# Bloquear el acceso público a su almacenamiento de Amazon S3
<a name="access-control-block-public-access"></a>

La característica Bloqueo de acceso público de Amazon S3 proporciona la configuración de los puntos de acceso, los buckets, las cuentas y AWS Organizations con el fin de ayudarlo a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los buckets, puntos de acceso y objetos nuevos no permiten el acceso público. Sin embargo, los usuarios pueden modificar las políticas de bucket, las políticas de punto de acceso o los permisos de objeto para permitir el acceso público. La configuración de S3 Block Public Access anula estas políticas y permisos para poder limitar el acceso público a estos recursos. 

Con el Bloqueo de acceso público de S3, los administradores de la organización, los administradores de cuentas y los propietarios de buckets pueden configurar fácilmente controles centralizados para limitar el acceso público a los recursos de Amazon S3, que se aplican independientemente de cómo se creen los recursos.

Puede administrar la configuración de bloqueo de acceso público en varios niveles: por organización (uso de AWS Organizations), por cuenta y por bucket y punto de acceso. Para obtener instrucciones sobre cómo configurar el acceso público en bloque, consulte [Configuración de Block Public Access](#configuring-block-public-access).

Cuando Amazon S3 recibe una solicitud para acceder a un bucket o a un objeto, determina si el bucket o la cuenta del propietario del bucket tiene aplicada una configuración de bloqueo de acceso público. Si la cuenta forma parte de una AWS Organizations con políticas de bloqueo de acceso público, Amazon S3 también comprueba la configuración por organización. Si la solicitud se realizó a través de un punto de acceso, Amazon S3 también comprueba la configuración de bloqueo de acceso público del punto de acceso. Si hay una configuración de bloqueo de acceso público que prohíbe el acceso solicitado, Amazon S3 rechaza la solicitud. 

Block Public Access de Amazon S3 proporciona cuatro configuraciones. Estas configuraciones son independientes y se pueden usar en cualquier combinación. Cada configuración se puede aplicar a un punto de acceso, a un bucket o a una completa Cuenta de AWS. Por organización, las cuatro configuraciones se aplican juntas como una política unificada; no se pueden seleccionar configuraciones individuales de forma granular. Si la configuración de bloqueo de acceso público para el punto de acceso, el bucket o la cuenta es diferente, Amazon S3 aplicará la combinación más restrictiva de la configuración del punto de acceso, el bucket y la cuenta. La configuración por cuenta hereda automáticamente las políticas por organización cuando están presentes, y S3 sitúa la política más restrictiva entre la configuración por bucket y la configuración por cuenta efectiva. Por ejemplo, si la organización tiene habilitada una política de bloqueo de acceso público, pero un bucket específico tiene desactivado el bloqueo de acceso público por bucket, el bucket seguirá protegido porque S3 aplica la configuración más restrictiva por organización o cuenta. Por el contrario, si la política de la organización está desactivada pero un bucket tiene habilitado el bloqueo de acceso público, ese bucket permanece protegido por su configuración por bucket. 

Cuando Amazon S3 evalúa si una configuración de bloqueo de acceso público prohíbe una operación, rechaza cualquier solicitud que infrinja una política de la organización (que refuerza la configuración de BPA de la cuenta) o un punto de acceso, un bucket o una configuración de cuenta.

**importante**  
El acceso público se otorga a buckets y objetos a través de listas de control de acceso (ACL), políticas de punto de acceso, políticas de bucket o todas ellas. Para ayudar a garantizar que todos los puntos de acceso, buckets y objetos de Amazon S3 tienen su acceso público bloqueado, se recomienda activar los cuatro ajustes de bloqueo de acceso público de la cuenta. Para las organizaciones que administran varias cuentas, considere la posibilidad de utilizar políticas de bloqueo de acceso público por organización para lograr un control centralizado. Además, le recomendamos que también active las cuatro configuraciones de cada bucket para cumplir con las prácticas recomendadas de seguridad básica de AWS Security Hub control S3.8. Estos ajustes bloquean el acceso público a todos los buckets y puntos de acceso actuales y futuros.   
Antes de aplicar estos ajustes, verifique que sus aplicaciones funcionen correctamente sin acceso público. Si necesita algún nivel de acceso público a los buckets u objetos, como, por ejemplo, para alojar un sitio web estático, tal como se describió en [Alojamiento de un sitio web estático mediante Amazon S3](WebsiteHosting.md), puede personalizar los ajustes individuales para que se adapten a sus casos de uso de almacenamiento.  
Habilitar Bloqueo de acceso público ayuda a proteger sus recursos al impedir que el acceso público se conceda a través de las políticas de recursos o las listas de control de acceso (ACL) que se adjuntan directamente a los recursos de S3. Además de habilitar Bloqueo de acceso público, examine detenidamente las siguientes políticas para confirmar que no conceden acceso público:  
Políticas basadas en identidad asociadas a las entidades principales de AWS vinculadas (por ejemplo, los roles de IAM)
Políticas basadas en recursos adjuntas a recursos de AWS asociados (por ejemplo, claves de AWS Key Management Service (KMS))

**nota**  
Puede habilitar la configuración de bloqueo de acceso público solo para las organizaciones, los puntos de acceso, los buckets y las Cuentas de AWS. Amazon S3 no admite la configuración de bloqueo de acceso público por objeto.
Cuando aplica la configuración de bloqueo de acceso público a una cuenta, esta se aplica globalmente a todas las Regiones de AWS. La configuración podría no entrar en vigor en todas las regiones de manera inmediata o simultánea, pero acabará propagándose a todas las regiones.
Al aplicar políticas de bloqueo de acceso público por organización, estas se propagan automáticamente a las cuentas de miembro seleccionadas e invalidan la configuración por cuenta.

**Topics**
+ [

## Configurar Block Public Access
](#access-control-block-public-access-options)
+ [

## Administración del bloqueo de acceso público por organización
](#access-control-block-public-access-organization-level)
+ [

## Realización de operaciones de acceso público de bloque en un punto de acceso
](#access-control-block-public-access-examples-access-point)
+ [

## Qué significa "pública"
](#access-control-block-public-access-policy-status)
+ [

## Uso de Analizador de acceso de IAM para S3 para revisar los buckets públicos
](#access-analyzer-public-info)
+ [

## Permisos
](#access-control-block-public-access-permissions)
+ [

## Configuración de Block Public Access
](#configuring-block-public-access)
+ [

# Establecer la configuración de Block Public Access para la cuenta
](configuring-block-public-access-account.md)
+ [

# Establecer la configuración de Block Public Access para sus buckets de S3
](configuring-block-public-access-bucket.md)

## Configurar Block Public Access
<a name="access-control-block-public-access-options"></a>

S3 Block Public Access proporciona cuatro configuraciones. Puede aplicar esta configuración en cualquier combinación en puntos de acceso o buckets individuales o en completas Cuentas de AWS. Por organización, solo se pueden habilitar o desactivar las cuatro configuraciones a la vez, utilizando un enfoque de “todas” o “ninguna”; no se dispone de un control pormenorizado de las configuraciones individuales. Si aplica una configuración a una cuenta, se aplica a todos los buckets y puntos de acceso propiedad de esa cuenta. La configuración por cuenta se hereda automáticamente de las políticas de la organización cuando está presente. Del mismo modo, si aplica una configuración a un bucket, se aplica a todos los puntos de acceso asociados a ese bucket.

La herencia y la aplicación de las políticas funcionan de la siguiente manera:
+ Las políticas por organización se aplican automáticamente a las cuentas de miembro y hacen cumplir cualquier configuración existente por cuenta
+ La configuración por cuenta se hereda de las políticas de la organización cuando está presente o se usa la configuración local cuando no existe ninguna política de la organización
+ La configuración por bucket funciona de forma independiente, pero está sujeta a restricciones de aplicación. S3 aplica la combinación más restrictiva en todos los niveles aplicables, configuración por organización o cuenta y bucket. Esto significa que un bucket hereda la protección básica de su cuenta (que puede estar administrada por la organización), pero S3 aplicará la configuración que sea más restrictiva entre la configuración del bucket y la configuración efectiva de la cuenta.

La siguiente tabla contiene las configuraciones disponibles


| Nombre | Descripción | 
| --- | --- | 
| BlockPublicAcls |  Si se establece esta opción en `TRUE` causa el siguiente comportamiento: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/AmazonS3/latest/userguide/access-control-block-public-access.html) Cuando esta configuración se establece en `TRUE`, se produce un error en las operaciones especificadas (independientemente de si se hacen a través de la API de REST, la AWS CLI o los SDK de AWS). No obstante, las políticas existentes y las ACL para buckets y objetos no se modifican. Esta configuración permite protegerse frente al acceso público al tiempo que le permite auditar, ajustar o alterar de otro modo las políticas existentes y ACL de sus buckets y objetos.  Los puntos de acceso no tienen ACL asociadas a ellos. Si aplica esta configuración a un punto de acceso, actúa como paso a través del bucket subyacente. Si un punto de acceso tiene esta configuración habilitada, las solicitudes realizadas a través del punto de acceso se comportan como si el bucket subyacente tuviera esta configuración habilitada, independientemente de si el bucket la tiene habilitada o no.   | 
| IgnorePublicAcls |  Al configurar esta opción en `TRUE`, Amazon S3 ignora todas las ACL públicas en un bucket y cualquier objeto que contenga. Esta configuración le permite bloquear de manera segura el acceso público concedido por las ACL al tiempo que permite las llamadas a `PutObject` que incluyen una ACL pública (por contraposición a `BlockPublicAcls`, que rechaza llamadas a `PutObject` que incluyen una ACL pública). La habilitación de esta configuración no afecta a la persistencia de ninguna ACL existente y no evita el establecimiento de ACL públicas nuevas.  Los puntos de acceso no tienen ACL asociadas a ellos. Si aplica esta configuración a un punto de acceso, actúa como paso a través del bucket subyacente. Si un punto de acceso tiene esta configuración habilitada, las solicitudes realizadas a través del punto de acceso se comportan como si el bucket subyacente tuviera esta configuración habilitada, independientemente de si el bucket la tiene habilitada o no.   | 
| BlockPublicPolicy |  Establecer esta opción en `TRUE` para un bucket hace que Amazon S3 rechace llamadas a `PutBucketPolicy` si la política de buckets especificada permite el acceso público. Establecer esta opción en `TRUE` para un bucket también provoca que Amazon S3 rechace llamadas a `PutAccessPointPolicy` para todos los puntos de acceso de una misma cuenta del bucket si la política especificada permite el acceso público.  Al establecer esta opción en `TRUE` para un punto de acceso, Amazon S3 rechazará las llamadas a `PutAccessPointPolicy` y `PutBucketPolicy` que se realicen a través del punto de acceso si la política especificada (ya sea para el punto de acceso o para el bucket subyacente) permite el acceso público. Puede usar esta configuración para permitir a los usuarios administrar políticas de punto de acceso y de bucket sin permitirles compartir públicamente el bucket ni los objetos que contiene. Habilitar esta configuración no afecta a las políticas de punto de acceso o bucket existentes.  Para usar esta configuración de manera eficaz, le recomendamos que la aplique en el nivel de *cuenta*. Una política de bucket puede permitir a los usuarios alterar la configuración de Block Public Access de un bucket. Por tanto, los usuarios que tienen permiso para cambiar una política de bucket podrían insertar una política que les permita deshabilitar la configuración de Block Public Access del bucket. Si se habilita esta configuración para toda la cuenta en lugar de para un bucket específico, entonces Amazon S3 bloquea políticas públicas incluso si un usuario altera la política del bucket para deshabilitar esta configuración.   | 
| RestrictPublicBuckets |  El establecimiento de esta opción en `TRUE` restringe el acceso a un punto de acceso o un bucket con una política pública a solo las entidades principales del servicio de AWS y los usuarios autorizados dentro de la cuenta del propietario del bucket y la cuenta del propietario del punto de acceso. Esta configuración bloquea todo el acceso entre cuentas al punto de acceso o al bucket (salvo a las entidades principales de servicios de AWS), pero todavía permite a los usuarios de la cuenta administrar el punto de acceso o el bucket. La activación de este ajuste no afecta a las políticas de punto de acceso o bucket existentes, salvo que Amazon S3 bloquea el acceso público y entre cuentas derivado de cualquier política de punto de acceso o bucket pública, incluida la delegación no pública a cuentas específicas.  | 

**importante**  
Las llamadas a `GetBucketAcl` y `GetObjectAcl` siempre devuelven los permisos efectivos instaurados para el bucket u objeto especificados. Por ejemplo, imagine que un bucket tiene un ACL que concede acceso público, pero el bucket también tiene la configuración `IgnorePublicAcls` habilitada. En este caso, `GetBucketAcl` devuelve una ACL que refleja los permisos de acceso que Amazon S3 está implementando, en lugar de la ACL real asociada con el bucket.
La configuración de Block Public Access no altera las políticas ni las ACL existentes. Por tanto, la eliminación de una configuración de Block Public Access provoca que pueda accederse de nuevo públicamente a un bucket o un objeto con una política pública o ACL. 

## Administración del bloqueo de acceso público por organización
<a name="access-control-block-public-access-organization-level"></a>

El bloqueo de acceso público por organización utiliza políticas de AWS Organizations para administrar de forma centralizada los controles de acceso público de S3 en toda la organización. Cuando están habilitadas, estas políticas se aplican automáticamente a las cuentas seleccionadas e invalidan la configuración individual por cuenta.

Para obtener información adicional sobre cómo bloquear el acceso público por organización, consulte la [política de S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_s3.html) en la *Guía del usuario de AWS Organizations*.

## Realización de operaciones de acceso público de bloque en un punto de acceso
<a name="access-control-block-public-access-examples-access-point"></a>

Para realizar operaciones de Block Public Access en un punto de acceso, use el servicio de la AWS CLI `s3control`. 

**importante**  
No es posible cambiar la configuración de bloqueo de acceso público de un punto de acceso después de crear el punto de acceso. Especificar la configuración de bloqueo de acceso público para un punto de acceso solo es posible al crear el punto de acceso.

## Qué significa "pública"
<a name="access-control-block-public-access-policy-status"></a>

### ACL
<a name="public-acls"></a>

Amazon S3 considera que una ACL de objetos o buckets es pública si concede cualquier permiso a los miembros de los grupos `AllUsers` o `AuthenticatedUsers` definidos previamente. Para obtener más información acerca de los grupos predefinidos, consulte [Grupos predefinidos de Amazon S3](acl-overview.md#specifying-grantee-predefined-groups).

### Políticas de buckets
<a name="public-bucket-policies"></a>

Al evaluar una política de bucket, Amazon S3 comienza suponiendo que la política es pública. A continuación, evalúa la política para determinar si califica como no pública. Para que se considere no pública, una política de bucket debe conceder acceso solo a valores fijos (valores que no contienen un comodín o [una política variable de AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)) para uno o más de los siguientes:
+ Una entidad principal de AWS, un usuario, un rol o una entidad principal de servicio (por ejemplo: `aws:PrincipalOrgID`)
+ Un conjunto de bloques de enrutamiento entre dominios sin clases (CIDR), con `aws:SourceIp`. Para obtener más información sobre CIDR, consulte [RFC 4632](http://www.rfc-editor.org/rfc/rfc4632.txt) en la página web de RFC EditoR.
**nota**  
Las políticas de buckets que otorgan acceso condicionado a la clave de condición `aws:SourceIp` con rangos de IP muy amplios (por ejemplo, 0.0.0.0/1) se evalúan como “públicas”. Esto incluye valores más amplios que `/8` para IPv4 y que `/32` para IPv6 (excluidos los rangos privados de RFC1918). Bloquear el acceso público rechazará estas políticas “públicas” e impedirá el acceso entre cuentas a los buckets que ya utilizan estas políticas “públicas”.
+ `aws:SourceArn`
+ `aws:SourceVpc`
+ `aws:SourceVpce`
+ `aws:SourceOwner`
+ `aws:SourceAccount`
+ `aws:userid`, fuera del patrón "`AROLEID:*`"
+ `s3:DataAccessPointArn`
**nota**  
Cuando se utiliza en una política de bucket, este valor puede contener un comodín para el nombre del punto de acceso sin mostrar la política pública, siempre y cuando el ID de cuenta sea fijo. Por ejemplo, permitir el acceso a `arn:aws:s3:us-west-2:123456789012:accesspoint/*` permitiría el acceso a cualquier punto de acceso asociado con la cuenta `123456789012` de la región `us-west-2` sin hacer pública la política de bucket. Este comportamiento es diferente para las políticas de punto de acceso. Para obtener más información, consulte [Puntos de acceso](#access-control-block-public-access-policy-status-access-points).
+ `s3:DataAccessPointAccount`

Para obtener más información acerca de las políticas de bucket, consulte [Políticas de buckets para Amazon S3](bucket-policies.md).

**nota**  
Cuando utilice [claves de contexto multivalor](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-single-vs-multi-valued-context-keys.html), debe utilizar los operadores de conjunto `ForAllValues` o `ForAnyValue`.

**Example : políticas de buckets públicas**  
En virtud de estas reglas, las siguientes políticas de ejemplo se consideran públicas:  

```
{
		"Principal": "*", 
		"Resource": "*", 
		"Action": "s3:PutObject", 
		"Effect": "Allow" 
	}
```

```
{
		"Principal": "*", 
		"Resource": "*", 
		"Action": "s3:PutObject", 
		"Effect": "Allow", 
		"Condition": { "StringLike": {"aws:SourceVpc": "vpc-*"}}
	}
```
Puede convertir estas políticas en no públicas incluyendo cualquiera de las claves de condición indicadas con anterioridad, utilizando un valor fijo. Por ejemplo, puede convertir la última política de arriba en no pública estableciendo `aws:SourceVpc` en un valor fijo, como el siguiente:  

```
{
		"Principal": "*", 
		"Resource": "*", 
		"Action": "s3:PutObject", 
		"Effect": "Allow", 
		"Condition": {"StringEquals": {"aws:SourceVpc": "vpc-91237329"}}
	}
```

### Cómo evalúa Amazon S3 una política de bucket que contiene concesiones de acceso público y no público
<a name="access-control-block-public-access-policy-example"></a>

Este ejemplo muestra cómo evalúa Amazon S3 una política de bucket que contiene concesiones de acceso público y no público.

Imagine que un bucket tiene una política que concede acceso a un conjunto de entidades principales fijas. Bajo las reglas descritas con anterioridad, esta política no es pública. Por tanto, si habilita la configuración `RestrictPublicBuckets`, la política permanece en efecto tal y como está redactada, porque `RestrictPublicBuckets` solo se aplica a buckets que tienen políticas públicas. Sin embargo, si añade una instrucción pública a la política, `RestrictPublicBuckets` surtirá efecto en el bucket. Solo permite a las entidades principales del servicio de AWS y a los usuarios autorizados de la cuenta del propietario del bucket tener acceso al bucket.

Suponga, por ejemplo, que un bucket propiedad de "Cuenta-1 tiene una política que contiene lo siguiente:

1. Una instrucción que concede acceso a AWS CloudTrail (que es una entidad principal de servicio de AWS)

1. Una instrucción que concede acceso a la cuenta "Cuenta-2"

1. Una instrucción que concede acceso al público, especificando, por ejemplo, `"Principal": "*"` sin `Condition` limitante

Esta política califica como pública debido a la tercera instrucción. Con esta política en vigor y `RestrictPublicBuckets` activado, Amazon S3 solo permite obtener acceso a CloudTrail. Aunque la instrucción 2 no es pública, Amazon S3 deshabilita el acceso de la "Cuenta-2". Esto se debe a que la instrucción 3 convierte en pública a toda la política, por lo que se aplica `RestrictPublicBuckets`. Como consecuencia, Amazon S3 deshabilita el acceso entre cuentas, aunque la política delega el acceso a una cuenta específica, "Cuenta-2". Pero si elimina la instrucción 3 de la política, la política no califica como pública y `RestrictPublicBuckets` ya no es aplicable. Así, "Cuenta-2" recupera el acceso al bucket, aunque deje `RestrictPublicBuckets` habilitado.

### Puntos de acceso
<a name="access-control-block-public-access-policy-status-access-points"></a>

Amazon S3 evalúa la configuración del bloqueo de acceso público de un modo ligeramente diferente para los puntos de acceso en comparación con los buckets. Las reglas que Amazon S3 aplica para determinar cuándo una política de punto de acceso es pública suelen ser las mismas para los puntos de acceso que para los buckets, excepto en las situaciones siguientes:
+ Un punto de acceso que tiene un origen de red VPC siempre se considera no público, independientemente del contenido de su política de punto de acceso.
+ Una política de punto de acceso que concede acceso a un conjunto de puntos de acceso que utilizan `s3:DataAccessPointArn` se considera pública. Tenga en cuenta que este comportamiento es diferente al de las políticas de bucket. Por ejemplo, una política de bucket que concede acceso a los valores de `s3:DataAccessPointArn` que coinciden con `arn:aws:s3:us-west-2:123456789012:accesspoint/*` no se considera pública. Sin embargo, la misma instrucción en una política de punto de acceso haría público el punto de acceso.

## Uso de Analizador de acceso de IAM para S3 para revisar los buckets públicos
<a name="access-analyzer-public-info"></a>

Puede utilizar Analizador de acceso de IAM para S3 para revisar los buckets con ACL de bucket, las políticas de bucket o las políticas de punto de acceso que otorgan acceso público. Analizador de acceso de IAM para S3 le avisa de los buckets que están configurados para permitir el acceso a cualquier usuario de Internet u otras Cuentas de AWS, incluidas aquellas Cuentas de AWS ajenas a la organización. Para cada bucket público o compartido, recibirá resultados que le informarán del origen y el nivel de acceso público o compartido. 

En Analizador de acceso de IAM para S3, puede bloquear todo el acceso público a un bucket con un solo clic. También puede examinar a fondo las configuraciones de permisos de bucket para configurar niveles pormenorizados de acceso. Para casos de uso específicos y verificados que requieren acceso público o compartido, puede reconocer y registrar su intención de que el bucket continúe siendo público o compartido archivando los resultados del bucket.

En casos excepcionales, Analizador de acceso de IAM para S3 y Bloqueo de acceso público de Amazon S3 pueden diferir en la evaluación de si un bucket es público. Este comportamiento se produce porque Bloqueo de acceso público de Amazon S3 realiza una validación de la existencia de acciones además de evaluar el acceso público. Suponga que la política de bucket contiene una instrucción `Action` que permite el acceso público para una acción que no es compatible con Amazon S3 (por ejemplo, `s3:NotASupportedAction`). En este caso, Bloqueo de acceso público de Amazon S3 evalúa el bucket como público porque dicha instrucción podría hacer público el bucket si la acción se admite más adelante. En casos en los que Bloqueo de acceso público de Amazon S3 y el Analizador de acceso de IAM para S3 difieran en las evaluaciones, recomendamos revisar la política de buckets y eliminar cualquier acción no admitida.

Para obtener más información acerca de Analizador de acceso de IAM para S3, consulte [Revisión del acceso al bucket mediante Analizador de acceso de IAM para S3](access-analyzer.md).

## Permisos
<a name="access-control-block-public-access-permissions"></a>

Para usar características del bloqueo de acceso público de Amazon S3, debe contar con los siguientes permisos:


| Operation | Permisos necesarios | 
| --- | --- | 
| Estado de la política de bucket de GET | s3:GetBucketPolicyStatus | 
| Configuración de Bloqueo de acceso público de bucket de GET | s3:GetBucketPublicAccessBlock | 
| Configuración de Bloqueo de acceso público de bucket de PUT | s3:PutBucketPublicAccessBlock | 
| Configuración de Bloqueo de acceso público de bucket de DELETE | s3:PutBucketPublicAccessBlock | 
| Configuración de Bloqueo de acceso público de cuenta de GET | s3:GetAccountPublicAccessBlock | 
| Configuración de Bloqueo de acceso público de cuenta de PUT | s3:PutAccountPublicAccessBlock | 
| Configuración de Bloqueo de acceso público de cuenta de DELETE | s3:PutAccountPublicAccessBlock | 
| Configuración de bloqueo de acceso público de punto de acceso de PUT | s3:CreateAccessPoint | 

**nota**  
Las operaciones `DELETE` necesitan los mismos permisos que las operaciones `PUT`. No hay permisos separados para las operaciones `DELETE`.

## Configuración de Block Public Access
<a name="configuring-block-public-access"></a>

Para obtener más información sobre cómo configurar el Bloqueo de acceso público para la Cuenta de AWS, los buckets de Amazon S3 y los puntos de acceso, consulte los siguientes temas:
+ [Establecer la configuración de Block Public Access para la cuenta](configuring-block-public-access-account.md)
+ [Establecer la configuración de Block Public Access para sus buckets de S3](configuring-block-public-access-bucket.md)
+ [Realización de operaciones de acceso público de bloque en un punto de acceso](#access-control-block-public-access-examples-access-point)

# Establecer la configuración de Block Public Access para la cuenta
<a name="configuring-block-public-access-account"></a>

**importante**  
Si la cuenta está administrada por una política de bloqueo de acceso público por organización, no podrá modificar esta configuración por cuenta. Las políticas por organización invalidan las configuraciones por cuenta. Para obtener más información sobre las opciones de administración centralizada, consulte la [política de S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_s3.html) en la *Guía del usuario de AWS Organizations*.

El bloqueo de acceso público de Amazon S3 proporciona la configuración de los puntos de acceso, los buckets, las organizaciones y las cuentas, a fin de ayudarlo a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los buckets, puntos de acceso y objetos nuevos no permiten el acceso público. Para obtener más información, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](access-control-block-public-access.md).

**nota**  
La configuración del nivel de cuenta anula la configuración de los objetos individuales. Si configura su cuenta para bloquear el acceso público, se anulará cualquier configuración de acceso público aplicada a los objetos individuales de su cuenta. Cuando las políticas por organización están activas, la configuración por cuenta se hereda automáticamente de la política de la organización y no se puede modificar directamente.

Puede utilizar la consola de S3, la AWS CLI, los AWS SDK y la API de REST con el fin de configurar el bloqueo de acceso público para todos los buckets de la cuenta cuando no los administran las políticas de la organización. Para obtener más información, consulte las secciones siguientes.

Para establecer la configuración de bloqueo de acceso público para sus buckets, consulte [Establecer la configuración de Block Public Access para sus buckets de S3](configuring-block-public-access-bucket.md). Para obtener información acerca de los puntos de acceso, consulte [Realización de operaciones de acceso público de bloque en un punto de acceso](access-control-block-public-access.md#access-control-block-public-access-examples-access-point).

## Uso de la consola de S3
<a name="block-public-access-account"></a>

El bloqueo del acceso público de Amazon S3 impide que se aplique cualquier ajuste que permita el acceso público a los datos dentro de los buckets de S3. En esta sección, se describe cómo editar la configuración de bloqueo del acceso público para todos los buckets de S3 en su Cuenta de AWS. Para obtener más información acerca del bloqueo del acceso público, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](access-control-block-public-access.md).

**Para editar la configuración de bloqueo del acceso público para todos los buckets de S3 en una Cuenta de AWS**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Elija **Configuración de la cuenta para bloquear el acceso público**.

1. Elija **Editar** a fin de cambiar la configuración de bloqueo del acceso público para todos los buckets de su Cuenta de AWS.

1. Elija la configuración que desea cambiar y, a continuación, elija **Guardar cambios**.

1. Cuando se le pida que confirme, introduzca **confirm**. Para guardar los cambios, elija **Guardar**.

Si recibe un mensaje de error que dice: “This account does not allow changes to its account-level S3 Block Public Access settings due to an organizational S3 Block Public Access policy in effect”, significa que la cuenta se administra mediante políticas por organización. Contacte con el administrador de la organización para modificar esta configuración.

## Uso de AWS CLI
<a name="access-control-block-public-access-examples-cli"></a>

Puede utilizar el bloqueo del acceso público de Amazon S3 a través de la AWS CLI. Para obtener más información acerca de cómo configurar y usar la AWS CLI, consulte [¿Qué es la AWS Command Line Interface?](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) 

**Cuenta de**
+ Para realizar operaciones de Block Public Access en una cuenta, use el servicio de la AWS CLI `s3control`. Estas son las operaciones de cuentas que utilizan este servicio:
  + `PutPublicAccessBlock` (para una cuenta)
  + `GetPublicAccessBlock` (para una cuenta)
  + `DeletePublicAccessBlock` (para una cuenta)

**nota**  
Las operaciones `PutPublicAccessBlock` y `DeletePublicAccessBlock` mostrarán un error de “Acceso denegado” cuando la cuenta esté administrada por políticas por organización. Las operaciones `GetPublicAccessBlock` por cuenta devolverán la política aplicada por organización, si existe.

Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-public-access-block.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/put-public-access-block.html) en la *Referencia de AWS CLI*.

## Uso de los AWS SDK
<a name="access-control-block-public-access-examples-sdk"></a>

------
#### [ Java ]

En los siguientes ejemplos, se muestra cómo utilizar el bloqueo del acceso público de Amazon S3 con AWS SDK para Java a fin de establecer una configuración de bloqueo de acceso público en una cuenta de Amazon S3.

**nota**  
Las operaciones `PutPublicAccessBlock` y `DeletePublicAccessBlock` producirán un error de “Acceso denegado” si la cuenta esté administrada por políticas por organización.

```
AWSS3ControlClientBuilder controlClientBuilder = AWSS3ControlClientBuilder.standard();
controlClientBuilder.setRegion(<region>);
controlClientBuilder.setCredentials(<credentials>);
					
AWSS3Control client = controlClientBuilder.build();
client.putPublicAccessBlock(new PutPublicAccessBlockRequest()
		.withAccountId(<account-id>)
		.withPublicAccessBlockConfiguration(new PublicAccessBlockConfiguration()
				.withIgnorePublicAcls(<value>)
				.withBlockPublicAcls(<value>)
				.withBlockPublicPolicy(<value>)
				.withRestrictPublicBuckets(<value>)));
```

**importante**  
Este ejemplo pertenece exclusivamente a operaciones de cuenta que utilizan la clase de cliente `AWSS3Control`. Para operaciones de bucket, consulte el ejemplo anterior.

------
#### [ Other SDKs ]

Para obtener información sobre el uso de otros AWS SDK, consulte [Developing with Amazon S3 using the AWS SDKs](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) en la *Amazon S3 API Reference*.

------

## Uso de la API de REST
<a name="access-control-block-public-access-examples-api"></a>

Para obtener información sobre el uso de Block Public Access (Bloqueo de acceso público) de Amazon S3 con las API de REST, consulte los siguientes temas en la *referencia de la API de Amazon Simple Storage Service*.
+ Operaciones de cuenta
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html) - produce un error cuando la cuenta está administrada por las políticas de la organización
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html) - devuelve una configuración efectiva, incluidas las políticas de la organización.
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html) - produce un error cuando la cuenta está administrada por las políticas de la organización.

Aparecerá el siguiente mensaje de error para las operaciones restringidas: “This account does not allow changes to its account-level S3 Block Public Access settings due to an organizational S3 Block Public Access policy in effect”.

# Establecer la configuración de Block Public Access para sus buckets de S3
<a name="configuring-block-public-access-bucket"></a>

El bloqueo de acceso público de Amazon S3 proporciona la configuración de los puntos de acceso, los buckets, las organizaciones y las cuentas, a fin de ayudarlo a administrar el acceso público a los recursos de Amazon S3. De forma predeterminada, los buckets, puntos de acceso y objetos nuevos no permiten el acceso público. Para obtener más información, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](access-control-block-public-access.md).

**nota**  
La configuración del bloqueo de acceso público por bucket funciona junto con políticas por organización y cuenta. S3 aplica la configuración más restrictiva entre las configuraciones por bucket y por cuenta rentables (que las políticas de la organización las pueden aplicar, si las hay).

Puede utilizar la consola de S3, AWS CLI, los SDK de AWS y la API de REST para garantizar el acceso público a uno o más buckets. También existe la posibilidad de bloquear el acceso público a los buckets que ya son públicos. Para obtener más información, consulte las secciones siguientes.

Para establecer la configuración de bloqueo de acceso público para cada bucket de la cuenta, consulte [Establecer la configuración de Block Public Access para la cuenta](configuring-block-public-access-account.md). Para obtener información sobre la administración centralizada de toda la organización, consulte la [política de S3](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_s3.html) en la *Guía del usuario de AWS Organizations*.

Para obtener información acerca de cómo configurar el acceso público de bloques para puntos de acceso, consulte [Realización de operaciones de acceso público de bloque en un punto de acceso](access-control-block-public-access.md#access-control-block-public-access-examples-access-point).

# Uso de la consola de S3
<a name="block-public-access-bucket"></a>

El bloqueo del acceso público de Amazon S3 impide que se aplique cualquier ajuste que permita el acceso público a los datos dentro de los buckets de S3. Esta sección describe cómo editar la configuración de bloqueo del acceso público para uno o más buckets de S3. Para obtener información sobre cómo bloquear el acceso público mediante la AWS CLI, los SDK de AWS y las API de REST de Amazon S3, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](access-control-block-public-access.md).

Puede ver si el bucket es de acceso público en la lista **Buckets**, en la columna **Analizador de acceso de IAM**. Para obtener más información, consulte [Revisión del acceso al bucket mediante Analizador de acceso de IAM para S3](access-analyzer.md).

Si ve un `Error` cuando muestre los buckets y la configuración de acceso público, es posible que no tenga los permisos necesarios. Consulte para asegurarse de que dispone de los siguientes permisos agregados a la política del usuario o rol:

```
s3:GetAccountPublicAccessBlock
s3:GetBucketPublicAccessBlock
s3:GetBucketPolicyStatus
s3:GetBucketLocation
s3:GetBucketAcl
s3:ListAccessPoints
s3:ListAllMyBuckets
```

En algunos casos excepcionales, las solicitudes también pueden producir un error debido a una interrupción de Región de AWS.

**Para editar la configuración de Block Public Access de Amazon S3 para un único bucket de S3**

Siga estos pasos si tiene que cambiar la configuración de acceso público para un solo bucket de S3.

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. En la lista **Bucket name (Nombre del bucket)**, seleccione el nombre del bucket que desee.

1. Elija **Permissions**.

1. Elija **Editar** junto a **Bloquear acceso público (configuración del bucket)** para cambiar la configuración de acceso público del bucket. Para obtener más información acerca de las cuatro configuraciones de Block Public Access de Amazon S3, consulte [Configurar Block Public Access](access-control-block-public-access.md#access-control-block-public-access-options).

1. Elija una de las opciones de configuración y, a continuación, elija **Guardar cambios**.

1. Cuando se le pida que confirme, introduzca **confirm**. Para guardar los cambios, elija **Guardar**.

**importante**  
Incluso si desactiva la configuración de bloqueo de acceso público por bucket, es posible que el bucket siga protegido por políticas por cuenta u organización. S3 siempre aplica la combinación de ajustes más restrictiva en todos los niveles.

También puede cambiar la configuración de Bloqueo de acceso público de Amazon S3 cuando crea un bucket. Para obtener más información, consulte [Creación de un bucket de uso general](create-bucket-overview.md). 

## Mediante AWS CLI
<a name="configuring-block-public-access-bucket-cli"></a>

Para bloquear el acceso público en un bucket o eliminar el bloque de acceso público, utilice el servicio de la AWS CLI `s3api`. Estas son las operaciones de bucket que utilizan este servicio:
+ `PutPublicAccessBlock` (para un bucket)
+ `GetPublicAccessBlock` (para un bucket)
+ `DeletePublicAccessBlock` (para un bucket)
+ `GetBucketPolicyStatus`

Para obtener más información y ejemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-public-access-block.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-public-access-block.html) en la *Referencia de la AWS CLI*.

**nota**  
Estas operaciones por bucket no están restringidas por las políticas por organización. Sin embargo, el comportamiento efectivo de acceso público seguirá rigiéndose por la combinación más restrictiva de configuración de bucket, cuenta y organización. Para obtener más información acerca de la jerarquía y las interacciones de política, consulte [Uso de la consola de S3](block-public-access-bucket.md).

## Uso de los AWS SDK
<a name="configuring-block-public-access-bucket-sdk"></a>

------
#### [ Java ]

```
AmazonS3 client = AmazonS3ClientBuilder.standard()
	  .withCredentials(<credentials>)
	  .build();

client.setPublicAccessBlock(new SetPublicAccessBlockRequest()
		.withBucketName(<bucket-name>)
		.withPublicAccessBlockConfiguration(new PublicAccessBlockConfiguration()
				.withBlockPublicAcls(<value>)
				.withIgnorePublicAcls(<value>)
				.withBlockPublicPolicy(<value>)
				.withRestrictPublicBuckets(<value>)));
```

**importante**  
Este ejemplo pertenece exclusivamente a operaciones de bucket que utilizan la clase de cliente `AmazonS3`. Para operaciones de cuenta, consulte el siguiente ejemplo.

------
#### [ Other SDKs ]

Para obtener información sobre el uso de otros AWS SDK, consulte [Developing with Amazon S3 using the AWS SDKs](https://docs.aws.amazon.com/AmazonS3/latest/API/sdk-general-information-section.html) en la *Amazon S3 API Reference*.

------

## Uso de la API de REST
<a name="configuring-block-public-access-bucket-api"></a>

Para obtener información sobre el uso de Block Public Access (Bloqueo de acceso público) de Amazon S3 con las API de REST, consulte los siguientes temas en la *referencia de la API de Amazon Simple Storage Service*.
+ Operaciones de bucket
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutPublicAccessBlock.html)
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetPublicAccessBlock.html)
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeletePublicAccessBlock.html)
  + [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicyStatus.html)