# Ejemplos de política de bucket
Las políticas de bucket de S3 en Outposts le permiten proteger el acceso a los objetos de sus buckets de S3 en Outposts, de modo que solo los usuarios con los permisos adecuados puedan acceder a ellos. Incluso puede impedir que los usuarios autenticados que no dispongan de los permisos adecuados accedan a los recursos de S3 en Outposts.
En esta sección se presentan ejemplos de casos de uso típicos de políticas de bucket de S3 en Outposts. Para probar estas políticas, sustituya `user input placeholders` por su propia información (como el nombre del bucket).
Para conceder o denegar permisos a un conjunto de objetos, puede usar caracteres comodín (`*`) en nombres de recurso de Amazon (ARN) y otros valores. Por ejemplo, puede controlar el acceso a grupos de objetos que empiezan por un [prefijo](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html#keyprefix) o terminar con una extensión dada, como`.html`.
Para obtener más información sobre el lenguaje de la política de AWS Identity and Access Management (IAM), consulte [Configuración de IAM con S3 en Outposts](S3OutpostsIAM.md).
**nota**
Si utiliza la consola de Amazon S3 para probar los permisos de [https://docs.aws.amazon.com/cli/latest/reference/s3outposts/](https://docs.aws.amazon.com/cli/latest/reference/s3outposts/), debe conceder permisos adicionales requeridos por la consola como `s3outposts:createendpoint` o `s3outposts:listendpoints`, entre otros.
**Recursos adicionales para crear políticas de bucket**
+ Para obtener una lista de las acciones, los recursos y las claves de condición de la política de IAM que puede utilizar al crear una política de bucket de S3 en Outposts, consulte [Actions, resources, and condition keys for Amazon S3 on Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html).
+ Para obtener información sobre cómo crear una política de S3 en Outposts, consulte [Adición o edición de una política de bucket para un bucket de Amazon S3 en Outposts](S3OutpostsBucketPolicyEdit.md).
**Topics**
+ [
## Gestión del acceso a un bucket de Amazon S3 en Outposts en función de determinadas direcciones IP
](#S3OutpostsBucketPolicyManageIPaccess)
## Gestión del acceso a un bucket de Amazon S3 en Outposts en función de determinadas direcciones IP
Una política de bucket es una política AWS Identity and Access Management basada en recursos (IAM) que puede utilizar para conceder permisos de acceso al bucket y a los objetos que contiene. Solo el propietario del bucket puede asociar una política a un bucket. Los permisos asociados a un bucket se aplican a todos los objetos del bucket que son propiedad de la cuenta de propietario del bucket. Las políticas de bucket tienen un límite de tamaño de 20 KB. Para obtener más información, consulte [Política de bucket](S3onOutposts.md#S3OutpostsBucketPolicies).
### Restringir el acceso a direcciones IP específicas
En el siguiente ejemplo se impide que los usuarios realicen [operaciones de S3 en Outposts](https://docs.aws.amazon.com/AmazonS3/latest/userguide/S3OutpostsWorkingBuckets.html) en objetos en los buckets especificados, a menos que la solicitud se origine en el rango de direcciones IP especificado.
**nota**
Al restringir el acceso a una dirección IP concreta, asegúrese de especificar también qué puntos de conexión de VPC, direcciones IP de origen de VPC o direcciones IP externas pueden acceder al bucket de S3 en Outposts. De lo contrario, podría perder el acceso al bucket si su política deniega a todos los usuarios realizar cualquier operación de [https://docs.aws.amazon.com/cli/latest/reference/s3outposts/](https://docs.aws.amazon.com/cli/latest/reference/s3outposts/) en los objetos de su bucket de S3 en Outposts sin contar con los permisos adecuados.
La instrucción `Condition` de esta política identifica *`192.0.2.0/24`* como el rango de direcciones IP permitidas del IP versión 4 (IPv4).
El bloque `Condition` utiliza la condición `NotIpAddress` y la clave de condición `aws:SourceIp`, que es una clave de condición general de AWS. La clave de condición `aws:SourceIp` solo puede utilizarse para rangos de direcciones IP públicas. Para obtener más información acerca de estas claves de condición, consulte [Actions, resources, and condition keys for S3 on Outposts](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazons3onoutposts.html). Los valores de IPv4 `aws:SourceIp` utilizan la notación CIDR estándar. Para obtener más información, consulte [Referencia de los elementos de las políticas de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IPAddress) en la *Guía del usuario de IAM*.
**aviso**
Antes de utilizar esta política de S3 en Outposts, reemplace el rango de direcciones IP *`192.0.2.0/24`* de este ejemplo por un valor adecuado para su caso de uso. De lo contrario, ya no podrá acceder a su bucket.
```
1. {
2. "Version": "2012-10-17",
3. "Id": "S3OutpostsPolicyId1",
4. "Statement": [
5. {
6. "Sid": "IPAllow",
7. "Effect": "Deny",
8. "Principal": "*",
9. "Action": "s3-outposts:*",
10. "Resource": [
11. "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/accesspoint/EXAMPLE-ACCESS-POINT-NAME",
12. "arn:aws:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/amzn-s3-demo-bucket"
13. ],
14. "Condition": {
15. "NotIpAddress": {
16. "aws:SourceIp": "192.0.2.0/24"
17. }
18. }
19. }
20. ]
21. }
```
### Permitir direcciones IPv4 e IPv6
Cuando empiece a usar direcciones IPv6, le recomendamos que actualice todas las políticas de la organización con los rangos de direcciones IPv6 además de los rangos de direcciones IPv4 existentes. De este modo se asegurará de que las políticas sigan funcionando durante la transición a IPv6.
En el siguiente ejemplo de política de bucket de S3 en Outposts se muestra cómo combinar los rangos de dirección IPv4 e IPv6 para incluir todas las direcciones IP válidas de la organización. La política de ejemplo permite el acceso a las direcciones IP de ejemplo *`192.0.2.1`* y *`2001:DB8:1234:5678::1`*, y deniega el acceso a las direcciones *`203.0.113.1`* y *`2001:DB8:1234:5678:ABCD::1`*.
La clave de condición `aws:SourceIp` solo puede utilizarse para rangos de direcciones IP públicas. Los valores de IPv6 para `aws:SourceIp` deben estar en formato CIDR estándar. Para IPv6, aceptamos el uso de `::` para representar un rango de 0, (por ejemplo: `2001:DB8:1234:5678::/64`). Para obtener más información, consulte [Operadores de condición de dirección IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) en la *Guía del usuario de IAM*.
**aviso**
Antes de utilizar esta política de S3 en Outposts, sustituya los intervalos de direcciones IP del ejemplo por valores adecuados para su caso de uso. De lo contrario, puede perder la capacidad de acceder a su bucket.
------
#### [ JSON ]
****
```
{
"Id": "S3OutpostsPolicyId2",
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowIPmix",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": [
"s3-outposts:GetObject",
"s3-outposts:PutObject",
"s3-outposts:ListBucket"
],
"Resource": [
"arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket",
"arn:aws:s3-outposts:us-east-1:111122223333:outpost/op-01ac5d28a6a232904/bucket/amzn-s3-demo-bucket/*"
],
"Condition": {
"IpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"2001:DB8:1234:5678::/64"
]
},
"NotIpAddress": {
"aws:SourceIp": [
"203.0.113.0/24",
"2001:DB8:1234:5678:ABCD::/80"
]
}
}
}
]
}
```
------