

# Cómo funcionan los archivos de S3 con IAM
<a name="s3-files-security-iam"></a>

En esta página, se describe cómo funciona AWS Identity and Access Management (IAM) con archivos de S3 y cómo puede utilizar las políticas de IAM para controlar el acceso a los sistemas de archivos.

Los archivos de S3 usan IAM para dos tipos distintos de control de acceso:
+ **Acceso de API**: controla quién puede crear, administrar y eliminar los recursos de archivos de S3, como los sistemas de archivos, los destinos de montaje y los puntos de acceso. Puede controlar este acceso mediante políticas basadas en identidades asociadas a los usuarios de IAM, grupos o roles.
+ **Acceso de clientes**: controla lo que los clientes (los recursos informáticos montados) pueden hacer con el sistema de archivos una vez que se conectan, como leer, escribir o acceder a los archivos como usuarios raíz. Puede controlar este acceso mediante una combinación de políticas basadas en recursos, políticas basadas en identidades, puntos de acceso y permisos POSIX.

Mediante IAM, puede permitir que los clientes realicen acciones específicas en un sistema de archivos, incluido el acceso de solo lectura, escritura y raíz. Un permiso de “permitir” para una acción, ya sea en una política de identidad de IAM o en una política de recursos del sistema de archivos, permite el acceso a esa acción. No es necesario conceder el permiso tanto en una política de identidad como en una política de recursos.

Las políticas del bucket de S3 vinculado también regulan el acceso desde el recurso informático y el sistema de archivos al bucket de S3. También debe asegurarse de que las políticas de bucket del bucket de origen no denieguen el acceso desde el recurso informático o el sistema de archivos. Para obtener más información, consulte [Políticas de bucket para Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html).

## Políticas basadas en identidades
<a name="s3-files-security-iam-identity-based"></a>

Las políticas basadas en identidades son políticas de JSON que se adjuntan a usuarios de IAM, grupos o roles. Puede proporcionar estos permisos escribiendo políticas personalizadas o adjuntando una política administrada de AWS. Para obtener más información sobre las políticas administradas disponibles para acceso de la API y acceso de cliente, consulte [Políticas administradas de AWS para archivos de Amazon S3](s3-files-security-iam-awsmanpol.md).

Los archivos de S3 también optimizan el rendimiento de lectura al permitir a los clientes leer los datos de los archivos directamente desde el bucket de S3 de origen. Al montar un sistema de archivos de S3 en el recurso informático, debe agregar una política insertada al rol de IAM del recurso informático que concede permisos para leer los objetos del bucket de S3 especificado. El ayudante de montaje utiliza estos permisos para leer los datos de S3. Para obtener más información sobre esta política, consulte [Rol de IAM para adjuntar el sistema de archivos a los recursos informáticos de AWS](s3-files-prereq-policies.md#s3-files-prereq-iam-compute-role).

## Políticas basadas en recursos
<a name="s3-files-security-iam-resource-based"></a>

Una política de sistema de archivos es una política basada en recursos de IAM que asocia directamente a un sistema de archivos para controlar el acceso de clientes. Puede utilizar las políticas del sistema de archivos para conceder o denegar permisos a los clientes para que realicen operaciones como el montaje, la escritura y el acceso raíz.

Un sistema de archivos tiene una política de sistema de archivos vacía (predeterminada) o exactamente una política explícita. Las políticas del sistema de archivos de S3 tienen un límite de 20 000 caracteres. Para obtener información acerca de cómo se crean y se administran políticas de sistema de archivos, consulte [Creación de políticas de sistema de archivos](s3-files-file-system-policies-creating.md).

## Acciones de archivos de S3 para clientes
<a name="s3-files-security-iam-client-actions"></a>

Puede especificar las siguientes acciones en una política de sistema de archivos para controlar el acceso de clientes:


| Action | Descripción | 
| --- | --- | 
| s3files:ClientMount | Proporciona acceso de solo lectura a un sistema de archivos. | 
| s3files:ClientWrite | Proporciona permisos de escritura en un sistema de archivos. | 
| s3files:ClientRootAccess | Proporciona la capacidad de utilizar el usuario raíz al acceder a un sistema de archivos. | 

## Claves de condición de archivos de S3 para clientes
<a name="s3-files-security-iam-condition-keys"></a>

Puede utilizar las siguientes claves de condición en el elemento de `Condition` de una política de sistema de archivos para ajustar aún más el control de acceso:


| Clave de condición | Descripción | Operador | 
| --- | --- | --- | 
| s3files:AccessPointArn | ARN del punto de acceso de archivos de S3 al que se está conectando el cliente. | Cadena | 

## Ejemplos de política del sistema de archivos
<a name="s3-files-security-iam-policy-examples"></a>

### Ejemplo: conceder acceso de solo lectura
<a name="s3-files-security-iam-policy-example-readonly"></a>

La siguiente política del sistema de archivos solo concede permisos `ClientMount` (solo lectura) al rol de IAM de `ReadOnly`. Reemplace {{111122223333}} por su ID de cuenta de AWS.

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:role/ReadOnly"
            },
            "Action": [
                "s3files:ClientMount"
            ]
        }
    ]
}
```

### Ejemplo: Otorgar acceso a un punto de acceso de archivos de S3
<a name="s3-files-security-iam-policy-example-accesspoint"></a>

La siguiente política del sistema de archivos utiliza un elemento de condición para conceder a un punto de acceso específico pleno acceso al sistema de archivos cuando el montaje se realiza a través del punto de acceso especificado. Sustituya el ARN del punto de acceso y el ID de cuenta por sus valores. Para obtener más información, consulte [Creación de puntos de acceso para un sistema de archivos de S3](s3-files-access-points-creating.md).

```
{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{555555555555}}:role/S3FilesAccessPointFullAccess"
            },
            "Action": [
                "s3files:Client*"
            ],
            "Condition": {
                "StringEquals": {
                    "s3files:AccessPointArn": "arn:{{partition}}:s3files:{{region}}:{{account-id}}:file-system/{{fs-1234567890}}/access-point/{{fsap-0987654321}}"
                }
            }
        }
    ]
}
```

## Permisos POSIX
<a name="s3-files-security-iam-posix"></a>

Una vez que la autorización de IAM es correcta, los archivos de S3 aplican los permisos POSIX estándar (estilo UNIX) por archivo y directorio. Los permisos POSIX controlan el acceso en función del ID de usuario (UID), ID de grupo (GID) y los bits de permiso (lectura, escritura, ejecución) asociados a cada archivo y directorio. Los puntos de acceso pueden aplicar una identidad de usuario POSIX específica para todas las solicitudes, lo que simplifica la administración del acceso a los conjuntos de datos compartidos. Para obtener más información, consulte [Creación de puntos de acceso para un sistema de archivos de S3](s3-files-access-points-creating.md).

## Grupos de seguridad
<a name="s3-files-security-iam-security-groups"></a>

Los grupos de seguridad actúan como un firewall de red que controla el tráfico entre los recursos informáticos y los destinos de montaje del sistema de archivos. Para obtener más información sobre la configuración de los grupos de seguridad para empezar en archivos de S3, consulte [Grupos de seguridad](s3-files-prereq-policies.md#s3-files-prereq-security-groups).