buckets y objetos mediante cualquier política de punto de acceso o bucket pública: active esta configuración que todos sus buckets de Lightsail sean privados. Esto hace que todos los buckets de Lightsail sean privados, incluso si están configurados con el permiso de acceso al bucket All objects are public and read-only (Todos los objetos son públicos y de solo lectura. Esta configuración está etiquetada como RestrictPublicBuckets en la API de Amazon S3.

      importante

      Esta configuración también bloquea el acceso entre cuentas que se configura en un bucket de Lightsail que también está configurado con el permiso de acceso a buckets All objects are public and read-only (Todos los objetos son públicos y de solo lectura) en Lightsail. Para seguir permitiendo el acceso entre cuentas, asegúrese de configurar el bucket de Lightsail con el permiso de acceso a buckets Todos los objetos son privados en Lightsail antes de activar la configuración Bloquear el acceso público entre cuentas a buckets y objetos mediante cualquier política de punto de acceso o bucket pública en Amazon S3.

Para obtener más información sobre el bloqueo del acceso público y cómo configurarlo, consulte los siguientes recursos en la Guía del usuario de Amazon S3:

Utilice la consola de Lightsail, AWS CLI, SDK de AWS y API de REST para configurar los permisos de acceso para los buckets de Lightsail. Para obtener más información, consulte Permisos de bucket.

nota

Lightsail utiliza un rol vinculado al servicio para obtener la configuración actual de bloqueo del acceso público de Amazon S3 y aplicarla a los recursos de almacenamiento de objetos de Lightsail. Espere al menos una hora después de configurar el bloqueo del acceso público en Amazon S3 para que se aplique en Lightsail. Para obtener más información, consulte Uso de roles vinculados a servicios.

Administración de buckets y objetos

Estos son los pasos generales para administrar el bucket de almacenamiento de objetos de Lightsail:

  1. Obtenga información sobre los buckets y objetos en el servicio de almacenamiento de objetos de Amazon Lightsail. Para obtener más información, consulte Almacenamiento de objetos en Amazon Lightsail.

  2. Obtenga información sobre los nombres que puede asignar a los buckets en Amazon Lightsail. Para obtener más información, consulte Reglas de nomenclatura de buckets en Amazon Lightsail.

  3. Cree un bucket para empezar a utilizar el servicio de almacenamiento de objetos de Lightsail. Para obtener más información, consulte Creación de buckets en Amazon Lightsail.

  4. Obtenga información sobre las prácticas recomendadas de seguridad para los buckets y los permisos de acceso que puede configurar para el bucket. Puede hacer que todos los objetos del bucket sean públicos o privados, o puede optar por hacer públicos los objetos individuales. También puede conceder acceso al bucket mediante la creación de claves de acceso, la asociación de instancias al bucket y la concesión de acceso a otras cuentas de AWS. Para obtener más información, consulte Prácticas recomendadas de seguridad para el almacenamiento de objetos de Amazon Lightsail y Descripción de los permisos de bucket en Amazon Lightsail.

    Tras obtener información sobre los permisos de acceso al bucket, consulte las siguientes guías para conceder el acceso al bucket:

  5. Obtenga información sobre cómo habilitar el registro de acceso para el bucket y cómo usar los registros de acceso para auditar la seguridad del bucket. Para obtener más información, consulte las siguientes guías.

  6. Cree una política de IAM que conceda a un usuario la capacidad de administrar un bucket en Lightsail. Para obtener más información, consulte Política de IAM para administrar buckets en Amazon Lightsail.

  7. Obtenga información sobre la forma en que se etiquetan e identifican los objetos del bucket. Para obtener más información, consulte Descripción de los nombres de clave de objeto en Amazon Lightsail.

  8. Obtenga información sobre cómo cargar archivos y administrar los objetos de los buckets. Para obtener más información, consulte las siguientes guías.

  9. Habilite el control de versiones de objetos para conservar, recuperar y restaurar todas las versiones de los objetos almacenados en su bucket. Para obtener más información, consulte Habilitación y suspensión del control de versiones de objetos en un bucket en Amazon Lightsail.

  10. Tras habilitar el control de versiones de objetos, puede restaurar las versiones anteriores de los objetos del bucket. Para obtener más información, consulte Restauración de versiones anteriores de objetos de un bucket en Amazon Lightsail.

  11. Supervise el uso del bucket. Para obtener más información, consulte Visualización de métricas para el bucket en Amazon Lightsail.

  12. Configure una alarma para que se notifiquen las métricas del bucket cuando el uso del bucket supere un umbral. Para obtener más información, consulte Creación de alarmas de métricas de buckets en Amazon Lightsail.

  13. Cambie el plan de almacenamiento del bucket si se está agotando el almacenamiento y las transferencias de red. Para obtener más información, consulte Cambio del plan del bucket en Amazon Lightsail.

  14. Aprenda a conectar el bucket a otros recursos. Para obtener más información, consulte los siguientes tutoriales.

  15. Elimine el bucket si ya no lo utiliza. Para obtener más información, consulte Eliminación de buckets enAmazon Lightsail.