Gerenciamento de acesso
O Amazon S3 fornece uma variedade de ferramentas de gerenciamento de acesso. Veja a seguir uma lista desses recursos e ferramentas. Você não precisa de todas essas ferramentas de gerenciamento de acesso, mas deve usar uma ou mais para conceder acesso a buckets e objetos do Amazon S3, além de outros Recursos do S3. A aplicação adequada dessas ferramentas pode ajudar a garantir que seus recursos só possam ser acessados pelos usuários pretendidos.
A ferramenta de gerenciamento de acesso mais usada é a política de acesso. Uma política de acesso pode ser uma política baseada em recurso vinculada a um recurso da AWS, como uma política de bucket para um bucket. Uma política de acesso também pode ser uma política baseada em identidade anexada a uma identidade do AWS Identity and Access Management (IAM), como um usuário, grupo ou perfil do IAM. A política de acesso descreve quem tem acesso a quê. Escreva uma política de acesso para conceder a Contas da AWS e usuários, grupos e perfis do IAM permissão para realizar operações em um recurso. Por exemplo, você pode conceder a permissão PUT Object para outra Conta da AWS de modo que o usuário possa fazer upload de objetos em seu bucket.
Veja a seguir as ferramentas de gerenciamento de acesso disponíveis no Amazon S3. Consulte um guia mais abrangente sobre o controle de acesso ao Amazon S3 em Controle de acesso no Amazon S3.
Política de bucket
Uma política de bucket do Amazon S3 é uma política baseada em recurso do AWS Identity and Access Management (IAM), formatada em JSON, que é anexada a determinado bucket. Use políticas de bucket para conceder a outras Contas da AWS ou identidades do IAM permissões de acesso ao bucket e aos objetos contidos nele. Muitos casos de uso de gerenciamento de acesso do S3 podem ser atendidos usando uma política de bucket. Com as políticas de bucket, é possível personalizar o acesso ao bucket para ajudar a garantir que somente as identidades que você aprovou possam acessar recursos e executar ações neles. Para obter mais informações, consulte Políticas de bucket para o Amazon S3.
Política baseada em identidade
Uma política de usuário do IAM ou baseada em identidade é um tipo de política do AWS Identity and Access Management(IAM). Uma política baseada em identidade é uma política em formato JSON anexada a usuários, grupos ou perfis do IAM em sua conta da AWS. Você pode usar políticas baseadas em identidade para conceder a uma identidade do IAM acesso a buckets ou objetos. É possível criar usuários, grupos e perfis do IAM em sua conta e anexar políticas de acesso a eles. Depois, você pode conceder acesso a recursos da AWS, incluindo recursos do Amazon S3. Para obter mais informações, consulte Políticas baseadas em identidade do Amazon S3.
Concessões de Acesso do S3
Use a funcionalidade Concessões de Acesso do S3 para criar concessões de acesso aos seus dados do Amazon S3 para identidades em diretórios de identidades corporativas, como Active Directory, e para identidades do AWS Identity and Access Management (IAM). A funcionalidade Concessões de Acesso do S3 ajuda você a gerenciar permissões de dados em grande escala. Além disso, a funcionalidade Concessões de Acesso do S3 registra a identidade do usuário final e a aplicação usada para acessar os dados do S3 em logs do AWS CloudTrail. Isso fornece um histórico de auditoria detalhado até a identidade do usuário final para todos os acessos aos dados em seus buckets do S3. Para obter mais informações, consulte Gerenciar o acesso com a funcionalidade Concessões de Acesso do S3.
Pontos de acesso
A funcionalidade Pontos de Acesso Amazon S3 simplifica o gerenciamento do acesso a dados em escala para aplicações que usam conjuntos de dados compartilhados no S3. Os pontos de acesso são endpoints de rede nomeados que são anexados a um bucket. Você pode usar os pontos de acesso para executar operações em objetos do S3 em grande escala, como fazer upload e recuperar objetos. Um bucket pode ter até 10.000 pontos de acesso anexados, e é possível impor permissões distintas e controles de rede a cada ponto de acesso para fornecer controle detalhado sobre o acesso aos objetos do S3. A funcionalidade Pontos de Acesso do S3 pode ser associada a buckets na mesma conta ou em outra conta confiável. As políticas de pontos de acesso são políticas baseadas em recurso que são avaliadas em conjunto com a política de bucket correspondente. Para obter mais informações, consulte Gerenciar o acesso a conjuntos de dados compartilhados com pontos de acesso.
Lista de controle de acesso (ACL)
Uma ACL é uma lista de concessões que identifica o concessionário e a permissão concedida. As ACLs concedem permissões básicas de leitura ou gravação a outras Contas da AWS. As ACLs usam um esquema XML específico do Amazon S3. Uma ACL é um tipo de política do AWS Identity and Access Management (IAM). Uma ACL de objeto é usada para gerenciar o acesso a um objeto, e uma ACL de bucket é usada para gerenciar o acesso a um bucket. No caso das políticas de bucket, há uma única política para o bucket todo, mas as ACLs de objeto são especificadas por objeto. Recomendamos manter as ACLs desativadas, exceto em circunstâncias incomuns em que seja necessário controlar o acesso para cada objeto individualmente. Para obter mais informações sobre como usar ACLs, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.
Atenção
A maioria dos casos de uso modernos no Amazon S3 não exige o uso de ACLs.
Propriedade de Objeto
Para gerenciar o acesso a um objeto, você precisa ser o proprietário desse objeto. Você pode usar a configuração Propriedade de Objeto ao nível do bucket para controlar a propriedade de objetos carregados no bucket. Além disso, use a Propriedade de Objeto para ativar as ACLs. Por padrão, a Propriedade de Objeto é definida como a configuração Imposto pelo proprietário do bucket e todas as ACLs estão desativadas. Quando as ACLs estão desativadas, o proprietário do bucket possui todos os objetos do bucket e gerencia exclusivamente o acesso aos dados. Para gerenciar o acesso, o proprietário do bucket usa políticas ou outra ferramenta de gerenciamento de acesso, excluindo as ACLs. Para obter mais informações, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket.
Consulte um guia mais abrangente sobre o controle de acesso ao Amazon S3 e práticas recomendadas adicionais em Controle de acesso no Amazon S3.
