# Ejemplo de políticas de bucket para buckets de directorio
<a name="s3-express-security-iam-example-bucket-policies"></a>

En esta sección se proporcionan ejemplos de políticas de bucket de directorio. Para utilizar estas políticas, sustituya `{{user input placeholders}}` por su información.

En el ejemplo siguiente de política de bucket, se permite que el ID de Cuenta de AWS `{{111122223333}}` utilice la operación de la API `CreateSession` para el bucket de directorio especificado. Cuando no se especifica ningún modo de sesión, la sesión se creará con el privilegio máximo permitido (se intenta primero `ReadWrite` y, después, `ReadOnly` si no está permitido). Esta política otorga acceso a las operaciones de la API del punto de conexión zonal (de nivel de objeto). 

**Example - Política de bucket para permitir llamadas `CreateSession`**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadWriteAccess",
            "Effect": "Allow",
            "Resource": "arn:aws:s3express:{{us-west-2}}:{{111122223333}}:bucket/{{amzn-s3-demo-bucket--usw2-az1--x-s3}}",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::{{111122223333}}:root"
                ]
            },
            "Action": [
                "s3express:CreateSession"
            ]
        }
    ]
}
```

**Example – Política de buckets para permitir llamadas `CreateSession` con una sesión `ReadOnly`**  
El siguiente ejemplo de política de bucket permite que el ID de Cuenta de AWS `{{111122223333}}` utilice la operación de la API `CreateSession`. Esta política utiliza la clave de condición `s3express:SessionMode` con el valor `ReadOnly` para establecer una sesión de solo lectura.     
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadOnlyAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "{{111122223333}}"
            },
            "Action": "s3express:CreateSession",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3express:SessionMode": "ReadOnly"
                }
            }
        }
    ]
}
```

**Example – Política de bucket para permitir el acceso entre cuentas para llamadas `CreateSession`**  
El siguiente ejemplo de política de bucket permite que el ID de Cuenta de AWS `{{111122223333}}` utilice la operación de la API `CreateSession` para el bucket de directorio especificado que es propiedad del ID de Cuenta de AWS {{`444455556666`}}.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccount",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::{{111122223333}}:root"
            },
            "Action": [
                "s3express:CreateSession"
            ],
            "Resource": "arn:aws:s3express:{{us-west-2}}:{{444455556666}}:bucket/{{amzn-s3-demo-bucket--usw2-az1--x-s3}}"
        }
    ]
}
```