Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Configuración de Concesiones de acceso a Amazon S3 con IAM Identity Center
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) ofrece la flexibilidad necesaria para conceder un control de acceso detallado basado en la identidad a las ubicaciones de S3. Puede usar Amazon S3 Access Grants concede a los buckets de Amazon S3 acceso directo a los usuarios y grupos corporativos. Siga estos pasos para habilitar S3 Access Grants con IAM Identity Center y lograr una propagación de identidades de confianza.
## Requisitos previos
Antes de empezar con este tutorial, primero tendrá que configurar lo siguiente:
+ [Habilite el Centro de identidades de IAM.](enable-identity-center.md) Se recomienda la [instancia de organización](organization-instances-identity-center.md). Para obtener más información, consulte [Requisitos y consideraciones previos](trustedidentitypropagation-overall-prerequisites.md).
## Configuración de Concesiones de acceso de S3 para una propagación de identidades de confianza a través de IAM Identity Center
**Si ya tiene una instancia de Amazon S3 Access Grants con una ubicación registrada, siga estos pasos:**
1. [Asocie o desasocie su instancia de IAM Identity Center](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html).
1. [Cree una concesión](#tip-tutorial-s3-create-grant)
**Si aún no ha creado un Amazon S3 Access Grants, siga estos pasos:**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html): puede crear una Access Grants instancia S3 por cada instancia. Región de AWS Al crear la instancia de S3 Access Grants, asegúrese de marcar la casilla **Agregar una instancia de IAM Identity Center** y de proporcionar el ARN de su instancia de IAM Identity Center. Seleccione **Siguiente**.
La siguiente imagen muestra la página Crear instancia de S3 Access Grants en la consola de Amazon S3 Access Grants:
![\[Página Crear instancia de S3 Access Grants en la consola de Concesiones de acceso a S3.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **Registrar una ubicación**: después de crear y [crear una Access Grants instancia de Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) Región de AWS en una de su cuenta, [registra una ubicación S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) en esa instancia. Una ubicación de S3 Access Grants asigna la región predeterminada de S3 (`S3://`), un bucket o un prefijo a un rol de IAM. S3 Access Grants asume este rol de Amazon S3 para vender credenciales temporales al beneficiario que accede a esa ubicación en particular. En primer lugar, debe registrar al menos una ubicación en su instancia de S3 Access Grants para poder crear una concesión de acceso.
Para el **ámbito de ubicación**, especifique `s3://`, que incluye todos los buckets de esa región. Este es el ámbito de ubicación recomendado para la mayoría de los casos de uso. Si tiene un caso de uso de administración de acceso avanzada, puede establecer el ámbito de ubicación en un bucket específico `s3://bucket` o en un prefijo dentro de un bucket `s3://bucket/prefix-with-path`. Para obtener más información, consulte [Registrar una ubicación](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) en la *Guía del usuario de Amazon Simple Storage Service*.
**nota**
Asegúrese de que las ubicaciones S3 de las AWS Glue tablas a las que quiere conceder acceso estén incluidas en esta ruta.
El procedimiento requiere que configure un rol de IAM para la ubicación. Este rol debe incluir permisos para acceder al ámbito de la ubicación. Puede utilizar la consola de S3 para crear este rol. Deberá especificar el ARN de su instancia de S3 Access Grants en las políticas de este rol de IAM. El valor predeterminado del ARN de la instancia de S3 Access Grants es `arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default`.
En el siguiente ejemplo de política de permisos se otorgan permisos a Amazon S3 para el rol de IAM que ha creado. La política de confianza de ejemplo que le sigue permite a la entidad principal del servicio de S3 Access Grants asumir el rol de IAM.
1. **Política de permisos**
Para usar estas políticas, sustituya *italicized placeholder text* la política del ejemplo por su propia información. Para obtener instrucciones adicionales, consulte [Creación de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) o [Edición de una política](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **Política de confianza**
En la política de confianza del rol de IAM, proporcione al servicio de Concesiones de acceso a Amazon S3 acceso de entidad principal (`access-grants.s3.amazonaws.com`) al rol de IAM que ha creado. Para ello, puede crear un archivo JSON que contenga las siguientes instrucciones. Para agregar la política de confianza a su cuenta, consulte [Creación de un rol mediante políticas de confianza personalizadas](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Creación de una concesión de acceso de Amazon S3
Si tiene una instancia de Amazon S3 Access Grants con una ubicación registrada y ha asociado su instancia de IAM Identity Center a ella, puede [crear una concesión](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html). En la página **Crear concesión** de la consola de S3, complete lo siguiente:
**Crear una concesión**
1. Seleccione la ubicación que creó en el paso anterior. Puede reducir el ámbito de la concesión añadiendo un subprefijo. El subprefijo puede ser un `bucket`, `bucket/prefix` o un objeto del bucket. Para obtener más información, consulte [Subprefijo](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) en la *Guía del usuario de Amazon Simple Storage Service*.
1. En **Permisos y acceso**, seleccione **Leer** o **Escribir** según sus necesidades.
1. En **Tipo de otorgante**, elija **Identidad de directorio en IAM Identity Center**.
1. Proporciones el **ID de usuario o grupo** de IAM Identity Center. Puede encontrar el usuario y el grupo IDs en la consola del IAM Identity Center, en [las secciones **Usuario** y **Grupo**](howtoviewandchangepermissionset.md). Seleccione **Siguiente**.
1. En la página **Revisar y finalizar**, revise la configuración de S3 Access Grant y, a continuación, seleccione **Crear concesión**.
La siguiente imagen muestra la página Crear concesión en la consola de Amazon S3 Access Grants:
![\[Página Crear concesión en la consola de Concesiones de acceso a Amazon S3.\]](http://docs.aws.amazon.com/es_es/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)