Tutorial: Cómo configurar una aplicación AWS Transfer Family web con acceso selectivo a varios buckets - AWS Transfer Family
Requisitos previosPaso 1: Crear una aplicación web Transfer FamilyPaso 2: Configure las funciones de IAM para el acceso a S3Paso 3: Configura S3 Access GrantsPaso 4: Registrar las ubicaciones de los depósitos de S3Paso 5: Crear concesiones de accesoPaso 6: Configure la política CORS para los buckets de S3Paso 7: Probar la configuraciónConclusión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Cómo configurar una aplicación AWS Transfer Family web con acceso selectivo a varios buckets

Este tutorial lo guía a través de la configuración de una aplicación web Transfer Family con permisos de bucket específicos de Amazon S3 para un solo usuario. Aprenderá a configurar una solución que permita a los usuarios descargar de un bucket y subirlo a otro, manteniendo la seguridad. Se trata de un tutorial avanzado que se basa en los conceptos incluidos en el tutorial básico. Si eres nuevo en el mundo de las aplicaciones AWS Transfer Family web, considera la posibilidad de empezar con ellasTutorial: Cómo configurar una aplicación web básica de Transfer Family.

Requisitos previos

Antes de comenzar este tutorial, necesita lo siguiente:

  • El centro de identidad de IAM está configurado en la misma región que su aplicación AWS Transfer Family web. Tenga en cuenta que solo se AWS permite una instancia del centro de identidad de IAM por AWS cuenta en todas las regiones.

  • Al menos un usuario configurado en el Centro de identidad de IAM.

  • Dos depósitos S3: uno para descargas y otro para cargas.

nota

Este tutorial comparte muchos requisitos previos con el tutorial básico de la aplicación web. Para obtener más información sobre la configuración del Centro de Identidad de IAM y la creación de usuarios, consulte. Tutorial: Cómo configurar una aplicación web básica de Transfer Family

Paso 1: Crear una aplicación web Transfer Family

Para crear una aplicación web Transfer Family

  1. Inicia sesión en AWS Management Console y abre la AWS Transfer Family consola en https://console.aws.amazon.com/transfer/.

  2. En el panel de navegación izquierdo, selecciona Aplicaciones web.

  3. Seleccione Crear aplicación web.

    Para el acceso de autenticación, ten en cuenta que el servicio busca automáticamente la AWS IAM Identity Center instancia que configuraste como requisito previo.

  4. En el panel de tipos de permisos, selecciona Crear y usar un nuevo rol de servicio. El servicio crea el rol de portador de identidad para usted. Un rol de portador de identidad incluye la identidad de un usuario autenticado en sus sesiones.

  5. En el panel de unidades de aplicaciones web, acepte el valor predeterminado de 1 o ajústelo a un valor superior si es necesario.

  6. Agregue una etiqueta que le ayude a organizar sus aplicaciones web. Para el tutorial, introduzca el nombre de la clave y la aplicación web Tutorial para el valor.

    sugerencia

    Puede editar el nombre de la aplicación web directamente desde la página de la lista de aplicaciones web después de crearla.

  7. Seleccione Siguiente para abrir la página Diseño de la aplicación web. En esta pantalla, proporcione la siguiente información.

    Si lo desea, puede proporcionar un título para su aplicación web. También puede cargar archivos de imagen para su logotipo y su favicon.

    • Para el título de la página, personalice el título de la pestaña del navegador que ven sus usuarios cuando se conectan a la aplicación web. Si no escribes nada para el título de la página, el valor predeterminado es Transfer Web App.

    • Para el logotipo, sube un archivo de imagen. El tamaño máximo de archivo para la imagen del logotipo es de 50 KB.

    • Para el favicon, sube un archivo de imagen. El tamaño máximo de archivo para tu favicon es de 20 KB.

  8. Selecciona Siguiente y, a continuación, selecciona Crear aplicación web.

Paso 2: Configure las funciones de IAM para el acceso a S3

Debe crear dos funciones de IAM: una con acceso solo para descargas al primer segmento y otra con acceso solo para carga al segundo segmento.

Política de confianza para ambos roles

Utilice la siguiente política de confianza para ambas funciones de IAM:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AccessGrantsTrustPolicy",
            "Effect": "Allow",
            "Principal": {
                "Service": "access-grants.s3.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:SetSourceIdentity",
                "sts:SetContext"
            ]
        }
    ]
}

Política de IAM para el depósito de descargas

Cree un rol de IAM con la siguiente política para el acceso de solo lectura a su depósito de descargas:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ObjectLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:GetObjectAcl",
                "s3:GetObjectVersionAcl",
                "s3:ListMultipartUploadParts",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket1/*",
                "arn:aws:s3:::amzn-s3-demo-bucket1"
            ]
        }
    ]
}
importante

Sustituya amzn-s3-demo-bucket1 por el nombre real del depósito de descargas.

Política de IAM para el depósito de carga

Crea otro rol de IAM con la siguiente política para el acceso de escritura a tu depósito de carga:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ObjectLevelWritePermissions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectVersionAcl",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:AbortMultipartUpload",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket2/*",
                "arn:aws:s3:::amzn-s3-demo-bucket2"
            ]
        }
    ]
}
importante

Sustituya amzn-s3-demo-bucket2 por el nombre real del depósito de carga.

Paso 3: Configura S3 Access Grants

  1. Abra la consola S3 enhttps://console.aws.amazon.com/s3/.

  2. En el panel de navegación, elija Access Grants.

  3. Haga clic en Crear instancia de S3 Access Grants.

  4. Seleccione la opción Añadir instancia del centro de identidad de IAM e introduzca el ARN de la instancia del centro de identidad.

  5. Haga clic en Siguiente y, a continuación, en Cancelar para terminar de crear la instancia de S3 Access Grants sin continuar con los pasos adicionales.

Este paso crea la instancia de S3 Access Grants. Ahora registrará las ubicaciones y creará las concesiones de acceso.

Paso 4: Registrar las ubicaciones de los depósitos de S3

Registre ambos depósitos de S3 como ubicaciones con S3 Access Grants:

  1. En la consola de S3 Access Grants, vaya a Ubicaciones y haga clic en Registrar ubicación.

  2. En Ámbito de ubicación, elija el depósito de S3 específico para las descargas (amzn-s3-demo-bucket1).

  3. Cuando se le pida que elija un rol de IAM, seleccione el rol de IAM de descarga que creó anteriormente.

  4. Complete el proceso de registro.

  5. Repita el proceso para registrar el depósito de carga (amzn-s3-demo-bucket2) y seleccione la función de IAM de carga cuando se le solicite.

Paso 5: Crear concesiones de acceso

Crea dos subvenciones, una para cada ubicación registrada:

  1. En la consola de S3 Access Grants, vaya a Grants y haga clic en Crear concesión.

  2. En Ubicación, haga clic en Buscar ubicación y seleccione la ubicación del depósito de descargas (amzn-s3-demo-bucket1).

  3. En Subprefijo (opcional), introduzca * para permitir el acceso a todo el depósito o especifique una ruta para restringir el acceso a un prefijo específico. folder1/folder2/*

    Si * se utiliza, se establecerá el alcance de la concesión ens3://bucket-name/*, lo que permitirá el acceso a todo el depósito. Para permitir el acceso solo a un prefijo específico, introduce una ruta como, por ejemplofolder1/folder2/*, que definirá el alcance de la concesión en. s3://bucket-name/folder1/folder2/*

  4. En Permisos y acceso, selecciona Leer para el segmento de descargas.

  5. En Tipo de concesionario, elija la identidad del directorio en el Centro de identidades de IAM.

  6. Para el tipo principal de IAM, seleccione Usuario e introduzca el seudónimo de su usuario del Centro de Identidad de IAM.

  7. Complete el proceso de creación de la subvención.

  8. Repite el proceso para crear una concesión para el depósito de carga (amzn-s3-demo-bucket2), pero selecciona Lectura y escritura para obtener los permisos.

Paso 6: Configure la política CORS para los buckets de S3

Configure una política CORS para ambos buckets de S3 para permitir el acceso a través de: AWS Transfer Family WebApp

  1. Abre la consola S3 y navega hasta tu depósito de descargas (amzn-s3-demo-bucket1).

  2. Seleccione la pestaña Permisos.

  3. Desplázate hacia abajo hasta la sección Uso compartido de recursos entre orígenes (CORS) y haz clic en Editar.

  4. Añada la siguiente configuración de CORS y sustitúyala por la URL WebAppEndpoint de su punto final actual WebApp :

    Puede encontrar la URL del punto de conexión de su aplicación web en la AWS Transfer Family consola de abajo WebApps. Tendrá un aspecto similar al de https://webapp-***************.transfer-webapp.us-west-2.on.aws.

    [
  {
    "AllowedHeaders": [
      "*"
    ],
    "AllowedMethods": [
      "GET",
      "PUT",
      "POST",
      "DELETE",
      "HEAD"
    ],
    "AllowedOrigins": [
      "https://WebAppEndpoint"
    ],
    "ExposeHeaders": [
      "last-modified",
      "content-length",
      "etag",
      "x-amz-version-id",
      "content-type",
      "x-amz-request-id",
      "x-amz-id-2",
      "date",
      "x-amz-cf-id",
      "x-amz-storage-class",
      "access-control-expose-headers"
    ],
    "MaxAgeSeconds": 3000
  }
]

  5. Haga clic en Guardar cambios.

  6. Repite el proceso para el depósito de carga (amzn-s3-demo-bucket2).

Paso 7: Probar la configuración

  1. Abre la URL de tu aplicación AWS Transfer Family web. Puedes encontrar esta URL en la AWS Transfer Family consola, WebApps en el campo Punto final de acceso.

  2. Inicie sesión con las credenciales de usuario del IAM Identity Center que configuró con las concesiones de acceso.

  3. Tras iniciar sesión, debería ver las dos ubicaciones de S3 en la página de inicio.

  4. Navegue hasta el depósito de descargas (amzn-s3-demo-bucket1) y compruebe que puede descargar archivos pero no subirlos.

  5. Navegue hasta el depósito de carga (amzn-s3-demo-bucket2) y compruebe que puede cargar archivos.

Conclusión

Ha configurado correctamente el acceso selectivo al bucket de S3 para un solo AWS Transfer Family WebApp usuario. Esta configuración permite al usuario descargar contenido de un depósito y subirlo a otro, manteniendo la seguridad mediante funciones de IAM y S3 Access Grants.

Este enfoque se puede extender a varios usuarios mediante la creación de concesiones adicionales en S3 Access Grants para cada usuario, lo que permite un control pormenorizado de los permisos de acceso al bucket. Para obtener información sobre la configuración básica de la aplicación web, consulteTutorial: Cómo configurar una aplicación web básica de Transfer Family.