Concesión de acceso a un bucket de Amazon S3 - AWS Storage Gateway

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Concesión de acceso a un bucket de Amazon S3

Al crear un recurso compartido de archivos, la puerta de enlace de archivo necesita acceso para cargar archivos en el bucket de Amazon S3 y para realizar acciones en cualquier punto de acceso o punto de conexión de nube privada virtual (VPC) que utilice para conectarse al bucket. Para conceder este acceso, su File Gateway asume una función AWS Identity and Access Management (IAM) asociada a una política de IAM que concede este acceso.

El rol requiere esta política de IAM y una relación de confianza de Security Token Service (STS). La política determina qué acciones puede realizar el rol. Además, el bucket de S3 y cualquier punto de acceso o punto de conexión de VPC asociado deben tener una política de acceso que permita al rol de IAM acceder a ellos.

Puede crear el rol y la política de acceso manualmente o dejar que lo haga la puerta de enlace de archivo. Si la puerta de enlace de archivo crea la política, contendrá una lista de acciones de S3. Para obtener más información acerca de los roles y permisos, consulte Creación de un rol para delegar permisos a un Servicio de AWS en la Guía del usuario de IAM.

El ejemplo siguiente es una política de confianza que permite que la puerta de enlace de archivo adoptar un rol de IAM.

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
importante

Storage Gateway puede asumir roles de servicio existentes que se transfieren mediante la acción de política iam:PassRole, pero no admite las políticas de IAM que utilizan la clave de contexto iam:PassedToService para limitar la acción a servicios específicos.

Para obtener más información, consulte los siguientes temas en la Guía del usuario de AWS Identity and Access Management :

Si no desea que la puerta de enlace de archivo cree una política en su nombre, cree la suya propia y asóciela al recurso compartido de archivos. Para obtener más información acerca de cómo hacerlo, consulte Creación de un recurso compartido de archivos.

La siguiente política de ejemplo permite que la puerta de enlace de archivo realice todas las acciones de S3 que aparecen en la política. La primera parte de la declaración permite que todas las acciones que se muestran se realicen en el bucket de S3 denominado amzn-s3-demo-bucket. La segunda parte permite las acciones que se muestran en todos los objetos de amzn-s3-demo-bucket.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}

El siguiente ejemplo de política es similar al anterior, pero permite a la puerta de enlace de archivo realizar las acciones necesarias para acceder a un bucket a través de un punto de acceso.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}
nota

Si necesita conectar su recurso compartido de archivos a un bucket de S3 a través de un punto de conexión de VPC, consulte Políticas de punto de conexión para Amazon S3 en la Guía del usuario de AWS PrivateLink .

nota

En el caso de los buckets cifrados, el recurso compartido de archivos debe usar la clave de la cuenta del bucket de S3 de destino.