Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Prohibición del acceso al bucket de Amazon S3 en distintos entornos
<a name="AWSHowTo.iam.cross-env-s3-access"></a>

En este tema se explica cómo las políticas administradas pueden permitir el acceso a los buckets de S3 entre entornos y cómo se pueden crear políticas personalizadas para administrar este tipo de acceso.

Elastic Beanstalk proporciona políticas administradas para AWS gestionar los recursos que requieren los entornos de Elastic Beanstalk de su cuenta. AWS Los permisos proporcionados de forma predeterminada a una aplicación de su AWS cuenta tienen acceso a los recursos de S3 que pertenecen a otras aplicaciones de la misma cuenta. AWS 

Si su AWS cuenta ejecuta varias aplicaciones de Beanstalk, puede reducir la seguridad de sus políticas creando su propia [política personalizada](AWSHowTo.iam.managed-policies.md#AWSHowTo.iam.policies) para adjuntarla a su propio [rol de servicio](iam-servicerole.md#iam-servicerole-create) o [perfil de instancia](iam-instanceprofile.md#iam-instanceprofile-create) para cada entorno. A continuación, puede limitar los permisos de S3 de su política personalizada a un entorno específico.

**nota**  
Tenga en cuenta que es responsable de mantener su política personalizada. Si cambia una política administrada por Elastic Beanstalk en la que se basa la política personalizada, tendrá que modificar la política personalizada con los cambios correspondientes en la política base. Para obtener un historial de cambios de las políticas administradas de Elastic Beanstalk, consulte [Actualizaciones de Elastic AWS Beanstalk a las políticas administradas](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).

## Ejemplo de permisos restringidos
<a name="AWSHowTo.iam.cross-env-s3-access.example-env-ID"></a>

El siguiente ejemplo se basa en la política gestionada [AWSElasticBeanstalkWebTier](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkWebTier.html).

La política predeterminada incluye las siguientes líneas para los permisos en buckets de S3. Esta política predeterminada no limita las acciones del bucket de S3 a entornos o aplicaciones específicos.

```
{
   "Sid" : "BucketAccess", 
   "Action" : [ 
      "s3:Get*",
      "s3:List*", 
      "s3:PutObject"
     ], 
   "Effect" : "Allow",
   "Resource" : [ 
      "arn:aws:s3:::elasticbeanstalk-*", 
      "arn:aws:s3:::elasticbeanstalk-*/*" 
     ] 
}
```

Puede limitar el acceso calificando recursos específicos para un rol de servicio especificado como `Principal`. En el siguiente ejemplo, se proporcionan los permisos `aws-elasticbeanstalk-ec2-role-my-example-env` del rol de servicio personalizado para los buckets de S3 del entorno con ID `my-example-env-ID`.

**Example Otorgue permisos solo a los buckets de S3 de un entorno específico**  

```
{
   "Sid": "BucketAccess",
   "Action": [
      "s3:Get*",
      "s3:List*",
      "s3:PutObject"
    ],
   "Effect": "Allow",
   "Principal": {
      "AWS": "arn:aws:iam::...:role/aws-elasticbeanstalk-ec2-role-my-example-env"
     },
   "Resource": [
      "arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345",
      "arn:aws:s3:::elasticbeanstalk-my-region-account-id-12345/resources/environments/my-example-env-ID/*"
    ]
}
```

**nota**  
El ARN del recurso debe incluir el ID del entorno de Elastic Beanstalk (no el nombre del entorno). Puede obtener el identificador del entorno en la consola de Elastic Beanstalk en la página [Información general del entorno.](environments-dashboard.md) También puede usar el comando AWS CLI [describe-environments](https://docs.aws.amazon.com/cli/latest/reference/elasticbeanstalk/describe-environments.html) para obtener esta información.

Para obtener más información que le ayude a actualizar los permisos de los bucket de S3 para sus entornos de Elastic Beanstalk, consulte los siguientes recursos:
+ [Uso de Elastic Beanstalk con Amazon S3](AWSHowTo.S3.md) en esta guía
+ [Tipos de recursos definidos por Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html#amazons3-resources-for-iam-policies) en la guía *Referencia de autorización de servicios*
+ [Formato ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) en la *Guía de usuario de IAM*