Buckets de Amazon S3 - Estudio de investigación e ingeniería
Montar un bucket de Amazon S3Añadir un bucket de Amazon S3Editar un bucket de Amazon S3Eliminar un bucket de Amazon S3Aislamiento de datosAcceso al bucket entre cuentasEvitar la exfiltración de datos en una VPC privadaSolución de problemas Habilitando CloudTrail

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Buckets de Amazon S3

Montar un bucket de Amazon S3

Research and Engineering Studio (RES) admite el montaje de buckets de Amazon S3 en instancias de infraestructura de escritorio virtual (VDI) de Linux. Los administradores de RES pueden incorporar cubos de S3 a RES, adjuntarlos a proyectos, editar su configuración y eliminar los cubos en la pestaña de cubos de S3, en la sección Administración del entorno.

El panel de control de los buckets de S3 proporciona una lista de los buckets de S3 integrados que están disponibles para usted. Desde el panel de mandos de S3, puedes:

  1. Utilice Añadir depósito para incorporar un depósito de S3 a RES.

  2. Seleccione un depósito de S3 y utilice el menú Acciones para:

    • Edite un bucket

    • Eliminar un balde

  3. Usa el campo de búsqueda para buscar por nombre de bucket y encontrar los buckets S3 integrados.

    La lista de buckets de S3 te permite buscar por nombre de bucket y encontrar buckets integrados

Añadir un bucket de Amazon S3

Para añadir un bucket de S3 a su entorno RES:

  1. Elija Add bucket (Añadir bucket).

  2. Introduzca los detalles del depósito, como el nombre del depósito, el ARN y el punto de montaje.

    importante

    • El ARN del bucket, el punto de montaje y el modo proporcionados no se pueden cambiar después de la creación.

    • El ARN del depósito puede contener un prefijo que aísle el depósito S3 incorporado de ese prefijo.

  3. Seleccione un modo en el que desee incorporar el bucket.

    importante

    • Consulte Aislamiento de datos para obtener más información relacionada con el aislamiento de datos con modos específicos.

  4. En Opciones avanzadas, puede proporcionar un ARN de rol de IAM para montar los cubos para el acceso entre cuentas. Sigue los pasos que se indican a continuación Acceso al bucket entre cuentas para crear el rol de IAM necesario para el acceso entre cuentas.

  5. (Opcional) Asocia el bucket a los proyectos, que se pueden cambiar más adelante. Sin embargo, un bucket de S3 no se puede montar en las sesiones de VDI existentes de un proyecto. Solo las sesiones iniciadas después de que el proyecto se haya asociado al bucket se montarán en el bucket.

  6. Elija Enviar.

Editar un bucket de Amazon S3

  1. Seleccione un depósito de S3 de la lista de depósitos de S3.

  2. En el menú Acciones, selecciona Editar.

  3. Introduce tus actualizaciones.

    importante

    • Al asociar un proyecto a un bucket de S3, no se montará el bucket en las instancias de infraestructura de escritorio virtual (VDI) existentes de ese proyecto. El bucket solo se montará en las sesiones de VDI lanzadas en un proyecto una vez que el bucket se haya asociado a ese proyecto.

    • La disociación de un proyecto de un bucket de S3 no afectará a los datos del bucket de S3, pero provocará que los usuarios de escritorio pierdan el acceso a esos datos.

  4. Selecciona Guardar configuración del bucket.

    Introduzca la página Editar depósito de S3 con los campos de nombre para mostrar y asociación de proyectos y resaltado el botón Guardar configuración del depósito

Eliminar un bucket de Amazon S3

  1. Seleccione un depósito de S3 de la lista de depósitos de S3.

  2. En el menú Acciones, selecciona Eliminar.

    importante

    • Primero debe eliminar todas las asociaciones de proyectos del depósito.

    • La operación de eliminación no afecta a los datos del depósito de S3. Solo elimina la asociación del bucket de S3 con RES.

    • Al eliminar un depósito, las sesiones de VDI existentes perderán el acceso al contenido de ese depósito cuando caduquen las credenciales de esa sesión (aproximadamente 1 hora).

Aislamiento de datos

Cuando agrega un depósito de S3 a RES, tiene opciones para aislar los datos del depósito para proyectos y usuarios específicos. En la página Añadir cubo, puedes elegir un modo de Solo lectura (R) o Lectura y escritura (R/W).

Solo lectura

Si Read Only (R) se selecciona, el aislamiento de datos se aplica en función del prefijo del ARN (Amazon Resource Name) del bucket. Por ejemplo, si un administrador añade un depósito a RES mediante el ARN arn:aws:s3:::bucket-name/example-data/ y asocia este depósito al Proyecto A y al Proyecto B, los usuarios que se inicien VDIs desde el Proyecto A y el Proyecto B solo podrán leer los datos que se encuentran bucket-name debajo de la ruta. /example-data No tendrán acceso a los datos fuera de esa ruta. Si no hay ningún prefijo adjunto al ARN del bucket, todo el bucket estará disponible para cualquier proyecto asociado al mismo.

Lee y escribe

Si Read and Write (R/W) se selecciona, el aislamiento de datos se sigue aplicando en función del prefijo del ARN del bucket, tal y como se ha descrito anteriormente. Este modo tiene opciones adicionales que permiten a los administradores proporcionar prefijos basados en variables para el depósito de S3. Cuando Read and Write (R/W) se selecciona, aparece una sección de prefijos personalizados que ofrece un menú desplegable con las siguientes opciones:

  • Sin prefijo personalizado

  • /%p

  • /%p/%u

Sin aislamiento de datos personalizado

Cuando No custom prefix se selecciona como Prefijo personalizado, el depósito se añade sin ningún aislamiento de datos personalizado. Esto permite que cualquier proyecto asociado al depósito tenga acceso de lectura y escritura. Por ejemplo, si un administrador añade un depósito a RES mediante el ARN arn:aws:s3:::bucket-name con el No custom prefix seleccionado y asocia este depósito al Proyecto A y al Proyecto B, los usuarios que se lancen VDIs desde el Proyecto A y el Proyecto B tendrán acceso ilimitado de lectura y escritura al depósito.

Aislamiento de datos por proyecto

Cuando /%p se selecciona el prefijo personalizado, los datos del depósito se aíslan para cada proyecto específico asociado al mismo. La %p variable representa el código del proyecto. Por ejemplo, si un administrador agrega un depósito a RES arn:aws:s3:::bucket-name con el ARN /%p seleccionado y un punto de montaje de/bucket, y asocia este depósito a los proyectos A y B, el usuario A del proyecto A puede escribir un archivo en él. /bucket El usuario B del proyecto A también puede ver el archivo en /bucket el que escribió el usuario A. Sin embargo, si el usuario B lanza una VDI en el proyecto B y la consulta/bucket, no verá el archivo que escribió el usuario A, ya que los datos están aislados por proyecto. El archivo que escribió el usuario A se encuentra en el bucket de S3, bajo el prefijo, /ProjectA mientras que el usuario B solo puede acceder /ProjectB cuando utiliza el suyo VDIs del Proyecto B.

Aislamiento de datos por proyecto y por usuario

Cuando /%p/%u se selecciona el prefijo personalizado, los datos del depósito se aíslan para cada proyecto y usuario específicos asociados a ese proyecto. La %p variable representa el código del proyecto y %u representa el nombre de usuario. Por ejemplo, un administrador agrega un bucket a RES utilizando el ARN arn:aws:s3:::bucket-name con la /%p/%u opción seleccionada y un punto de montaje de. /bucket Este depósito está asociado al proyecto A y al proyecto B. El usuario A del proyecto A puede escribir un archivo en él. /bucket A diferencia del escenario anterior, en el que solo estaba %p aislado, en este caso el usuario B no verá el archivo en el que escribió el usuario A en el proyecto A/bucket, ya que los datos están aislados tanto por el proyecto como por el usuario. El archivo que escribió el usuario A se encuentra en el depósito de S3 bajo el prefijo, /ProjectA/UserA mientras que el usuario B solo puede acceder /ProjectA/UserB cuando lo usa VDIs en el Proyecto A.

Acceso al bucket entre cuentas

RES tiene la capacidad de montar depósitos desde otras AWS cuentas, siempre que estos grupos cuenten con los permisos adecuados. En el siguiente escenario, un entorno RES de la cuenta A quiere montar un bucket de S3 en la cuenta B.

Paso 1: Cree un rol de IAM en la cuenta en la que está desplegado RES (se denominará cuenta A):

  1. Inicie sesión en la consola AWS de administración de la cuenta RES que necesita acceder al bucket de S3 (cuenta A).

  2. Abra la consola de IAM:

    1. Navegue hasta el panel de control de IAM.

    2. En el panel de navegación, seleccione Policies (Políticas).

  3. Cree una política:

    1. Seleccione Crear política.

    2. Seleccione la pestaña JSON.

    3. Pegue la siguiente política de JSON (<BUCKET-NAME>sustitúyala por el nombre del bucket de S3 ubicado en la cuenta B):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::<BUCKET-NAME>",
                "arn:aws:s3:::<BUCKET-NAME>/*"
            ]
        }
    ]
}

    4. Seleccione Siguiente.

  4. Revisa y crea la política:

    1. Proporcione un nombre para la política (por ejemplo, AccessPolicy «S3»).

    2. Añada una descripción opcional para explicar el propósito de la política.

    3. Revisa la política y selecciona Crear política.

  5. Abra la consola de IAM:

    1. Navegue hasta el panel de control de IAM.

    2. En el panel de navegación, seleccione Roles (Roles).

  6. Cree un rol:

    1. Elija Crear rol.

    2. Elija una política de confianza personalizada como tipo de entidad de confianza.

    3. Pegue la siguiente política de JSON (<ACCOUNT_ID>sustitúyala por el ID de cuenta real de la cuenta A, <ENVIRONMENT_NAME> por el nombre del entorno de la implementación de RES y <REGION> por la AWS región en la que se implementa RES):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::<ACCOUNT_ID>:role/<ENVIRONMENT_NAME>-custom-credential-broker-lambda-role-<REGION>"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    4. Seleccione «Siguiente».

  7. Adjunte políticas de permisos:

    1. Busque y seleccione la política que creó anteriormente.

    2. Seleccione «Siguiente».

  8. Etiquete, revise y cree el rol:

    1. Introduzca el nombre de un rol (por ejemplo, AccessRole «S3»).

    2. En el paso 3, selecciona Añadir etiqueta y, a continuación, introduce la clave y el valor siguientes:

      • Clave: res:Resource

      • Valor: s3-bucket-iam-role

    3. Revisa el rol y selecciona Crear rol.

  9. Utilice el rol de IAM en RES:

    1. Copie el ARN del rol de IAM que creó.

    2. Inicie sesión en la consola RES.

    3. En el panel de navegación izquierdo, seleccione S3 Bucket.

    4. Seleccione Añadir depósito y rellene el formulario con el ARN del depósito S3 multicuenta.

    5. Selecciona el menú desplegable Configuración avanzada (opcional).

    6. Introduzca el ARN del rol en el campo ARN del rol de IAM.

    7. Seleccione Añadir depósito.

Paso 2: Modifique la política de depósitos en la cuenta B

  1. Inicie sesión en la consola AWS de administración de la cuenta B.

  2. Abra la consola S3:

    1. Navegue hasta el panel de control de S3.

    2. Selecciona el depósito al que quieres conceder acceso.

  3. Edita la política de buckets:

    1. Elija la pestaña Permisos y seleccione la política de buckets.

    2. Añada la siguiente política para conceder a la función de IAM de la cuenta A acceso al bucket (<AccountA_ID>sustitúyala por el ID de cuenta real de la cuenta A y <BUCKET-NAME> por el nombre del bucket de S3):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:role/S3AccessRole"
            },
            "Action": [
                "s3:GetObject",
                "s3:PutObject",
                "s3:ListBucket",
                "s3:DeleteObject",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::<BUCKET-NAME>",
                "arn:aws:s3:::<BUCKET-NAME>/*"
            ]
        }
    ]
}

    3. Seleccione Guardar.

Evitar la exfiltración de datos en una VPC privada

Para evitar que los usuarios extraigan datos de depósitos de S3 seguros a sus propios depósitos de S3 de su cuenta, puede adjuntar un punto de enlace de VPC para proteger su VPC privada. En los siguientes pasos, se muestra cómo crear un punto final de VPC para el servicio S3 que permita el acceso a los buckets de S3 de su cuenta, así como a cualquier cuenta adicional que tenga buckets entre cuentas.

  1. Abra la consola de Amazon VPC:

    1. Inicie sesión en la consola AWS de administración.

    2. Abra la consola de Amazon VPC en. https://console.aws.amazon.com/vpc/

  2. Cree un punto final de VPC para S3:

    1. En el panel de navegación izquierdo, seleccione Endpoints.

    2. Seleccione Crear punto de conexión.

    3. En Service category (Categoría de servicio), asegúrese de que se seleccionó AWS services (Servicios de AWS ).

    4. En el campo Nombre del servicio, introduzca com.amazonaws.<region>.s3 (<region>sustitúyalo por su AWS región) o busque «S3".

    5. Seleccione el servicio S3 de la lista.

  3. Configure los ajustes del punto final:

    1. En el caso de la VPC, seleccione la VPC en la que desee crear el punto final.

    2. En el caso de las subredes, seleccione las dos subredes privadas utilizadas para las subredes de VDI durante la implementación.

    3. En Habilitar el nombre DNS, asegúrese de que la opción esté marcada. Esto permite que el nombre de host DNS privado se resuelva en las interfaces de red del punto final.

  4. Configure la política para restringir el acceso:

    1. En Política, selecciona Personalizado.

    2. En el editor de políticas, introduce una política que restrinja el acceso a los recursos de tu cuenta o de una cuenta específica. Este es un ejemplo de política (mybucketsustitúyalo por el nombre de tu bucket de S3 111122223333 y 444455556666 por la AWS cuenta adecuada a la IDs que quieras acceder):

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::mybucket",
                "arn:aws:s3:::mybucket/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalAccount": [
                        "111122223333",   // Your Account ID
                        "444455556666"    // Another Account ID
                    ]
                }
            }
        }
    ]
}

  5. Crea el punto final:

    1. Revise la configuración.

    2. Seleccione Crear punto final.

  6. Verifique el punto final:

    1. Una vez creado el punto final, diríjase a la sección Puntos finales de la consola de VPC.

    2. Seleccione el punto final recién creado.

    3. Compruebe que el estado esté disponible.

Si sigue estos pasos, crea un punto final de VPC que permite el acceso a S3 restringido a los recursos de su cuenta o a un ID de cuenta específico.

Solución de problemas

¿Cómo comprobar si un bucket no se monta en una VDI

Si un bucket no se monta en una VDI, hay algunas ubicaciones en las que puede comprobar si hay errores. Siga los pasos que se indican a continuación.

  1. Compruebe los registros de VDI:

    1. Inicie sesión en la consola AWS de administración.

    2. Abra la EC2 consola y vaya a Instancias.

    3. Seleccione la instancia de VDI que lanzó.

    4. Conéctese a la VDI mediante el administrador de sesiones.

    5. Ejecute los siguientes comandos :

      sudo su
cd ~/bootstrap/logs

      Aquí encontrará los registros de arranque. Los detalles de cualquier error se encontrarán en el configure.log.{time} archivo.

      Además, consulte el /etc/message registro para obtener más información.

  2. Compruebe los registros CloudWatch Lambda personalizados de Credential Broker:

    1. Inicie sesión en la consola de AWS administración.

    2. Abra la CloudWatch consola y vaya a Grupos de registros.

    3. Busque el grupo de registros/aws/lambda/<stack-name>-vdc-custom-credential-broker-lambda.

    4. Examine el primer grupo de registros disponible y localice cualquier error en los registros. Estos registros contendrán detalles sobre posibles problemas y proporcionarán credenciales personalizadas temporales para el montaje de depósitos de S3.

  3. Compruebe los CloudWatch registros de API Gateway personalizados de Credential Broker:

    1. Inicie sesión en la consola AWS de administración.

    2. Abra la CloudWatch consola y vaya a Grupos de registros.

    3. Busque el grupo de registros<stack-name>-vdc-custom-credential-broker-lambdavdccustomcredentialbrokerapigatewayaccesslogs<nonce>.

    4. Examine el primer grupo de registros disponible y localice cualquier error en los registros. Estos registros contendrán detalles sobre cualquier solicitud y respuesta a la API Gateway para obtener las credenciales personalizadas necesarias para montar los buckets de S3.

¿Cómo editar la configuración del rol de IAM de un bucket después de la incorporación

  1. Inicie sesión en la consola de AWS DynamoDB.

  2. Seleccione la tabla:

    1. En el panel de navegación izquierdo, selecciona Tablas.

    2. Busque y seleccione<stack-name>.cluster-settings.

  3. Escanea la tabla:

    1. Selecciona Explorar los elementos de la tabla.

    2. Asegúrese de que esté seleccionada la opción Escanear.

  4. Añadir un filtro:

    1. Seleccione Filtros para abrir la sección de entrada de filtros.

    2. Configure el filtro para que coincida con su clave

      • Atributo: introduce la clave.

      • Condición: Elegir Empieza por.

      • Valor: introduzca la shared-storage.<filesystem_id>.s3_bucket.iam_role_arn sustitución por <filesystem_id> el valor del sistema de archivos que se debe modificar.

  5. Ejecute el escaneo:

    Seleccione Ejecutar para ejecutar el escaneo con el filtro.

  6. Compruebe el valor:

    Si la entrada existe, asegúrese de que el valor esté configurado correctamente con el ARN del rol de IAM correcto.

    Si la entrada no existe:

    1. Selecciona Crear artículo.

    2. Introduce los detalles del artículo:

      • Para el atributo clave, introduzcashared-storage.<filesystem_id>.s3_bucket.iam_role_arn.

      • Añada el ARN del rol de IAM correcto.

    3. Seleccione Guardar para añadir el elemento.

  7. Reinicie las instancias de VDI:

    Reinicie la instancia para asegurarse de VDIs que los ARN afectados por el rol de IAM incorrecto se vuelvan a montar.

Habilitando CloudTrail

Para activarla CloudTrail en tu cuenta mediante la CloudTrail consola, sigue las instrucciones que se proporcionan en la sección Creación de una ruta con la CloudTrail consola de la Guía del AWS CloudTrail usuario. CloudTrail registrará el acceso a los buckets de S3 registrando el rol de IAM que accedió a ellos. Esto se puede vincular a un ID de instancia, que está vinculado a un proyecto o usuario.