Concesión de acceso a un bucket de Amazon S3 - AWS Storage Gateway

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de acceso a un bucket de Amazon S3

Al crear un recurso compartido de archivos, su File Gateway necesita acceso para cargar archivos en su bucket de Amazon S3 y para realizar acciones en cualquier punto de acceso o punto final de nube privada virtual (VPC) que utilice para conectarse al bucket. Para conceder este acceso, su File Gateway asume una función AWS Identity and Access Management (IAM) asociada a una política de IAM que concede este acceso.

El rol requiere esta política de IAM y una relación de confianza de Security Token Service (STS). La política determina qué acciones puede realizar el rol. Además, su bucket de S3 y cualquier punto de acceso o punto de enlace de VPC asociado deben tener una política de acceso que permita al rol de IAM acceder a ellos.

Puede crear el rol y la política de acceso usted mismo, o File Gateway puede crearlos por usted. Si File Gateway crea la política por usted, la política contendrá una lista de acciones de S3. Para obtener información sobre las funciones y los permisos, consulte Crear una función para delegar permisos a una Servicio de AWS en la Guía del usuario de IAM.

El siguiente ejemplo es una política de confianza que permite a File Gateway asumir una función de IAM.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
importante

Storage Gateway puede asumir las funciones de servicio existentes que se transfieren mediante la acción de iam:PassRole política, pero no admite las políticas de IAM que utilizan la clave de iam:PassedToService contexto para limitar la acción a servicios específicos.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de AWS Identity and Access Management :

Si no quiere que File Gateway cree una política en su nombre, puede crear su propia política y adjuntarla a su recurso compartido de archivos. Para obtener más información acerca de cómo hacerlo, consulte Creación de un recurso compartido de archivos.

El siguiente ejemplo de política permite a File Gateway realizar todas las acciones de Amazon S3 enumeradas en la política. La primera parte de la declaración permite que todas las acciones que se muestran se realicen en el bucket de S3 denominado amzn-s3-demo-bucket. La segunda parte permite las acciones que se muestran en todos los objetos de amzn-s3-demo-bucket.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}

El siguiente ejemplo de política es similar a la anterior, pero permite a File Gateway realizar las acciones necesarias para acceder a un bucket a través de un punto de acceso.

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}
nota

Si necesita conectar su recurso compartido de archivos a un bucket de S3 a través de un punto de enlace de VPC, consulte las políticas de puntos de conexión para Amazon S3 en la Guía del AWS PrivateLink usuario.

nota

En el caso de los depósitos cifrados, el recurso compartido de archivos debe usar la clave de la cuenta del bucket de S3 de destino.