Ejemplo de política de contenedor: política Acceso completo entre cuentas a un rol - AWSElemental MediaStore

Aviso de fin del soporte: el 13 de noviembre de 2025, AWS dejaremos de ofrecer soporte a AWS Elemental MediaStore. Después del 13 de noviembre de 2025, ya no podrás acceder a la MediaStore consola ni a MediaStore los recursos. Para obtener más información, visita esta entrada de blog.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Ejemplo de política de contenedor: política Acceso completo entre cuentas a un rol

Este ejemplo de política permite acceso entre cuentas para actualizar cualquier objeto de la cuenta, siempre y cuando el usuario haya iniciado sesión sobre HTTP. También permite el acceso entre cuentas para eliminar, descargar y describir objetos a través de HTTP o HTTPS en una cuenta que ha asumido el rol especificado:

  • La primera instrucción es CrossAccountRolePostOverHttps. Permite el acceso a la operación PutObject en cualquier objeto y permite este acceso a los usuarios de la cuenta especificada si esta ha asumido la función especificada en <nombre de función>. Especifica que este acceso requiere HTTPS para la operación (esta condición se debe incluir siempre al proporcionar acceso a PutObject).

    En otras palabras, cualquier entidad principal que tenga acceso entre cuentas puede obtener acceso a PutObject, pero solo por medio de HTTPS.

  • La segunda instrucción es CrossAccountFullAccessExceptPost. Permite el acceso a todas las operaciones, excepto a PutObject, en cualquier objeto. Concede este acceso a los usuarios de la cuenta especificada si esa cuenta ha asumido la función que se ha especificado en <nombre de función>. Este acceso no requiere HTTPS para las operaciones.

    En otras palabras, cualquier cuenta que tenga acceso entre cuentas puede obtener acceso a DeleteObject, GetObject y así sucesivamente (pero no a PutObject), y puede hacerlo mediante HTTP o HTTPS.

    Si no excluye PutObject de la segunda instrucción, la instrucción no será válida (ya que si incluye PutObject, debe establecer explícitamente HTTPS como condición).

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "CrossAccountRolePostOverHttps",
      "Effect": "Allow",
      "Action": "mediastore:PutObject",
      "Principal":{
        "AWS": "arn:aws:iam::<other acct number>:role/<role name>"},
      "Resource": "arn:aws:mediastore:<region>:<owner acct number>:container/<container name>/*",
      "Condition": {
        "Bool": {
            "aws:SecureTransport": "true"
        }
      }
    },
    {
      "Sid": "CrossAccountFullAccessExceptPost",
      "Effect": "Allow",
      "NotAction": "mediastore:PutObject",
      "Principal":{
        "AWS": "arn:aws:iam::<other acct number>:role/<role name>"},
      "Resource": "arn:aws:mediastore:<region>:<owner acct number>:container/<container name>/*"
    }
  ]
}