Requisitos previos Configuración de Concesiones de acceso de S3 para una propagación de identidades de confianza a través de IAM Identity Center Creación de una concesión de acceso de Amazon S3

Configuración de Concesiones de acceso a Amazon S3 con IAM Identity Center

Amazon S3 Access Grants ofrece la flexibilidad necesaria para conceder un control de acceso detallado basado en la identidad a las ubicaciones de S3. Puede usar Amazon S3 Access Grants concede a los buckets de Amazon S3 acceso directo a los usuarios y grupos corporativos. Siga estos pasos para habilitar S3 Access Grants con IAM Identity Center y lograr una propagación de identidades de confianza.

Requisitos previos

Antes de empezar con este tutorial, primero tendrá que configurar lo siguiente:

Habilite el Centro de identidades de IAM. Se recomienda la instancia de organización. Para obtener más información, consulte Requisitos y consideraciones previos.

Configuración de Concesiones de acceso de S3 para una propagación de identidades de confianza a través de IAM Identity Center

Si ya tiene una instancia de Amazon S3 Access Grants con una ubicación registrada, siga estos pasos:

Si aún no ha creado un Amazon S3 Access Grants, siga estos pasos:

Crear una Access Grants instancia S3: puede crear una Access Grants instancia S3 por cada instancia. Región de AWS Al crear la instancia de S3 Access Grants, asegúrese de marcar la casilla Agregar una instancia de IAM Identity Center y de proporcionar el ARN de su instancia de IAM Identity Center. Seleccione Siguiente.

La siguiente imagen muestra la página Crear instancia de S3 Access Grants en la consola de Amazon S3 Access Grants:

Registrar una ubicación: después de crear y crear una Access Grants instancia de Amazon S3 Región de AWS en una de su cuenta, registra una ubicación S3 en esa instancia. Una ubicación de S3 Access Grants asigna la región predeterminada de S3 (S3://), un bucket o un prefijo a un rol de IAM. S3 Access Grants asume este rol de Amazon S3 para vender credenciales temporales al beneficiario que accede a esa ubicación en particular. En primer lugar, debe registrar al menos una ubicación en su instancia de S3 Access Grants para poder crear una concesión de acceso.

Para el ámbito de ubicación, especifique s3://, que incluye todos los buckets de esa región. Este es el ámbito de ubicación recomendado para la mayoría de los casos de uso. Si tiene un caso de uso de administración de acceso avanzada, puede establecer el ámbito de ubicación en un bucket específico s3://bucket o en un prefijo dentro de un bucket s3://bucket/prefix-with-path. Para obtener más información, consulte Registrar una ubicación en la Guía del usuario de Amazon Simple Storage Service.

nota

Asegúrese de que las ubicaciones S3 de las AWS Glue tablas a las que quiere conceder acceso estén incluidas en esta ruta.

El procedimiento requiere que configure un rol de IAM para la ubicación. Este rol debe incluir permisos para acceder al ámbito de la ubicación. Puede utilizar la consola de S3 para crear este rol. Deberá especificar el ARN de su instancia de S3 Access Grants en las políticas de este rol de IAM. El valor predeterminado del ARN de la instancia de S3 Access Grants es arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default.

En el siguiente ejemplo de política de permisos se otorgan permisos a Amazon S3 para el rol de IAM que ha creado. La política de confianza de ejemplo que le sigue permite a la entidad principal del servicio de S3 Access Grants asumir el rol de IAM.

Política de permisos

Para usar estas políticas, sustituya italicized placeholder text la política del ejemplo por su propia información. Para obtener instrucciones adicionales, consulte Creación de una política o Edición de una política.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ObjectLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectVersion",
                "s3:GetObjectAcl",
                "s3:GetObjectVersionAcl",
                "s3:ListMultipartUploadParts"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceAccount": "111122223333"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                    "arn:aws:s3:::access-grants/instance-id"
                    ]
                }
            }
        },
        {
            "Sid": "ObjectLevelWritePermissions",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:PutObjectAcl",
                "s3:PutObjectVersionAcl",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                "aws:ResourceAccount": "111122223333"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                    "arn:aws:s3:::access-grants/instance-id"
                    ]
                }
            }
        },
        {
            "Sid": "BucketLevelReadPermissions",
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::*"
            ],
            "Condition": {
                "StringEquals": {
                "aws:ResourceAccount": "111122223333"
                },
                "ArnEquals": {
                    "s3:AccessGrantsInstanceArn": [
                    "arn:aws:s3:::access-grants/instance-id"
                    ]
                }
            }
        },
        {
            "Sid": "OptionalKMSPermissionsForSSEEncryption",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Política de confianza

En la política de confianza del rol de IAM, proporcione al servicio de Concesiones de acceso a Amazon S3 acceso de entidad principal (access-grants.s3.amazonaws.com) al rol de IAM que ha creado. Para ello, puede crear un archivo JSON que contenga las siguientes instrucciones. Para agregar la política de confianza a su cuenta, consulte Creación de un rol mediante políticas de confianza personalizadas.

Creación de una concesión de acceso de Amazon S3

Si tiene una instancia de Amazon S3 Access Grants con una ubicación registrada y ha asociado su instancia de IAM Identity Center a ella, puede crear una concesión. En la página Crear concesión de la consola de S3, complete lo siguiente:

Crear una concesión

Seleccione la ubicación que creó en el paso anterior. Puede reducir el ámbito de la concesión añadiendo un subprefijo. El subprefijo puede ser un bucket, bucket/prefix o un objeto del bucket. Para obtener más información, consulte Subprefijo en la Guía del usuario de Amazon Simple Storage Service.
En Permisos y acceso, seleccione Leer o Escribir según sus necesidades.
En Tipo de otorgante, elija Identidad de directorio en IAM Identity Center.
Proporciones el ID de usuario o grupo de IAM Identity Center. Puede encontrar el usuario y el grupo IDs en la consola del IAM Identity Center, en las secciones Usuario y Grupo. Seleccione Siguiente.
En la página Revisar y finalizar, revise la configuración de S3 Access Grant y, a continuación, seleccione Crear concesión.

La siguiente imagen muestra la página Crear concesión en la consola de Amazon S3 Access Grants:

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

AWS Lake Formation

Cómo configurar tu propia aplicación OAuth 2.0