Gerenciar o acesso com a funcionalidade Concessões de Acesso do S3
Para aderir ao princípio do privilégio mínimo, defina o acesso granular aos dados do Amazon S3 com base em aplicações, personas, grupos ou unidades organizacionais. Você pode usar várias abordagens para obter acesso granular aos dados no Amazon S3, dependendo da escala e da complexidade dos padrões de acesso.
A abordagem mais simples para gerenciar o acesso a números pequenos a médios de conjuntos de dados no Amazon S3 por entidades principais do AWS Identity and Access Management (IAM) é definir políticas de permissões do IAM e políticas de buckets do S3. Essa estratégia funcionará se as políticas necessárias se encaixarem nos limites de tamanho das políticas de bucket do S3 (20 KB) e das políticas do IAM (5 KB), bem como no número de entidades principais do IAM permitidas por conta.
À medida que o número de conjuntos de dados e casos de uso aumenta, talvez você precise de mais espaço para políticas. Uma abordagem que oferece muito mais espaço para declarações de política é usar os pontos de acesso do S3 como endpoints adicionais para buckets do S3, porque cada ponto de acesso pode ter sua própria política. Você pode definir padrões de controle de acesso bastante granulares, já que é possível ter milhares de pontos de acesso por Região da AWS por conta, com uma política de até 20 KB para cada ponto de acesso. Embora os pontos de acesso do S3 aumentem a quantidade de espaço disponível para políticas, é necessário um mecanismo para que os clientes descubram o ponto de acesso certo para o conjunto de dados certo.
Uma terceira abordagem é implementar um padrão de agente de sessão do IAM, no qual você implementa a lógica de decisão de acesso e gera dinamicamente credenciais de sessão do IAM de curto prazo para cada sessão de acesso. Embora a abordagem de agente de sessão do IAM ofereça suporte a padrões de permissões arbitrariamente dinâmicos e escale de forma eficaz, você deve criar a lógica do padrão de acesso.
Em vez de usar essas abordagens, você pode usar a funcionalidade Concessões de Acesso do S3 para gerenciar o acesso aos dados do Amazon S3. A funcionalidade Concessões de Acesso do S3 fornece um modelo simplificado para definir permissões de acesso aos dados no Amazon S3 por prefixo, bucket ou objeto. Além disso, você pode usar a funcionalidade Concessões de Acesso do S3 para conceder acesso às entidades principais do IAM e diretamente aos usuários ou grupos do diretório corporativo.
Em geral, você define permissões para os dados no Amazon S3 mapeando usuários e grupos para conjuntos de dados. Você pode usar a funcionalidade Concessões de Acesso do S3 para definir mapeamentos de acesso direto dos prefixos do S3 para usuários e perfis em buckets e objetos do Amazon S3. Com o esquema de acesso simplificado da funcionalidade Concessões de Acesso do S3, você pode conceder acesso somente leitura, somente gravação ou leitura e gravação com base em prefixo do S3 tanto para entidades principais do IAM quanto diretamente para usuários ou grupos de um diretório corporativo. Com esses recursos da funcionalidade Concessões de Acesso do S3, as aplicações podem solicitar dados do Amazon S3 em nome do usuário atualmente autenticado da aplicação.
Quando você integra a funcionalidade Concessões de Acesso do S3 ao recurso de propagação de identidades confiáveis do AWS IAM Identity Center, as aplicações podem fazer solicitações aos Serviços da AWS (incluindo a funcionalidade Concessões de Acesso do S3) diretamente em nome de um usuário autenticado do diretório corporativo. As aplicações não precisam mais primeiro mapear o usuário para uma entidade principal do IAM. Além disso, como as identidades dos usuários finais são propagadas até o Amazon S3, a auditoria de qual usuário acessou qual objeto do S3 é simplificada. Você não precisa mais reconstruir o relacionamento entre diferentes usuários e sessões do IAM. Quando você usa a funcionalidade Concessões de Acesso do S3 com a propagação de identidades confiáveis do Centro de Identidade do IAM, cada evento de dados do AWS CloudTrail para o Amazon S3 contém uma referência direta ao usuário final em cujo nome os dados foram acessados.
Para obter mais informações sobre a funcionalidade Concessões de Acesso do S3, consulte os tópicos a seguir.
Tópicos
- Conceitos da funcionalidade Concessões de Acesso do S3
- Concessões de Acesso do S3 e identidades de diretórios corporativos
- Conceitos básicos da funcionalidade Concessões de Acesso do S3
- Trabalhar com instâncias do recurso Concessão de Acesso do S3
- Trabalhar com locais do recurso Concessão de Acesso do S3
- Trabalhar com concessões no recurso Concessão de Acesso do S3
- Obter dados do S3 usando concessões de acesso
- Acesso entre contas da funcionalidade Concessões de Acesso do S3
- Usar etiquetas da AWS com a funcionalidade Concessões de Acesso do S3
- Limitações da funcionalidade Concessões de Acesso do S3
- Integrações da funcionalidade Concessões de Acesso do S3