As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Adicionar um compartilhamento de arquivos

Depois que o gateway de arquivos do S3 estiver ativado e em execução, você poderá adicionar outros compartilhamentos de arquivos e conceder acesso aos buckets do Amazon S3. Buckets que você pode conceder acesso para incluir os buckets em um diferenteConta da AWSDo que seu compartilhamento de arquivos. Para obter informações sobre como adicionar compartilhamento de arquivos, consulte Crie um compartilhamento de arquivos.

Como conceder acesso a um bucket do Amazon S3

Quando você cria um compartilhamento de arquivos, seu gateway de arquivos requer acesso para carregar arquivos no bucket do Amazon S3 e para executar ações em quaisquer pontos de acesso ou pontos de extremidade de nuvem privada virtual (VPC) usados para se conectar ao bucket. Para conceder esse acesso, seu gateway de arquivos assume umAWS Identity and Access Management(IAM) que está associada a uma política do IAM que concede esse acesso.

A função exige essa política do IAM e um relacionamento de confiança do serviço de token de segurança (STS) para ela. A política determina quais ações a função pode realizar. Além disso, o bucket do S3 e todos os pontos de acesso ou pontos de acesso associados devem ter uma política de acesso que permita que a função do IAM os acesse.

Você pode criar a função e a política de acesso sozinho, ou o gateway de arquivos pode criá-las para você. Se o gateway de arquivos criar a política para você, ela terá uma lista de ações do S3. Para obter informações sobre funções e permissões, consulteCriar uma função para delegar permissões a umAWS service (Serviço da AWS)noIAM User Guide.

A política de confiança do exemplo a seguir permite que o gateway de arquivos assuma uma função do IAM.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Se você não quiser que o gateway de arquivos crie uma política em seu nome, crie sua própria política e anexe-a ao compartilhamento de arquivos. Para obter mais informações sobre como fazer isso, consulte Crie um compartilhamento de arquivos.

A política de exemplo a seguir permite que o gateway de arquivos realize todas as ações do Amazon S3 listadas na política. A primeira parte da declaração permite que todas as ações listadas sejam executadas no bucket do S3 chamado TestBucket. A segunda parte permite as ações listadas em todos os objetos no TestBucket.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::TestBucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::TestBucket/*",
            "Effect": "Allow"
        }
    ]
}

A política de exemplo a seguir é semelhante à anterior, mas permite que o gateway de arquivos execute ações necessárias para acessar um bucket por meio de um ponto de acesso.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:123456789:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}

Prevenção contra o ataque “Confused deputy” em todos os serviços

O problema confused deputy é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executá-la. Na AWS, a personificação entre serviços pode resultar no problema do confused deputy. A personificação nos serviços pode ocorrer quando um serviço (o serviço de chamada) chama outro serviço (o serviço chamado). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.

Recomendamos o uso das chaves de contexto de condição global aws:SourceArn e aws:SourceAccount em políticas de recursos para limitar as permissões que o AWS Storage Gateway concede a outro serviço para o recurso. Se você utilizar ambas as chaves de contexto de condição global, o valor aws:SourceAccount e a conta no valor aws:SourceArn deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.

O valor deaws:SourceArndeve ser o ARN do Storage Gateway ao qual o compartilhamento de arquivos está associado.

A maneira mais eficaz de se proteger contra o problema confuso do deputado é usar oaws:SourceArnchave de contexto de condição global com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se você estiver especificando vários recursos, use o ARN completo do recursoaws:SourceArnchave de condição de contexto global com curingas (*) para as partes desconhecidas do ARN. Por exemplo, arn:aws:servicename::123456789012:*.

O exemplo a seguir mostra como você pode usar oaws:SourceArneaws:SourceAccountchaves de contexto de condição global no Storage Gateway para evitar o problema confuso do deputado.

{
  "Version": "2012-10-17",
  "Statement": {
    "Sid": "ConfusedDeputyPreventionExamplePolicy",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "123456789012"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:storagegateway:us-east-1:123456789012:gateway/sgw-712345DA"
        }
      }
    }
  ]
}

Uso de um compartilhamento de arquivos para acesso entre contas

Conta entreAcesso é quando uma conta da Amazon Web Services e os usuários dela recebem acesso a recursos que pertencem a outra conta da Amazon Web Services. Com os gateways de arquivos, você pode usar um compartilhamento de arquivos em uma conta da Amazon Web Services para acessar objetos em um bucket do Amazon S3 que pertence a outra conta da Amazon Web Services.

Após criar ou atualizar seu compartilhamento de arquivos para acesso entre contas e montá-lo no local, é altamente recomendável testar sua configuração. Isso pode ser feito indicando o conteúdo do diretório ou gravando arquivos de teste e garantindo que os arquivos sejam exibidos como objetos no bucket do S3.

Recursos

Para obter mais informações sobre políticas de acesso e listas de controle de acesso, consulte:

Diretrizes para usar as opções disponíveis de política de acessonoGuia do usuário do Amazon Simple Storage Service

Visão geral da Lista de controle de acesso (ACL)noGuia do usuário do Amazon Simple Storage Service