Gracias al servicio IAM de Amazon Web Services, que permite la gestión de indentidades y accesos, podemos crear un usuario externo (con una clave de acesso y una URL propia) y otorgarle permisos para acceder a un único “bucket” de S3.

Una IAM permite una gestión más eficiente de usuarios mediante la creación de grupos.
Para este ejemplo, crearemos un único usuario directamente.

Crear un bucket en S3

iam_user_s3_1

Conéctate a la consola de AWS, accede a la sección de S3 y crea un nuevo bucket.
Toma nota del nombre y ten presente la región dónde crees el bucket por temas de latencia.

iam_user_s3_2

Dentro de la consola de AWS accede a IAM.
Antes de crear el usuario conviene crear un “alias” de acceso a la consola de AWS. Será la URL a través de la cual el usuario que crearás se conectará posteriormete.

Anota la URL del alias.

iam_user_s3_3

Ahora ya podemos crear el usuario.
Dentro de IAM clica en el apartado “Users”, “Create a new user”, y luego escribe el nombre y marca la opción de generación de credenciales.

No necesitaremos las credenciales para esta guía, pero conviene que las guardes para necesidades futuras.

iam_user_s3_4

Creamos una contraseña de acceso para nuestro usuario desde IAM, seleccionando usuario, “security credentials“.

iam_user_s3_5

Ahora anota la contraseña que, juntamente con el nombre de usuario y la URL anterior, es la información que necesitará el nuevo usuario para conectarse.

Definir los permisos

Amazon Web Services nos permite definir permisos a nivel de grupo y/o de usuario, y lo permite mediante código JSON. Además, AWS dispone de plantillas y ejemplos ya preparados que pueden servirnos de base.

Para este ejemplo selecciona el usuario y accede a “Permissions”, “Attach User Policy” y luego “Select”.

iam_user_s3_6

Dale un nombre a la política de permisos y añade el código que encontrarás a continuación:

iam_user_s3_7

Substituye NOMBREBUCKET por el nombre de tu bucket creada


{
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation",
"s3:ListBucketMultipartUploads"
],
"Resource": "arn:aws:s3:::NOMBREBUCKET",
"Condition": {}
},
{
"Effect": "Allow",
"Action": [
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectAclVersion"
],
"Resource": "arn:aws:s3:::NOMBREBUCKET/*",
"Condition": {}
},
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*",
"Condition": {}
}
]
}

Los permisos dados incluyen lectura, escritura y borrado de archivos (objetos) en el “bucket”. Si sólo quieres dar permisos de lectura, suprime las líneas de color azul.

Ahora sólo debes guardar la nueva política y enviar al usuario los datos de conexión y la URL.

CRÉDITOS: Esta guia se publicó originalmente en catalán en Cloud4Pro

TAGS: aws, bucket, how-to, S3, sysadmin

speech-bubble-13-icon Created with Sketch.
Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

*
*