Uso del campo de objeto de ACL
Un Inventario de Amazon S3 contiene una lista de los objetos del bucket de origen de S3 y los metadatos para cada objeto. El campo de lista de control de acceso (ACL) del objeto es un campo de metadatos que está disponible en el Inventario de Amazon S3. Específicamente, el campo ACL de objeto contiene la lista de control de acceso (ACL) de cada objeto. La ACL de un objeto define a qué Cuentas de AWS o grupos se les concede acceso a este objeto y el tipo de acceso que se concede. Para obtener más información, consulte Información general de las Listas de control de acceso (ACL) y Lista de Amazon S3 Inventory.
El campo ACL de objeto de los informes del Inventario de Amazon S3 se define en formato JSON. Los datos de JSON incluyen los siguientes campos:
-
version: la versión del formato de campo ACL de objeto en los informes de inventario. Está en formato de fechayyyy-mm-dd. -
status: los valores posibles sonAVAILABLEoUNAVAILABLEpara indicar si hay una ACL de objeto disponible para un objeto. Cuando el estado del campo ACL del objeto esUNAVAILABLE, el valor del campo Propietario del objeto del informe de inventario también esUNAVAILABLE. -
grants: pares de beneficiario-permiso que muestran el estado de cada beneficiario al que se le concede la ACL del objeto. Los valores disponibles para un beneficiario sonCanonicalUseryGroup. Para obtener más información sobre los beneficiarios, consulte la información sobre beneficiarios de las listas de control de acceso.Para un beneficiario con el tipo
Group, un par de beneficiario-permiso incluye los siguientes atributos:-
uri: un grupo predefinido de Amazon S3. -
permission: los permisos de ACL que se otorgan al objeto. Para obtener más información, consulte Permisos de ACL. -
type: el tipoGroup, lo que indica que el beneficiario es un grupo.
Para un beneficiario con el tipo
CanonicalUser, un par de beneficiario-permiso incluye los siguientes atributos:-
canonicalId: una forma oculta del ID de Cuenta de AWS. El ID de usuario canónico de una Cuenta de AWS es específico de esa cuenta. Puede recuperar el ID de usuario canónico. Para obtener más información, consulte Buscar el ID de usuario canónico de su Cuenta de AWS en la Guía de referencia de la Administración de cuentas de AWS.nota
Si el beneficiario de una ACL es la dirección de correo electrónico de una Cuenta de AWS, el Inventario de S3 utiliza el
canonicalIdde esa Cuenta de AWS y el tipoCanonicalUserpara especificar este beneficiario. Para obtener más información, consulte la información sobre beneficiarios de las listas de control de acceso. -
permission: los permisos de ACL que se otorgan al objeto. Para obtener más información, consulte Permisos de ACL. -
type: el tipoCanonicalUser, lo que indica que el beneficiario es una Cuenta de AWS.
-
En el siguiente ejemplo, se muestran los valores posibles del campo ACL del objeto en formato JSON:
{ "version": "2022-11-10", "status": "AVAILABLE", "grants": [{ "uri": "http://acs.amazonaws.com/groups/global/AllUsers", "permission": "READ", "type": "Group" }, { "canonicalId": "example-canonical-id", "permission": "FULL_CONTROL", "type": "CanonicalUser" }] }
nota
El campo ACL del objeto se define en formato JSON. Un informe de inventario muestra el valor del campo ACL del objeto como una cadena codificada en base64.
Por ejemplo, supongamos que tiene el siguiente campo ACL de objeto en formato JSON:
{ "version": "2022-11-10", "status": "AVAILABLE", "grants": [{ "canonicalId": "example-canonical-user-ID", "type": "CanonicalUser", "permission": "READ" }] }
El campo ACL del objeto está codificado y se muestra como la siguiente cadena codificada en base64:
eyJ2ZXJzaW9uIjoiMjAyMi0xMS0xMCIsInN0YXR1cyI6IkFWQUlMQUJMRSIsImdyYW50cyI6W3siY2Fub25pY2FsSWQiOiJleGFtcGxlLWNhbm9uaWNhbC11c2VyLUlEIiwidHlwZSI6IkNhbm9uaWNhbFVzZXIiLCJwZXJtaXNzaW9uIjoiUkVBRCJ9XX0=
Para obtener el valor descodificado en JSON para el campo ACL del objeto, puede consultar este campo en Amazon Athena. Para obtener consultas de ejemplo, consulte Consulta de Amazon S3 Inventory con Amazon Athena.
