Configuración de administrador - Amazon Quick
Otorgue a Amazon Quick acceso a los buckets de Amazon S3Prepare la configuración de las funciones y políticas de IAMConfigurar el acceso a la VPC para el conector Amazon S3 en Amazon QuickRestrinja el acceso a los buckets de Amazon S3 con asignaciones de políticas de IAM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración de administrador

Antes de que los usuarios puedan crear integraciones y bases de conocimiento de Amazon S3, un administrador de Amazon Quick debe completar las siguientes tareas de configuración.

Otorgue a Amazon Quick acceso a los buckets de Amazon S3

Conceda a Amazon Quick acceso a los buckets de Amazon S3 que su organización necesita. Esto se aplica tanto si los depósitos están en la misma AWS cuenta como en una cuenta diferente.

  1. En la consola de administración de Amazon Quick, en Permisos, selecciona AWS recursos.

  2. En Permitir el acceso y la detección automática de estos recursos, seleccione la casilla Amazon S3.

  3. Elija Seleccionar buckets de S3.

  4. En el cuadro de diálogo Select Amazon S3 buckets, elija la pestaña que coincida con la ubicación de su bucket:

    • Buckets S3 vinculados a Quick Account: selecciona los cubos de la lista a los que quieres que acceda Amazon Quick. De forma predeterminada, los buckets seleccionados tienen permisos de solo lectura.

    • Depósitos de S3 a los que puede acceder desde diferentes cuentas AWS: en el caso de los grupos de varias cuentas, asegúrese de que el propietario de la cuenta haya autorizado su cuenta. Selecciona Usar un depósito diferente, introduce el nombre del depósito y selecciona Añadir un depósito de S3.

  5. (Opcional) Para los grupos multicuenta, selecciona Restringir el acceso al depósito al creador de la base de conocimientos para limitar el acceso de forma que solo el usuario que crea la base de conocimientos pueda utilizar el depósito.

  6. Seleccione Finalizar.

Los usuarios ahora pueden acceder a los depósitos seleccionados durante la creación de la base de conocimientos.

Prepare la configuración de las funciones y políticas de IAM

La integración de Amazon S3 utiliza la AWS autenticación para acceder a sus buckets de Amazon S3. Prepare la configuración de su rol y política de IAM antes de que los usuarios configuren la integración.

Permisos de IAM necesarios

Asegúrese de que su AWS cuenta tenga los siguientes permisos mínimos para el bucket de Amazon S3:

  • s3:GetObject— Lee los objetos del depósito.

  • s3:ListBucket— Listar el contenido del bucket.

  • s3:GetBucketLocation— Obtenga información sobre la región del bucket.

  • s3:GetObjectVersion— Obtenga versiones de objetos.

  • s3:ListBucketVersions— Listar las versiones de bucket.

Configurar los permisos de los buckets de Amazon S3 para el acceso entre cuentas

Si accede a los buckets de Amazon S3 desde una AWS cuenta diferente, debe configurar las políticas de IAM en la cuenta de origen AWS .

Para configurar los permisos de los buckets de Amazon S3 para el acceso entre cuentas

  1. Inicie sesión en la consola AWS de administración de la cuenta que contiene el bucket de Amazon S3.

  2. Abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  3. Elija el bucket al que quiere conceder acceso.

  4. Elija Permissions (Permisos) y, a continuación, seleccione Bucket Policy (Política de bucket).

  5. Agrega una política de bucket con los siguientes elementos:

    • Version— Establézcalo en «2012-10-17"

    • Statement— Matriz que contiene declaraciones de política con:

      • Sid— "AllowQuickSuiteS3 Access»

      • Effect— «Permitir»

      • Principal— AWS ARN del rol de Amazon Quick service en tu cuenta. Por ejemplo, el director debería tener este aspecto: "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }

      • Action— Matriz de permisos de Amazon S3: s3:GetObject, s3:ListBucket, s3:GetBucketLocation, s3:GetObjectVersion, s3: ListBucketVersions

      • Resource— «*» (se aplica a la clave actual), la ruta del bucket de Amazon S3 debería tener el siguiente aspecto: "Resource": [ "arn:aws:s3:::bucket_name"]

  6. Seleccione Save changes (Guardar cambios).

Configure los permisos de la clave KMS (si su bucket usa cifrado)

Si su bucket de Amazon S3 utiliza el cifrado AWS KMS, complete los siguientes pasos.

Para configurar los permisos de clave de KMS

  1. Abra la consola del Servicio de administración de AWS claves (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Elija la clave de KMS que se utiliza para cifrar el bucket de Amazon S3.

  3. Elija Key policy (Política de claves) y, a continuación, elija Edit (Editar).

  4. Añada una declaración a la política clave con los siguientes elementos estructurales:

    • Sid – "AllowQuickSuiteKMSAccess"

    • Effect— «Permitir»

    • Principal— AWS ARN del rol de Amazon Quick service en tu cuenta. Por ejemplo, el director debería tener este aspecto: "Principal": { "AWS": "arn:aws:iam::<quick_account_id>:role/service-role/aws-quicksight-service-role-v0" }

    • Action— Matriz de permisos de KMS: kms: descifrar, kms: DescribeKey

    • Resource— «*» (se aplica a la clave actual), la ruta del bucket de Amazon S3 debería tener el siguiente aspecto: "Resource": [ "arn:aws:s3:::bucket_name"]

  5. Seleccione Save changes (Guardar cambios).

  6. Espere de 2 a 3 minutos para que se propaguen los cambios de política.

Configurar el acceso a la VPC para el conector Amazon S3 en Amazon Quick

Los permisos de VPC garantizan que Amazon Quick solo pueda acceder a su bucket de Amazon S3 a través de conexiones seguras de VPC o puntos de enlace de VPC.

Cambio de política obligatorio

Añada esta declaración a su política de acceso a los depósitos para permitir que Amazon Quick acceda a ellos a través de los puntos de conexión de la VPC:

{
  "Sid": "Allow-Quick-access"		 	 	 ,
  "Principal": "arn:aws:iam::Quick Account:role/service-role/aws-quicksight-service-role-v0",
  "Action": "s3:*",
  "Effect": "Allow",
  "Resource": [
    "arn:aws:s3:::amzn-s3-demo-bucket",
    "arn:aws:s3:::amzn-s3-demo-bucket/*"
  ],
  "Condition": {
    "Null": {
      "aws:SourceVpce": "false"
    }
  }
}

  • Reemplace amzn-s3-demo-bucket con el nombre del bucket.

  • Quick AccountSustitúyala por tu cuenta Amazon Quick.

La "aws:SourceVpce": "false" condición garantiza que Amazon Quick solo pueda acceder a su depósito a través de puntos de enlace de VPC, manteniendo sus requisitos de seguridad.

Políticas de denegación

Si su bucket tiene una política que restringe el tráfico a una VPC específica o a un punto final de VPC mediante una política de denegación, debe anular esta política, ya que las políticas de denegación tienen prioridad sobre las políticas de autorización.

Por ejemplo:

{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Deny",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringNotEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

Debe invertirse en:

{
   "Version":"2012-10-17"		 	 	 ,                   
   "Id": "Policy1415115909152",
   "Statement": [
     {
       "Sid": "Access-to-specific-VPCE-only",
       "Principal": "*",
       "Action": "s3:*",
       "Effect": "Allow",
       "Resource": ["arn:aws:s3:::amzn-s3-demo-bucket",
                    "arn:aws:s3:::amzn-s3-demo-bucket/*"],
       "Condition": {
         "StringEquals": {
           "aws:SourceVpce": "vpce-0abcdef1234567890"
         }
       }
     }
   ]
}

Prácticas recomendadas

Restrinja el acceso a su función de Amazon Quick

Las políticas de acceso deben exigir que la persona que llama sea el ARN de su rol de Amazon Quick o, como mínimo, su cuenta de Amazon Quick. Esto garantiza que, a pesar de permitir el tráfico de VPC, las llamadas provengan únicamente de las fuentes esperadas.

Recomendaciones de seguridad

  • Restringe las políticas a tu rol de Amazon Quick para obtener un tráfico más seguro

  • Revisa tus políticas de bucket con regularidad para asegurarte de que siguen el principio del mínimo privilegio

Restrinja el acceso a los buckets de Amazon S3 con asignaciones de políticas de IAM

Puede controlar qué buckets de Amazon S3 pueden usar sus usuarios de Amazon Quick para crear bases de conocimiento mediante la creación de políticas de IAM y su asignación a usuarios o grupos específicos o a todos los usuarios mediante asignaciones de políticas de Amazon Quick IAM. Esto le permite restringir quién puede crear bases de conocimiento en grupos específicos, incluidas las bases de conocimiento compatibles con ACL.

nota

Las políticas de IAM asignadas a través de Amazon Quick tienen prioridad sobre las políticas a nivel de AWS recursos. Para garantizar que se cumplan sus requisitos de acceso, configure las políticas de IAM de forma adecuada.

Por ejemplo, puede asignar una política restrictiva a usuarios específicos que necesiten acceder a buckets compatibles con ACL y, al mismo tiempo, asignar una política más amplia a todos los usuarios para los buckets no compatibles con ACL.

Paso 1: Crear una política de acceso a Amazon S3 en IAM

Cree una política de IAM en la consola de AWS IAM que defina a qué buckets de Amazon S3 pueden acceder los usuarios para crear la base de conocimientos. El siguiente ejemplo de política otorga acceso a dos buckets específicos:

{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBuckets",
            "Resource": "arn:aws:s3:::*"
        },
        {
            "Action": [
                "s3:ListBucket"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        },
        {
            "Action": [
                "s3:ListBucketMultipartUploads",
                "s3:GetBucketLocation"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1",
                "arn:aws:s3:::amzn-s3-demo-bucket-2"
            ]
        },
        {
            "Action": [
                "s3:PutObject",
                "s3:AbortMultipartUpload",
                "s3:ListMultipartUploadParts"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket-1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket-2/*"
            ]
        }
    ]
}

Sustituya amzn-s3-demo-bucket-1 y amzn-s3-demo-bucket-2 por los nombres de los buckets de Amazon S3 a los que quiere conceder acceso.

Paso 2: Asignar la política en Amazon Quick

Tras crear la política de IAM, asígnela a los usuarios o grupos de Amazon Quick.

  1. En la consola de administración de Amazon Quick, en Permisos, selecciona Asignaciones de políticas de IAM.

  2. Selecciona Añadir nueva asignación.

  3. Introduzca un nombre para la tarea.

  4. En la página Seleccione una política de IAM, busque y seleccione la política de IAM que creó en el paso 1. Elija Siguiente.

  5. En la página Asignar usuarios y grupos, elija una de las siguientes opciones:

    • Seleccione Asignar a todos los usuarios y grupos para aplicar la política a todos los usuarios actuales y futuros.

    • Busque y seleccione usuarios o grupos específicos a los que asignar la política.

    Elija Siguiente.

  6. En la página Revisar y habilitar los cambios, compruebe los detalles de la asignación y seleccione Guardar y activar.

Los usuarios a los que no se les conceda acceso de forma explícita a través de una asignación de políticas de IAM no podrán acceder a los buckets restringidos de Amazon S3 para crear integraciones o bases de conocimiento.