# Paso 2: crear un bucket de directorio de S3 Express One Zone 1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/). 1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, en Región, elija la región en la que desea crear un bucket. **nota** Puede seleccionar una región cercana para minimizar la latencia y los costos, así como para satisfacer los requisitos normativos. Los objetos almacenados en una región nunca abandonarán esa región salvo que usted los transfiera de forma específica a otra. Para una lista de Regiones de AWS de Amazon S3, consulte [Puntos de conexión de Servicio de AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html#s3_region) en la *Referencia general de Amazon Web Services*. 1. En el panel de navegación izquierdo, elija **Buckets de directorio**. 1. Elija **Crear bucket**. Se abrirá la página **Crear bucket**. 1. En **Configuración general**, vea la Región de AWS donde se creará el bucket. En **Bucket type (Tipo de bucket)**, elija **Directory (Directorio)**. **nota** Si ha elegido una región que no admite buckets de directorio, la opción **Tipo de bucket** desaparece y el tipo de bucket pasa a ser un bucket de uso general de forma predeterminada. Para crear un bucket de directorio, debe elegir una región compatible. Para obtener una lista de las regiones que admiten buckets de directorio y la clase de almacenamiento Amazon S3 Express One Zone, consulte [Zonas y regiones de disponibilidad de S3 Express One Zone](s3-express-Endpoints.md). No se puede cambiar el tipo de bucket después de haberlo creado. **nota** La zona de disponibilidad no se puede cambiar una vez creado el bucket. 1. En **Zona de disponibilidad**, elija una zona de disponibilidad local para sus servicios de computación. Para obtener una lista de las zonas de disponibilidad que admiten buckets de directorio y la clase de almacenamiento S3 Express One Zone, consulte [Zonas y regiones de disponibilidad de S3 Express One Zone](s3-express-Endpoints.md). En **Zona de disponibilidad**, seleccione la casilla para confirmar que, en caso de que se produzca una interrupción de la zona de disponibilidad, es posible que los datos no estén disponibles o se pierdan. **importante** Los buckets de directorio se almacenan en varios dispositivos dentro de una única zona de disponibilidad, pero no almacenan datos de forma redundante en todas las zonas de disponibilidad. 1. En **Nombre del bucket**, escriba un nombre para el bucket de directorio. Las siguientes reglas de nomenclatura se aplican a los buckets de directorio. + Ser únicos en la zona elegida (zona de disponibilidad de AWS o zona local de AWS). + El nombre debe tener entre 3 (mín.) y 63 caracteres (máx.), incluido el sufijo. + Constar de letras minúsculas, números y guiones (-). + Comenzar y terminar por un número o una letra. + Debe incluir el siguiente sufijo: `--{{zone-id}}--x-s3`. + Los nombres de los buckets no deben comenzar con el prefijo `xn--`. + Los nombres de los buckets no deben comenzar con el prefijo `sthree-`. + Los nombres de los buckets no deben comenzar con el prefijo `sthree-configurator`. + Los nombres de los buckets no deben comenzar con el prefijo ` amzn-s3-demo-`. + Los nombres de los buckets no deben terminar con el sufijo `-s3alias`. Este sufijo está reservado para nombres de alias de punto de acceso. Para obtener más información, consulte [Alias de punto de acceso](access-points-naming.md#access-points-alias). + Los nombres de los buckets no deben terminar con el sufijo `--ol-s3`. Este sufijo está reservado para nombres de alias de punto de acceso de Object Lambda. Para obtener más información, consulte [Cómo usar un alias de estilo de bucket para su punto de acceso de Object Lambda de bucket de S3](olap-use.md#ol-access-points-alias). + Los nombres de los buckets no deben terminar con el sufijo `.mrap`. Este sufijo está reservado para nombres de punto de acceso multirregionales. Para obtener más información, consulte [Reglas para asignar nombres a los puntos de acceso de varias regiones de Amazon S3](multi-region-access-point-naming.md). Se añade automáticamente un sufijo al nombre base que proporciona cuando crea un bucket de directorio utilizando la consola. Este sufijo incluye el ID de zona de disponibilidad de la que haya elegido. Una vez que haya creado el bucket, no podrá modificar su nombre. Para obtener más información sobre la nomenclatura de los buckets, consulte [Reglas de nomenclatura de buckets de uso general](bucketnamingrules.md). **importante** No incluya información confidencial, como números de cuenta, en el nombre del bucket. El nombre del bucket será visible en las URL que señalan a los objetos almacenados en él. 1. En **Propiedad del objeto**, la opción **Aplicada al propietario del bucket** se activa de forma automática y se desactivan todas las listas de control de acceso (ACL). En el caso de los buckets de directorio, las ACL no se pueden habilitar. **Propietario del bucket obligatorio (predeterminado)**: las ACL están desactivadas y el propietario del bucket tiene automáticamente la propiedad y el control total sobre cada objeto del bucket de uso general. Las ACL ya no afectan a los permisos de acceso de los datos del bucket de uso general de S3. El bucket utiliza políticas exclusivamente para definir el control de acceso. 1. En **Configuración de bloqueo de acceso público para este bucket**, tenga en cuenta que la configuración Bloquear acceso público para su bucket de directorio se habilita automáticamente. Esta configuración no se puede modificar para los bucket de directorio. Para obtener más información acerca del bloqueo del acceso público, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](access-control-block-public-access.md). 1. Para configurar el cifrado predeterminado, en **Tipo de cifrado**, elija una de las siguientes opciones: + **Cifrado del servidor con clave administrada por Amazon S3 (SSE-S3)** + **Cifrado del servidor con clave de AWS Key Management Service (SSE-KMS)** Para obtener más información sobre el uso del cifrado del lado del servidor de Amazon S3 para cifrar los datos, consulte [Protección y cifrado de datos](s3-express-data-protection.md). **importante** Si utiliza la opción de SSE-KMS para la configuración de cifrado predeterminado, se le aplicará la cuota de solicitudes por segundo (RPS) de AWS KMS. Para obtener más información acerca de las cuotas de AWS KMS y cómo solicitar un aumento de cuota, consulte [Cuotas](https://docs.aws.amazon.com/kms/latest/developerguide/limits.html) en la *Guía para desarrolladores de AWS Key Management Service*. Cuando habilite el cifrado predeterminado, es posible que deba actualizar la política de bucket. Para obtener más información, consulte [Uso del cifrado SSE-KMS para operaciones entre cuentas](bucket-encryption.md#bucket-encryption-update-bucket-policy). 1. Si ha elegido **Cifrado del servidor con claves administradas por Amazon S3 (SSE-S3)**, en **Clave de bucket**, aparece **Habilitado**. Las claves de bucket de S3 siempre están habilitadas cuando configura el bucket de directorio para usar el cifrado predeterminado con SSE-S3. Las claves de bucket de S3 siempre están habilitadas para las operaciones `GET` y `PUT` en un bucket de directorio y no se pueden desactivar. Las claves de bucket de S3 no son compatibles, cuando se copian objetos cifrados con SSE-KMS de buckets de uso general a buckets de directorio, de buckets de directorio a buckets de uso general o entre buckets de directorio, mediante la operación [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html), [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html), [Copy](directory-buckets-objects-Batch-Ops.md) en operaciones por lotes o [los trabajos de import](create-import-job.md). En ese caso, Amazon S3 realiza una llamada a AWS KMS cada vez que se realiza una solicitud de copia para un objeto cifrado con KMS. Las claves de bucket de S3 reducen el costo del cifrado al reducir el tráfico de solicitudes de Amazon S3 a AWS KMS. Para obtener más información, consulte [Reducción del costo de SSE-KMS con las claves de bucket de Amazon S3](bucket-key.md). 1. Si ha elegido **Cifrado del servidor con clave de AWS Key Management Service (SSE-KMS)**, en **Clave de AWS KMS**, especifique la clave de AWS Key Management Service de una de las siguientes maneras o cree una nueva clave. + Para elegir de una lista de claves de KMS disponibles, seleccione **Elija entre sus AWS KMS keys** y elija la **Clave de KMS** en **AWS KMS keys disponibles**. En esta lista solo aparecen las claves administradas por el cliente. La Clave administrada de AWS (`aws/s3`) no es compatible con los buckets de directorio. Para obtener más información acerca de las claves administradas por el cliente, consulte [Claves de cliente y claves de AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) en la *Guía para desarrolladores de AWS Key Management Service*. + Para introducir el ARN o alias de la clave de KMS, elija **Introducir ARN de AWS KMS key** e introduzca el ARN o alias de la clave de KMS en **ARN de AWS KMS key**. + Para crear una nueva clave administrada por el cliente en la consola de AWS KMS, elija **Crear una clave de KMS**. Para obtener más información acerca de cómo crear una AWS KMS key, consulte [Creación de claves](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) en la *AWS Key Management Service Guía para desarrolladores*. **importante** La configuración de SSE-KMS solo admite 1 [clave administrada por el cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) por bucket de directorio durante la vida útil del bucket. La [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#aws-managed-cmk) (`aws/s3`) no es compatible. Además, después de especificar una clave administrada por el cliente para SSE-KMS, no puede invalidar la clave administrada por el cliente para la configuración de SSE-KMS del bucket. Puede identificar la clave administrada por el cliente que especificó para la configuración de SSE-KMS del bucket, de la siguiente manera: Realice una solicitud de operación de API de `HeadObject` para encontrar el valor de `x-amz-server-side-encryption-aws-kms-key-id` en la respuesta. Para usar una nueva clave administrada por el cliente para los datos, le recomendamos copiar los objetos existentes en un nuevo bucket de directorio con una nueva clave administrada por el cliente. Solo puede utilizar las claves de KMS que estén disponibles en la misma Región de AWS del bucket. La consola de Amazon S3 solo muestra las primeras 100 claves de KMS de la misma región del bucket. Para utilizar una clave de KMS que no aparezca en la lista, debe introducir el ARN de la clave de KMS. Si desea utilizar una clave de KMS propiedad de una cuenta de diferente, primero debe tener permiso para utilizar la clave y, después, debe introducir el ARN de la clave de KMS. Para obtener más información sobre los permisos entre cuentas para las claves de KMS, consulte [Crear claves de KMS que otras cuentas puedan utilizar](https://docs.aws.amazon.com//kms/latest/developerguide/key-policy-modifying-external-accounts.html#cross-account-console) en la *Guía para desarrolladores de AWS Key Management Service*. Para obtener más información sobre SSE-KMS, consulte [Especificación del cifrado del servidor con AWS KMS (SSE-KMS) para la carga de nuevos objetos en buckets de directorio](s3-express-specifying-kms-encryption.md). Cuando utilice una AWS KMS key para el cifrado del servidor en buckets de directorio, debe elegir una clave de KMS de cifrado simétrico. Amazon S3 admite solo claves de KMS de cifrado simétricas y no claves de KMS asimétricas. Para obtener más información, consulte [Identificación de claves de KMS simétricas y asimétricas](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html) en la *Guía para desarrolladores de AWS Key Management Service*. Para obtener más información acerca del uso de AWS KMS con Amazon S3, consulte [Uso del cifrado del servidor con claves de AWS KMS (SSE-KMS) en buckets de directorio](s3-express-UsingKMSEncryption.md). 1. Elija **Crear bucket**. Después de crear el bucket, puede añadir archivos y carpetas al bucket. Para obtener más información, consulte [Uso de objetos en un bucket de directorio](directory-buckets-objects.md).