# Controle de acesso no Amazon S3
Na AWS, um recurso é uma entidade com a qual você pode trabalhar. No Amazon Simple Storage Service (S3), *buckets* e *objetos* são os recursos originais do Amazon S3. É provável que todo cliente do S3 tenha buckets com objetos. A adição de novas funcionalidades ao S3 também acompanha novos recursos adicionais, mas nem todo cliente usa esses recursos específicos. Para obter mais informações sobre os recursos do Amazon S3, consulte [Recursos do S3](#access-management-resources).
Por padrão, todos os recursos do Amazon S3 são privados. Além disso, por padrão, o usuário-raiz da Conta da AWS que criou o recurso (proprietário do recurso) e os usuários do IAM dentro dessa conta com as permissões necessárias podem acessar um recurso que eles criaram. O proprietário do recurso decide quem mais pode acessar o recurso e as ações que outras pessoas podem realizar no recurso. O S3 tem várias ferramentas de gerenciamento de acesso que você pode usar para conceder a outras pessoas acesso aos seus recursos do S3.
As seções a seguir fornecem uma visão geral dos recursos do S3, das ferramentas de gerenciamento de acesso do S3 disponíveis e dos melhores casos de uso para cada ferramenta de gerenciamento de acesso. As listas nessas seções buscam ser abrangentes e incluir todos os recursos, ferramentas de gerenciamento de acesso e casos de uso comuns de gerenciamento de acesso do S3. Ao mesmo tempo, essas seções foram projetadas para serem diretórios que levam você aos detalhes técnicos desejados. Se você já tiver uma boa compreensão de alguns dos tópicos a seguir, poderá pular para a seção que se aplica a você.
Para ter mais informações sobre as permissões referentes a operações de API do S3 de acordo com os tipos de recurso do S3, consulte [Permissões obrigatórias para operações de API do Amazon S3](using-with-s3-policy-actions.md).
**Tópicos**
+ [Recursos do S3](#access-management-resources)
+ [Identidades](#access-management-owners)
+ [Ferramentas de gerenciamento de acesso](#access-management-tools)
+ [Ações](#access-management-actions)
+ [Casos de uso do gerenciamento de acesso](#access-management-usecases)
+ [Solução de problemas de gerenciamento de acesso](#access-management-troubleshooting)
## Recursos do S3
Os recursos originais do Amazon S3 são os buckets e os objetos que eles contêm. À medida que novas funcionalidades são adicionadas ao S3, novos recursos também são adicionados. Veja a seguir uma lista completa dos recursos do S3 e suas respectivas funcionalidades.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/AmazonS3/latest/userguide/access-management.html)
**Buckets**
Há dois tipos de bucket do Amazon S3: os *buckets de uso geral* e os *buckets de diretório*.
+ Os **buckets de uso geral** são o tipo original de bucket do S3 e são recomendados para a maioria dos casos de uso e padrões de acesso. Os buckets de uso geral também permitem que objetos sejam armazenados em todas as classes de armazenamento, exceto na classe S3 Express One Zone. Para obter mais informações sobre as classes de armazenamento do S3, consulte [Compreender e gerenciar classes de armazenamento do Amazon S3](storage-class-intro.md).
+ Os **buckets de diretório** usam a classe de armazenamento S3 Express One Zone, que é recomendada se sua aplicação é sensível à performance e se beneficia de latências inferiores a dez milissegundos para `PUT` e `GET`. Para obter mais informações, consulte [Trabalhar com buckets de diretório](directory-buckets-overview.md), [S3 Express One Zone](directory-bucket-high-performance.md#s3-express-one-zone) e [Autorizar operações de API de endpoint regional com o IAM](s3-express-security-iam.md).
**Categorizar os recursos do S3**
O Amazon S3 oferece funcionalidades para categorizar e organizar seus recursos do S3. Além de ser útil para organizar os recursos, a categorização também permite que você defina regras de gerenciamento de acesso com base nas categorias de recursos. Em particular, prefixos e marcações são duas funcionalidades de organização de armazenamento que você pode usar ao definir permissões de gerenciamento de acesso.
**nota**
As informações a seguir se aplicam a buckets de uso geral. Os buckets de diretório não oferecem suporte à marcação e têm limitações de prefixo. Para ter mais informações, consulte [Autorizar operações de API de endpoint regional com o IAM](s3-express-security-iam.md).
+ **Prefixos**: um prefixo no Amazon S3 é uma string de caracteres no início do nome de uma chave de objeto que é usado para organizar os objetos armazenados em buckets do S3. Você pode usar um caractere delimitador, como uma barra (`/`), para indicar o final do prefixo no nome da chave de objeto. Por exemplo, você pode ter nomes de chave de objeto que começam com o prefixo `engineering/` ou nomes de chave de objeto que começam com o prefixo `marketing/campaigns/`. O uso de um delimitador no final do prefixo, como um caractere de barra `/`, simula as convenções de nomenclatura de pastas e arquivos. No entanto, no S3, o prefixo faz parte do nome da chave de objeto. Em buckets do S3 de uso geral, não há uma hierarquia real de pastas.
O Amazon S3 oferece suporte à organização e ao agrupamento de objetos por meio de seus prefixos. Também é possível gerenciar o acesso aos objetos por meio de seus prefixos. Por exemplo, é possível limitar o acesso somente aos objetos com nomes que começam com um prefixo específico.
Para ter mais informações, consulte [Organizar objetos usando prefixos](using-prefixes.md). O console do S3 usa o conceito de *pastas*, que, em buckets de uso geral, são prefixos previamente incluídos no nome da chave de objeto. Para ter mais informações, consulte [Organizar objetos no console do Amazon S3 usando pastas](using-folders.md).
+ **Etiquetas**: cada etiqueta é um par de chave/valor que é atribuído aos recursos. Por exemplo, você pode marcar alguns recursos com a etiqueta `topicCategory=engineering`. Você pode usar a marcação para ajudar na alocação de custos, na categorização e organização e no controle de acesso. A marcação de buckets é usada somente para alocação de custos. Você pode marcar objetos, trabalhos e as funcionalidades Lente de Armazenamento e Concessões de Acesso do S3 para fins de organização ou controle de acesso. Na funcionalidade Concessões de Acesso do S3, também é possível usar a marcação para alocação de custos. Como exemplo de controle do acesso aos recursos usando as etiquetas deles, você pode compartilhar somente os objetos que têm uma etiqueta específica ou uma combinação de etiquetas.
Para obter mais informações, consulte [Controle do acesso aos recursos da AWS usando tags de recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) no *Guia do usuário do IAM*.
## Identidades
No Amazon S3, o proprietário do recurso é a identidade que criou o recurso, como um bucket ou um objeto. Por padrão, somente o usuário-raiz da conta que criou o recurso e as identidades do IAM dentro da conta que têm a permissão necessária podem acessar o recurso do S3. Os proprietários de recursos podem conceder acesso aos seus recursos do S3 para outras identidades.
Identidades que não possuem um recurso podem solicitar acesso a esse recurso. As solicitações para um recurso são autenticadas ou não autenticadas. As solicitações autenticadas devem incluir um valor de assinatura que autentica o remetente da solicitação, enquanto solicitações não autenticadas não exigem assinatura. Recomendamos que você conceda acesso somente a usuários autenticados. Consulte mais informações sobre a autenticação de solicitações em [Making requests](https://docs.aws.amazon.com/AmazonS3/latest/API/MakingRequests.html) na *Referência da API do Amazon S3*.
**Importante**
Recomendamos que você não use credenciais de usuário raiz da Conta da AWS para fazer solicitações autenticadas. Em vez disso, crie um perfil do IAM e conceda acesso total a ele. Usuários com esse perfil são conhecidos como *usuários administradores*. Em vez de usar credenciais de usuário raiz da Conta da AWS, você pode usar credenciais atribuídas ao perfil administrador para interagir com a AWS e realizar tarefas, como criar um bucket, criar usuários e conceder permissões a eles. Para obter mais informações, consulte [Credenciais de usuário-raiz da Conta da AWS e credenciais de usuário do IAM](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html) na *Referência geral da AWS* e [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.
As identidades que acessam seus dados no Amazon S3 podem ser uma das seguintes:
**Conta da AWS proprietária**
A Conta da AWS que criou o recurso. Por exemplo, a conta que criou o bucket. Essa conta é a proprietária do recurso. Para obter mais informações, consulte [Usuário-raiz da conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html).
**Identidades do IAM na mesma conta da Conta da AWS proprietária**
Ao configurar contas para novos membros da equipe que precisam de acesso ao S3, a Conta da AWS proprietária pode usar o AWS Identity and Access Management (IAM) para criar [usuários](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html), [grupos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) e [perfis](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html). Depois, a Conta da AWS proprietária pode compartilhar recursos com essas identidades do IAM. A conta proprietária também pode especificar permissões para conceder às identidades do IAM, o que permite ou nega as ações que podem ser executadas nos recursos compartilhados.
As identidades do IAM fornecem mais recursos, incluindo a capacidade de exigir que os usuários insiram credenciais de login antes de acessar recursos compartilhados. Usando as identidades do IAM, é possível implementar uma forma de autenticação multifator (MFA) do IAM para oferecer suporte a uma base de identidade sólida. Uma prática recomendada do IAM é a criação de perfis para gerenciamento de acesso em vez de conceder permissões a cada usuário individual. Você atribui usuários individuais ao perfil apropriado. Para saber mais, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html).
**Outras contas da AWS proprietárias e suas identidades do IAM (acesso entre contas)**
A Conta da AWS proprietária também pode conceder acesso aos recursos para outras contas da AWS proprietárias ou identidades do IAM que pertençam a outra conta da AWS.
**nota**
**Delegação de permissão**: se uma Conta da AWS for proprietária de um recurso, ela poderá conceder essas permissões a outra Conta da AWS. Essa conta poderá delegar essas permissões, ou um subconjunto delas, para usuários da mesma conta. Isso é chamado de delegação de permissão. No entanto, uma conta que recebe permissões de outra conta não pode delegar essas permissões “entre contas” para outra Conta da AWS.
**Usuários anônimos (acesso público)**
A Conta da AWS proprietária pode tornar os recursos públicos. Tornar um recurso público tecnicamente compartilha o recurso com *o usuário anônimo*. Os buckets criados desde abril de 2023 bloqueiam todo o acesso público por padrão, a menos que você altere essa configuração. Recomendamos que você configure os buckets para bloquear o acesso público e que conceda acesso somente a usuários autenticados. Para obter mais informações sobre como bloquear o acesso público, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](access-control-block-public-access.md).
**Serviços da AWS**
O proprietário do recurso pode conceder acesso a um recurso do Amazon S3 para outro serviço da AWS. Por exemplo, você pode conceder a permissão `s3:PutObject` ao serviço AWS CloudTrail para gravação de arquivos de log no seu bucket. Para obter mais informações, consulte [Fornecimento de acesso a um produto da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_services.html).
**Identidades do diretório corporativo**
O proprietário do recurso pode conceder aos usuários ou perfis do seu diretório corporativo acesso a um recurso do S3 usando a funcionalidade [Concessões de Acesso do S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-grants-get-started.html). Para obter mais informações sobre como adicionar um diretório corporativo ao Centro de Identidade do AWS IAM, consulte [What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
### Proprietários de bucket ou recurso
A Conta da AWS que você usa para criar buckets e carregar objetos é a proprietária desses recursos. Um proprietário do bucket pode conceder permissões entre contas à outra Conta da AWS (ou aos usuários em outra conta) para carregar objetos.
Quando o proprietário de um bucket permite que outra conta faça upload de objetos em um bucket, o proprietário do bucket é dono de todos os objetos enviados para esse bucket por padrão. No entanto, se as configurações *Imposto pelo proprietário do bucket* e *Proprietário do bucket preferido* estiverem desativadas, a Conta da AWS que faz upload dos objetos será proprietária desses objetos, e o proprietário do bucket não terá permissões sobre os objetos pertencentes a outra conta, com as seguintes exceções:
+ O proprietário do bucket paga as faturas. O proprietário do bucket pode negar acesso a todos os objetos ou excluir objetos no bucket, independentemente de quem o possui.
+ O proprietário do bucket pode arquivar todos os objetos ou restaurar os objetos arquivados, independentemente de quem os possui. Arquivo refere-se à classe de armazenamento usada para armazenar os objetos. Para ter mais informações, consulte [Gerenciar o ciclo de vida dos objetos](object-lifecycle-mgmt.md).
## Ferramentas de gerenciamento de acesso
O Amazon S3 fornece uma variedade de recursos e ferramentas de segurança. Veja a seguir uma lista abrangente desses recursos e ferramentas. Você não precisa de todas essas ferramentas de gerenciamento de acesso, mas deve usar uma ou mais para conceder acesso aos seus recursos do Amazon S3. A aplicação adequada dessas ferramentas pode ajudar a garantir que seus recursos só possam ser acessados pelos usuários pretendidos.
A ferramenta de gerenciamento de acesso mais usada é a *política de acesso*. Uma política de acesso pode ser uma *política baseada em recurso* vinculada a um recurso da AWS, como uma política de bucket para um bucket. Uma política de acesso também pode ser uma *política baseada em identidade* anexada a uma identidade do AWS Identity and Access Management (IAM), como um usuário, grupo ou perfil do IAM. Escreva uma política de acesso para conceder a Contas da AWS e usuários, grupos e perfis do IAM permissão para realizar operações em um recurso. Por exemplo, você pode conceder a permissão `PUT Object` para outra Conta da AWS de modo que o usuário possa fazer upload de objetos em seu bucket.
A política de acesso descreve quem tem acesso a quê. Quando o Amazon S3 recebe uma solicitação, ele precisa avaliar todas as políticas de acesso para determinar se deve autorizar ou negar a solicitação. Para obter mais informações sobre como o Amazon S3 avalia essas políticas, consulte [Como o Amazon S3 autoriza uma solicitação](how-s3-evaluates-access-control.md).
Veja a seguir as ferramentas de gerenciamento de acesso disponíveis no Amazon S3.
### Política de bucket
Uma política de bucket do Amazon S3 é uma [política baseada em recurso do AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html), formatada em JSON, que é anexada a determinado bucket. Use políticas de bucket para conceder a outras Contas da AWS ou identidades do IAM permissões de acesso ao bucket e aos objetos contidos nele. Muitos casos de uso de gerenciamento de acesso do S3 podem ser atendidos usando uma política de bucket. Com as políticas de bucket, é possível personalizar o acesso ao bucket para ajudar a garantir que somente as identidades que você aprovou possam acessar recursos e executar ações neles. Para ter mais informações, consulte [Políticas de bucket para o Amazon S3](bucket-policies.md).
A seguir há um exemplo de política de bucket. Expresse a política de bucket usando um arquivo JSON. Esse exemplo de política concede uma permissão de leitura do perfil do IAM a todos os objetos no bucket. Ela contém uma instrução chamada `BucketLevelReadPermissions`, que permite a ação `s3:GetObject` (permissão de leitura) nos objetos em um bucket chamado `amzn-s3-demo-bucket1`. Ao especificar um perfil do IAM como `Principal`, essa política concede acesso a todos os usuários do IAM com esse perfil. Para usar esse exemplo de política, substitua os `user input placeholders` por suas próprias informações.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"BucketLevelReadPermissions",
"Effect":"Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789101:role/s3-role"
},
"Action":["s3:GetObject"],
"Resource":["arn:aws:s3:::amzn-s3-demo-bucket/*"]
}]
}
```
------
**nota**
Ao criar políticas, evite o uso de caracteres curinga (`*`) no elemento `Principal`, porque ele permite que qualquer pessoa acesse os recursos do Amazon S3. Em vez disso, é melhor listar explicitamente usuários ou grupos que têm permissão para acessar o bucket ou listar condições que devem ser atendidas usando uma cláusula de condição na política. Além disso, em vez de incluir um caractere curinga para as ações de seus usuários ou grupos, conceda a eles permissões específicas quando aplicável.
### Política baseada em identidade
Uma política de usuário do IAM ou baseada em identidade é um tipo de política do [AWS Identity and Access Management(IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html). Uma política baseada em identidade é uma política em formato JSON anexada a usuários, grupos ou perfis do IAM em sua conta da AWS. Você pode usar políticas baseadas em identidade para conceder a uma identidade do IAM acesso a buckets ou objetos. É possível criar usuários, grupos e perfis do IAM em sua conta e anexar políticas de acesso a eles. Depois, você pode conceder acesso a recursos da AWS, incluindo recursos do Amazon S3. Para ter mais informações, consulte [Políticas baseadas em identidade do Amazon S3](security_iam_id-based-policy-examples.md).
Veja a seguir um exemplo de uma política baseada em identidade. O exemplo de política permite que o perfil do IAM associado execute seis ações diferentes do Amazon S3 (permissões) em um bucket e nos objetos contidos nele. Se você anexar essa política a um perfil do IAM em sua conta e atribuir o perfil a alguns de seus usuários do IAM, os usuários com esse perfil poderão realizar essas ações nos recursos (buckets) especificados na política. Para usar esse exemplo de política, substitua os `user input placeholders` por suas próprias informações.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AssignARoleActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
},
{
"Sid": "AssignARoleActions2",
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
}
]
}
```
------
### Concessões de Acesso do S3
Use a funcionalidade Concessões de Acesso do S3 para criar concessões de acesso aos seus dados do Amazon S3 para identidades em diretórios de identidades corporativas, como Active Directory, e para identidades do AWS Identity and Access Management (IAM). A funcionalidade Concessões de Acesso do S3 ajuda você a gerenciar permissões de dados em grande escala. Além disso, a funcionalidade Concessões de Acesso do S3 registra a identidade do usuário final e a aplicação usada para acessar os dados do S3 em logs do AWS CloudTrail. Isso fornece um histórico de auditoria detalhado até a identidade do usuário final para todos os acessos aos dados em seus buckets do S3. Para ter mais informações, consulte [Gerenciar o acesso com a funcionalidade Concessões de Acesso do S3](access-grants.md).
### Pontos de acesso
A funcionalidade Pontos de Acesso Amazon S3 simplifica o gerenciamento do acesso a dados em escala para aplicações que usam conjuntos de dados compartilhados no S3. Os pontos de acesso são endpoints de rede nomeados que são anexados a um bucket. Você pode usar os pontos de acesso para executar operações em objetos do S3 em grande escala, como fazer upload e recuperar objetos. Um bucket pode ter até 10.000 pontos de acesso anexados, e é possível impor permissões distintas e controles de rede a cada ponto de acesso para fornecer controle detalhado sobre o acesso aos objetos do S3. A funcionalidade Pontos de Acesso do S3 pode ser associada a buckets na mesma conta ou em outra conta confiável. As políticas de pontos de acesso são políticas baseadas em recurso que são avaliadas em conjunto com a política de bucket correspondente. Para ter mais informações, consulte [Gerenciar o acesso a conjuntos de dados compartilhados com pontos de acesso](access-points.md).
### Lista de controle de acesso (ACL)
Uma ACL é uma lista de concessões que identifica o concessionário e a permissão concedida. As ACLs concedem permissões básicas de leitura ou gravação a outras Contas da AWS. As ACLs usam um esquema XML específico do Amazon S3. Uma ACL é um tipo de [política do AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html). Uma ACL de objeto é usada para gerenciar o acesso a um objeto, e uma ACL de bucket é usada para gerenciar o acesso a um bucket. No caso das políticas de bucket, há uma única política para o bucket todo, mas as ACLs de objeto são especificadas por objeto. Recomendamos manter as ACLs desabilitadas, exceto em circunstâncias em que seja necessário controlar o acesso para cada objeto individualmente. Para obter mais informações sobre como usar ACLs, consulte [Controlar a propriedade de objetos e desabilitar ACLs para seu bucket](about-object-ownership.md).
**Atenção**
A maioria dos casos de uso modernos no Amazon S3 não exige o uso de ACLs.
Esta é uma ACL de bucket de exemplo. A concessão na ACL mostra um proprietário de bucket com permissão de controle total.
```
Owner-Canonical-User-ID
Owner-Canonical-User-ID
FULL_CONTROL
```
### Propriedade de Objeto
Para gerenciar o acesso a um objeto, você precisa ser o proprietário desse objeto. Você pode usar a configuração Propriedade de Objeto ao nível do bucket para controlar a propriedade de objetos carregados no bucket. Além disso, use a Propriedade de Objeto para ativar as ACLs. Por padrão, “Propriedade do objeto” está definida com a configuração *Imposto pelo proprietário do bucket* e todas as ACLs estão desabilitadas. Quando as ACLs estão desativadas, o proprietário do bucket possui todos os objetos do bucket e gerencia exclusivamente o acesso aos dados. Para gerenciar o acesso, o proprietário do bucket usa políticas ou outra ferramenta de gerenciamento de acesso, excluindo as ACLs. Para ter mais informações, consulte [Controlar a propriedade de objetos e desabilitar ACLs para seu bucket](about-object-ownership.md).
Há três configurações para a Propriedade de Objeto que podem ser usadas tanto para controlar a propriedade de objetos carregados no bucket como para ativar as ACLs:
**ACLs desativadas**
+ **Imposto pelo proprietário do bucket (padrão)**: as ACLs são desativadas e o proprietário do bucket automaticamente tem a propriedade e o controle total sobre todos os objetos do bucket. As ACLs não afetam mais as permissões aos dados no bucket do S3. O bucket usa políticas exclusivamente para definir o controle de acesso.
**ACLs ativadas**
+ **Bucket owner preferred** (Preferencial do proprietário do bucket): o proprietário do bucket tem a propriedade e o controle total sobre novos objetos que outras contas gravam no bucket com a ACL `bucket-owner-full-control` pré-configurada.
+ **Object writer** (Gravador de objetos): a Conta da AWS que carrega um objeto é a proprietária do objeto, tem controle total sobre ele e pode conceder acesso a outros usuários por meio de ACLs.
**Melhores práticas adicionais**
Considere o uso das seguintes ferramentas e configurações de bucket para ajudar a proteger os dados em trânsito e em repouso, ambas as quais são cruciais para manter a integridade e a acessibilidade dos dados.
+ **Bloquear acesso público**: não desative a configuração padrão ao nível do bucket *Bloquear acesso público*. Essa configuração bloqueia o acesso público aos seus dados por padrão. Para obter mais informações sobre como bloquear o acesso público, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](access-control-block-public-access.md).
+ **Versionamento do S3**: para manter a integridade dos dados, você pode implementar a configuração de bucket Versionamento do S3, que cria versões dos objetos à medida que você faz atualizações, em vez de substituí-los. O Versionamento do S3 pode ser usado para preservar, recuperar e restaurar uma versão anterior, se necessário. Para obter informações sobre o Versionamento do S3, consulte [Reter várias versões de objetos com o Versionamento do S3](Versioning.md).
+ **Bloqueio de Objetos do S3**: a funcionalidade Bloqueio de Objetos do S3 é outra configuração que você pode implementar para alcançar a integridade dos dados. Esse recurso pode implementar um modelo de gravação única e várias leituras (WORM) para armazenar objetos de forma imutável. Para obter mais informações sobre Bloqueio de objetos, consulte [Bloquear objetos com o Bloqueio de Objetos](object-lock.md).
+ **Criptografia de objetos**: o Amazon S3 oferece várias opções de criptografia de objetos que protegem os dados em trânsito e em repouso. A *criptografia no lado do servidor* criptografa o objeto antes de salvá-lo em discos em seus data centers e os descriptografa ao fazer download dos objetos. Se você autentica sua solicitação e tem permissões de acesso, não há diferença na forma de acesso aos objetos criptografados ou não criptografados. Para ter mais informações, consulte [Proteger os dados usando criptografia do lado do servidor](serv-side-encryption.md). O S3 criptografa objetos recém-carregados por padrão. Para ter mais informações, consulte [Definir o comportamento padrão da criptografia para os buckets do Amazon S3](bucket-encryption.md). *Criptografia no lado do cliente* é o ato de criptografar os dados antes de enviá-los para o Amazon S3. Para ter mais informações, consulte [Proteger dados usando a criptografia do lado do cliente](UsingClientSideEncryption.md).
+ **Métodos de assinatura**: o Signature Version 4 é o processo para adicionar informações de autenticação às solicitações da AWS enviadas por HTTP. Por segurança, a maioria das solicitações para AWS deve ser assinada com uma chave de acesso, que consiste em um ID de chave de acesso e na chave de acesso secreta. Essas duas chaves são comumente conhecidas como suas credenciais de segurança. Para obter mais informações, consulte [Autenticação de solicitações (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) e [Processo de assinatura do Signature Version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html).
## Ações
Consulte uma lista completa de permissões e chaves de condição do S3 em [Actions, resources, and condition keys for Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) na *Referência de autorização do serviço*.
Para ter mais informações sobre as permissões referentes a operações de API do S3 de acordo com os tipos de recurso do S3, consulte [Permissões obrigatórias para operações de API do Amazon S3](using-with-s3-policy-actions.md).
**Ações**
As ações do AWS Identity and Access Management (IAM) para o Amazon S3 são as ações possíveis que podem ser executadas em um bucket ou objeto do S3. Conceda essas ações às identidades para que elas possam agir em seus recursos do S3. Exemplos de ações do S3 são `s3:GetObject` para ler objetos em um bucket e `s3:PutObject` para gravar objetos em um bucket.
**Chaves de condição**
Além das ações, as chaves de condição do IAM se limitam a conceder acesso somente quando uma condição é atendida. As chaves de condição são opcionais.
**nota**
Em uma política de acesso baseada em recursos, como uma política de bucket, ou em uma política baseada em identidade, você pode especificar o seguinte:
Uma ação ou uma matriz de ações no elemento `Action` da declaração de política.
No elemento `Effect` da declaração de política, é possível especificar `Allow` para permitir as ações listadas ou especificar `Deny` para bloquear as ações listadas. Para aprimorar ainda mais a prática de privilégios mínimos, as instruções `Deny` no elemento `Effect` da política de acesso devem ser o mais amplas possíveis e as instruções `Allow` devem ser tão restritas quanto possível. O efeito de `Deny` combinado com a ação `s3:*` é outra boa maneira de implementar as práticas recomendadas de adesão para as identidades incluídas em instruções de condição da política.
Uma chave de condição no elemento `Condition` de uma declaração de política.
## Casos de uso do gerenciamento de acesso
O Amazon S3 fornece aos proprietários de recursos uma variedade de ferramentas para conceder acesso. A ferramenta de gerenciamento de acesso do S3 utilizada dependerá dos recursos do S3 que você deseja compartilhar, das identidades às quais você está concedendo acesso e das ações que deseja permitir ou negar. Talvez você queira usar uma ferramenta ou uma combinação de ferramentas de gerenciamento de acesso do S3 para gerenciar o acesso aos recursos do S3.
Na maioria dos casos, é possível usar uma política de acesso para gerenciar as permissões. Uma política de acesso pode ser uma política baseada em recurso que é vinculada a um recurso, como um bucket ou outro recurso do Amazon S3 ([Recursos do S3](#access-management-resources)). Uma política de acesso também pode ser uma política baseada em identidade que é anexada a um usuário, grupo ou perfil do AWS Identity and Access Management (IAM) em sua conta. Talvez uma política de bucket funcione melhor para o seu caso de uso. Para ter mais informações, consulte [Políticas de bucket para o Amazon S3](bucket-policies.md). Como alternativa, o AWS Identity and Access Management (IAM) permite a criação de usuários, grupos e perfis do IAM em sua Conta da AWS e o gerenciamento do acesso dessas entidades a buckets e objetos por meio de políticas baseadas em identidade. Para ter mais informações, consulte [Políticas baseadas em identidade do Amazon S3](security_iam_id-based-policy-examples.md).
Para ajudar você a navegar por essas opções de gerenciamento de acesso, veja a seguir alguns casos de uso comuns de clientes do Amazon S3 e recomendações para cada uma das ferramentas de gerenciamento de acesso do S3.
### A Conta da AWS proprietária deseja compartilhar buckets somente com usuários da mesma conta
Todas as ferramentas de gerenciamento de acesso podem atender a esse caso de uso básico. Recomendamos as seguintes ferramentas de gerenciamento de acesso para esse caso de uso:
+ **Política de bucket**: se você quiser conceder acesso a um bucket ou a um pequeno número de buckets, ou se suas permissões de acesso ao bucket forem semelhantes entre buckets, utilize uma política de bucket. Com as políticas de bucket, você gerencia uma política para cada bucket. Para ter mais informações, consulte [Políticas de bucket para o Amazon S3](bucket-policies.md).
+ **Política baseada em identidade**: se você tiver um número muito grande de buckets com permissões de acesso diferentes para cada bucket e apenas alguns perfis de usuário para gerenciar, poderá usar uma política do IAM para usuários, grupos ou perfis. As políticas do IAM também são uma boa opção quando você precisa gerenciar o acesso dos usuários a outros recursos da AWS, bem como aos recursos do Amazon S3. Para ter mais informações, consulte [Exemplo 1: Proprietário do bucket que concede permissões do bucket aos usuários](example-walkthroughs-managing-access-example1.md).
+ **Concessões de Acesso do S3**: você pode usar a funcionalidade Concessões de Acesso do S3 para conceder acesso a buckets, prefixos ou objetos do S3. A funcionalidade Concessões de Acesso do S3 permite que você especifique várias permissões ao nível do objeto em grande escala, enquanto as políticas de bucket são limitadas a 20 KB. Para ter mais informações, consulte [Conceitos básicos da funcionalidade Concessões de Acesso do S3](access-grants-get-started.md).
+ **Pontos de acesso**: você pode usar os pontos de acesso, que são endpoints de rede nomeados e anexados a um bucket. Um bucket pode ter até 10.000 pontos de acesso anexados, e é possível impor permissões distintas e controles de rede a cada ponto de acesso para fornecer controle detalhado sobre o acesso aos objetos do S3. Para ter mais informações, consulte [Gerenciar o acesso a conjuntos de dados compartilhados com pontos de acesso](access-points.md).
### A Conta da AWS proprietária quer compartilhar buckets ou objetos com usuários de outra conta da AWS (entre contas)
Para conceder permissão a outra Conta da AWS, é necessário usar uma política de bucket ou uma das ferramentas de gerenciamento de acesso recomendadas a seguir. Você não pode usar uma política de acesso baseada em identidade para esse caso de uso. Para obter mais informações sobre a concessão de acesso entre contas, consulte [Como oferecer acesso entre contas a objetos que estão em buckets do Amazon S3?](https://repost.aws/knowledge-center/cross-account-access-s3)
Recomendamos as seguintes ferramentas de gerenciamento de acesso para esse caso de uso:
+ **Política de bucket**: com as políticas de bucket, você gerencia uma política para cada bucket. Para ter mais informações, consulte [Políticas de bucket para o Amazon S3](bucket-policies.md).
+ **Concessões de Acesso do S3**: você pode usar a funcionalidade Concessões de Acesso do S3 para conceder permissões entre contas aos buckets, prefixos ou objetos do S3. Você pode usar a funcionalidade Concessões de Acesso do S3 para especificar várias permissões ao nível do objeto em grande escala, enquanto as políticas de bucket são limitadas a 20 KB. Para ter mais informações, consulte [Conceitos básicos da funcionalidade Concessões de Acesso do S3](access-grants-get-started.md).
+ **Pontos de acesso**: você pode usar os pontos de acesso, que são endpoints de rede nomeados e anexados a um bucket. Um bucket pode ter até 10.000 pontos de acesso anexados, e é possível impor permissões distintas e controles de rede a cada ponto de acesso para fornecer controle detalhado sobre o acesso aos objetos do S3. Para ter mais informações, consulte [Gerenciar o acesso a conjuntos de dados compartilhados com pontos de acesso](access-points.md).
### A Conta da AWS proprietária ou o proprietário do bucket deve conceder permissões ao nível do objeto ou do prefixo, e essas permissões variam de objeto para objeto ou de prefixo para prefixo
Em uma política de bucket, por exemplo, é possível conceder acesso aos objetos dentro de um bucket que compartilham um [prefixo de nome de chave](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix) específico ou que têm uma etiqueta específica. Você pode conceder permissão de leitura em objetos que começam com o prefixo de nome de chave `logs/`. Contudo, se as permissões de acesso variam por objeto, conceder permissões para objetos individuais usando uma política de bucket talvez não seja prático, principalmente porque as políticas de bucket têm limite de 20 KB.
Recomendamos as seguintes ferramentas de gerenciamento de acesso para esse caso de uso:
+ **Concessões de Acesso do S3**: você pode usar a funcionalidade Concessões de Acesso do S3 para gerenciar permissões ao nível do objeto ou do prefixo. Ao contrário das políticas de bucket, você pode usar a funcionalidade Concessões de Acesso do S3 para especificar várias permissões ao nível do objeto em grande escala. As políticas de bucket são limitadas a 20 KB. Para ter mais informações, consulte [Conceitos básicos da funcionalidade Concessões de Acesso do S3](access-grants-get-started.md).
+ **Pontos de acesso**: você pode usar os pontos de acesso para gerenciar permissões ao nível do objeto ou do prefixo. Os pontos de acesso são endpoints de rede nomeados que são anexados a um bucket. Um bucket pode ter até 10.000 pontos de acesso anexados, e é possível impor permissões distintas e controles de rede a cada ponto de acesso para fornecer controle detalhado sobre o acesso aos objetos do S3. Para ter mais informações, consulte [Gerenciar o acesso a conjuntos de dados compartilhados com pontos de acesso](access-points.md).
+ **ACLs**: não recomendamos o uso de listas de controle de acesso (ACLs), principalmente porque as ACLs têm limite de 100 concessões por objeto. No entanto, se você optar por ativar as ACLs, defina a *Propriedade de Objeto* como *Proprietário do bucket preferido* e *ative as ACLs* nas configurações do bucket. Com essa configuração, novos objetos que são escritos com a ACL `bucket-owner-full-control` pré-configurada são automaticamente de propriedade do proprietário do bucket, e não do gravador de objeto. Depois, você pode usar as ACLs de objeto, que são uma política de acesso em formato XML, para conceder acesso ao objeto para outros usuários. Para ter mais informações, consulte [Visão geral da lista de controle de acesso (ACL)](acl-overview.md).
### A Conta da AWS proprietária ou o proprietário do bucket quer limitar o acesso ao bucket somente para IDs de conta específicos
Recomendamos as seguintes ferramentas de gerenciamento de acesso para esse caso de uso:
+ **Política de bucket**: com as políticas de bucket, você gerencia uma política para cada bucket. Para ter mais informações, consulte [Políticas de bucket para o Amazon S3](bucket-policies.md).
+ **Pontos de acesso**: os pontos de acesso são endpoints de rede nomeados que são anexados a um bucket. Um bucket pode ter até 10.000 pontos de acesso anexados, e é possível impor permissões distintas e controles de rede a cada ponto de acesso para fornecer controle detalhado sobre o acesso aos objetos do S3. Para ter mais informações, consulte [Gerenciar o acesso a conjuntos de dados compartilhados com pontos de acesso](access-points.md).
### A Conta da AWS proprietária ou o proprietário do bucket quer endpoints distintos para cada usuário ou aplicação que acessa os dados
Recomendamos a seguinte ferramenta de gerenciamento de acesso para esse caso de uso:
+ **Pontos de acesso**: os pontos de acesso são endpoints de rede nomeados que são anexados a um bucket. Um bucket pode ter até 10.000 pontos de acesso anexados, e é possível impor permissões distintas e controles de rede a cada ponto de acesso para fornecer controle detalhado sobre o acesso aos objetos do S3. Cada ponto de acesso impõe uma política de ponto de acesso personalizada que funciona em conjunto com a política de bucket anexada ao bucket subjacente. Para ter mais informações, consulte [Gerenciar o acesso a conjuntos de dados compartilhados com pontos de acesso](access-points.md).
### A Conta da AWS proprietária ou o proprietário do bucket precisa gerenciar o acesso realizado por meio de endpoints da nuvem privada virtual (VPC) para o S3
Os endpoints de nuvem privada virtual (VPC) para o Amazon S3 são entidades lógicas dentro de uma VPC que só permitem conectividade com o S3. Recomendamos as seguintes ferramentas de gerenciamento de acesso para esse caso de uso:
+ **Buckets em uma configuração de VPC**: você pode usar uma política de bucket para controlar quem tem permissão para acessar os buckets e quais endpoints de VPC podem ser acessados. Para ter mais informações, consulte [Controlar o acesso a partir de VPC endpoints com políticas de bucket](example-bucket-policies-vpc-endpoint.md).
+ **Pontos de acesso**: se você optar por configurar pontos de acesso, poderá usar uma política de pontos de acesso. Você pode configurar qualquer ponto de acesso para aceitar solicitações somente de uma Virtual Private Cloud (VPC) para restringir o acesso a dados do Amazon S3 a uma rede privada. Você também pode configurar definições personalizadas do Bloqueio de acesso público para cada ponto de acesso. Para ter mais informações, consulte [Gerenciar o acesso a conjuntos de dados compartilhados com pontos de acesso](access-points.md).
### A Conta da AWS proprietária ou o proprietário do bucket precisa disponibilizar publicamente um site estático
Com o S3, é possível hospedar um site estático e permitir que qualquer pessoa visualize o conteúdo do site, que é hospedado em um bucket do S3.
Recomendamos as seguintes ferramentas de gerenciamento de acesso para esse caso de uso:
+ **Amazon CloudFront**: esta solução permite que você hospede um site estático do Amazon S3 para o público e, ao mesmo tempo, continue bloqueando todo o acesso público ao conteúdo de um bucket. Se quiser manter todas as quatro configurações da funcionalidade Bloqueio de Acesso Público do S3 habilitadas e hospedar um site estático do S3, use o controle de acesso à origem (OAC) do Amazon CloudFront. O Amazon CloudFront fornece os recursos necessários para configurar um site estático seguro. Além disso, os sites estáticos do Amazon S3 que não usam essa solução só são compatíveis com endpoints HTTP. O CloudFront usa o armazenamento durável do Amazon S3 ao mesmo tempo que fornece cabeçalhos de segurança adicionais, como HTTPS. O HTTPS adiciona segurança criptografando uma solicitação HTTP normal e protegendo-a contra ataques cibernéticos comuns.
Para obter mais informações, consulte [Conceitos básicos de um site estático seguro](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/getting-started-secure-static-website-cloudformation-template.html) no *Guia do desenvolvedor do Amazon CloudFront*.
+ **Tornar o bucket do Amazon S3 acessível ao público**: você pode configurar um bucket para ser usado como um site estático com acesso público.
**Atenção**
Não recomendamos esse método. Em vez disso, recomendamos que você use sites estáticos do Amazon S3 como parte do Amazon CloudFront. Para obter mais informações, confira a opção anterior ou consulte [Conceitos básicos de um site estático seguro](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/getting-started-secure-static-website-cloudformation-template.html).
Para criar um site estático do Amazon S3 sem o Amazon CloudFront, primeiro é necessário desativar todas as configurações da funcionalidade Bloqueio de Acesso Público. Ao escrever a política de bucket para o site estático, aceite apenas ações `s3:GetObject` e não permissões `ListObject` e `PutObject`. Isso ajuda a garantir que os usuários não possam visualizar todos os objetos no bucket nem adicionar seu próprio conteúdo. Para ter mais informações, consulte [Configuração de permissões para acesso ao site](WebsiteAccessPermissionsReqd.md).
### A Conta da AWS proprietária ou o proprietário do bucket quer disponibilizar publicamente o conteúdo de um bucket
Ao criar um bucket do Amazon S3, a configuração *Bloquear acesso público* é habilitada por padrão. Para obter mais informações sobre como bloquear o acesso público, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](access-control-block-public-access.md).
Não recomendamos que você permita acesso público ao seu bucket. No entanto, se você precisar fazer isso para um caso de uso específico, recomendamos a seguinte ferramenta de gerenciamento de acesso:
+ **Desabilitar a configuração Bloquear acesso público**: o proprietário de um bucket pode permitir solicitações não autenticadas para o bucket. Por exemplo, solicitações [PUT Object](https://docs.aws.amazon.com/AmazonS3/latest/API/RESTObjectPUT.html) não autenticadas são permitidas quando um bucket tem uma política de bucket pública ou quando uma ACL de bucket concede acesso público. Todas as solicitações não autenticadas são feitas por outros usuários arbitrários da AWS ou até mesmo por usuários anônimos não autenticados. Esse usuário é representado em ACLs pelo ID de usuário canônico específico `65a011a29cdf8ec533ec3d1ccaae921c`. Se um objeto for carregado em `WRITE` ou `FULL_CONTROL`, isso concederá, especificamente, acesso ao grupo Todos os usuários ou ao usuário anônimo. Para obter mais informações sobre políticas de bucket público e listas de controle de acesso (ACLs) públicas, consulte [O significado de "público"](access-control-block-public-access.md#access-control-block-public-access-policy-status).
### A Conta da AWS proprietária ou o proprietário do bucket excedeu os limites de tamanho da política de acesso
Tanto as políticas de bucket quanto as políticas baseadas em identidade têm um limite de 20 KB. Se seus requisitos de permissão de acesso forem complexos, você poderá exceder esse limite de tamanho.
Recomendamos as seguintes ferramentas de gerenciamento de acesso para esse caso de uso:
+ **Pontos de acesso**: use os pontos de acesso caso eles funcionem para o seu caso de uso. Com os pontos de acesso, cada bucket tem vários endpoints de rede nomeados, cada um com sua própria política de ponto de acesso que funciona com a política de bucket subjacente. No entanto, os pontos de acesso só podem atuar em objetos, não em buckets, e não oferecem suporte à replicação entre regiões. Para ter mais informações, consulte [Gerenciar o acesso a conjuntos de dados compartilhados com pontos de acesso](access-points.md).
+ **Concessões de Acesso do S3**: use a funcionalidade Concessões de Acesso do S3, que oferece suporte a um número muito grande de concessões que dão acesso a buckets, prefixos ou objetos. Para ter mais informações, consulte [Conceitos básicos da funcionalidade Concessões de Acesso do S3](access-grants-get-started.md).
### A Conta da AWS proprietária ou o perfil de administrador quer conceder acesso a buckets, prefixos ou objetos diretamente para usuários ou grupos em um diretório corporativo
Em vez de gerenciar usuários, grupos e perfis por meio do AWS Identity and Access Management (IAM), você pode adicionar seu diretório corporativo ao Centro de Identidade do AWS IAM. Para obter mais informações, consulte [What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
Depois de adicionar seu diretório corporativo ao Centro de Identidade do AWS IAM, recomendamos que você use a seguinte ferramenta de gerenciamento de acesso para conceder às identidades do diretório corporativo acesso aos seus recursos do S3:
+ **Concessões de Acesso do S3**: use a funcionalidade Concessões de Acesso do S3, que oferece suporte à concessão de acesso a usuários ou perfis em seu diretório corporativo. Para ter mais informações, consulte [Conceitos básicos da funcionalidade Concessões de Acesso do S3](access-grants-get-started.md).
### A Conta da AWS proprietária ou o proprietário do bucket quer conceder ao serviço AWS CloudFront acesso para gravar logs do CloudFront em um bucket do S3
Recomendamos a seguinte ferramenta de gerenciamento de acesso para esse caso de uso:
+ **ACL de bucket**: o único caso de uso recomendado para as ACLs de bucket é a concessão de permissões a determinados Serviços da AWS, como a conta `awslogsdelivery` do Amazon CloudFront. Ao criar ou atualizar uma distribuição e ativar o registro em log do CloudFront, o CloudFront atualiza a ACL do bucket para conceder à conta `awslogsdelivery` permissões `FULL_CONTROL` para gravar logs em seu bucket. Para obter mais informações, consulte [Permissões necessárias para configurar o registro padrão e acessar seus arquivos de log](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html#AccessLogsBucketAndFileOwnership) no *Guia do desenvolvedor do Amazon CloudFront*. Se o bucket que armazena os logs usar a configuração *Imposto pelo proprietário do bucket* para a funcionalidade Propriedade de Objeto do S3 a fim de desativar as ACLs, o CloudFront não poderá gravar logs no bucket. Para ter mais informações, consulte [Controlar a propriedade de objetos e desabilitar ACLs para seu bucket](about-object-ownership.md).
### Como proprietário do bucket, você quer manter o controle total dos objetos que são adicionados ao bucket por outros usuários
Você pode conceder acesso a outras contas para que façam upload de objetos no bucket usando uma política de bucket, um ponto de acesso ou a funcionalidade Concessões de Acesso do S3. Se você concedeu acesso entre contas ao seu bucket, pode garantir que todos os objetos enviados para o bucket permaneçam totalmente sob seu controle.
Recomendamos a seguinte ferramenta de gerenciamento de acesso para esse caso de uso:
+ **Propriedade de objeto**: mantenha a configuração ao nível do bucket *Propriedade de objeto* definida com a opção padrão *Imposto pelo proprietário do bucket*.
## Solução de problemas de gerenciamento de acesso
Os recursos a seguir podem ajudar você a solucionar problemas no gerenciamento de acesso do S3:
**Solucionar erros de acesso negado (403 proibido)**
Se você encontrar problemas de negação de acesso, verifique as configurações ao nível de conta e de bucket. Além disso, verifique o recurso de gerenciamento de acesso que você está usando para conceder acesso a fim de garantir que a política, a definição ou a configuração estejam corretas. Para receber mais informações sobre as causas comuns de erros de acesso negado (403 proibido) no Amazon S3, consulte [Solucionar erros de acesso negado (403 Forbidden) no Amazon S3](troubleshoot-403-errors.md).
**IAM Access Analyzer para S3**
Se você não quiser disponibilizar publicamente nenhum dos seus recursos ou se quiser limitar o acesso público aos seus recursos, poderá usar o IAM Access Analyzer para S3. No console do Amazon S3, use o IAM Access Analyzer para S3 a fim de revisar todos os buckets que têm listas de controle de acesso (ACLs) de bucket, políticas de bucket ou políticas de ponto de acesso que concedem acesso público ou compartilhado. O IAM Access Analyzer para S3 alerta você sobre buckets que são configurados para permitir o acesso a qualquer pessoa na internet ou a outras Contas da AWS, incluindo Contas da AWS fora da organização. Para cada bucket público ou compartilhado, você recebe descobertas que relatam a origem e o nível de acesso público ou compartilhado.
No IAM Access Analyzer para S3, é possível bloquear todo o acesso público a um bucket com uma única ação. Recomendamos que você bloqueie todo o acesso público aos buckets, a menos que você necessite de acesso público para atender a um caso de uso específico. Antes de bloquear todo o acesso público, garanta que as aplicações continuarão funcionando corretamente sem acesso público. Para ter mais informações, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](access-control-block-public-access.md).
Você também pode conferir suas configurações de permissão ao nível do bucket para definir níveis detalhados de acesso. Para casos de uso específicos e verificados que exigem acesso público ou compartilhado, você pode confirmar e registrar sua intenção de que o bucket permaneça público ou compartilhado arquivando as descobertas do bucket. Você pode acessar novamente e modificar essas configurações de bucket a qualquer momento. Você também pode fazer download das descobertas como um relatório CSV para fins de auditoria.
O IAM Access Analyzer para S3 está disponível sem custo adicional no console do Amazon S3. O IAM Access Analyzer para S3 usa tecnologia do AWS Identity and Access Management (IAM) Access Analyzer. Para usar o IAM Access Analyzer para S3 no console do Amazon S3, acesse o [console do IAM](https://console.aws.amazon.com/iam/) e crie um analisador ao nível da conta no IAM Access Analyzer para cada região.
Para obter mais informações sobre o IAM Access Analyzer para S3, consulte [Revisar o acesso de bucket usando o IAM Access Analyzer para S3](access-analyzer.md).
**Registro em log e monitoramento**
O monitoramento é uma parte importante da manutenção da confiabilidade, disponibilidade e performance das soluções do Amazon S3 para que você possa depurar mais facilmente uma falha de acesso. O registro em log pode fornecer insights sobre quaisquer erros que os usuários estejam recebendo, bem como quando e quais solicitações são feitas. A AWS fornece várias ferramentas para monitoramento dos recursos do Amazon S3, como as seguintes:
+ AWS CloudTrail
+ Logs de acesso do Amazon S3
+ AWS Trusted Advisor
+ Amazon CloudWatch
Para ter mais informações, consulte [Registrar em log e monitorar no Amazon S3](monitoring-overview.md).