hola, estos ejemplos son utilizes como guia.https://static.platzi.com/media/public/uploads/storage-en-aws_4d1da0f8-775e-4e1a-b99a-31345b11284b.pdf
gracias
Bienvenida e Introducción
Introducción al storage en AWS
Proyecto de arquitectura e implementación de almacenamiento
Almacenamiento de objetos en AWS (S3)
Características de S3
Versionamiento de archivos en S3
Sitio web estático
Logs a nivel de objetos
Transferencia acelerada
Eventos en S3
Replicación
Clases de storage en S3
S3 - Estándar
S3-IA
S3-IA única zona
Glacier
Ciclo de vida
Estrategias de migración a la nube
Casos de uso.
Seguridad en S3.
Encriptación en S3 - Llaves administradas por AWS.
Encriptación en S3 - Llaves almacenadas en AWS creadas por el Usuario.
Encriptación en S3 - Llaves del Usuario
Encriptación en S3
Introducción a Políticas en S3
Ejemplos de Políticas en S3
ACL en S3
Storage Gateway
Características de storage gateway
File Gateway
Virtual Tape Library
Volume Gateway
Sistema de archivos elástico (EFS)
Elastic File System
Casos de uso de EFS.
Sistema de archivo por bloques (EBS)
Características de Elastic Block Storage
Tipos de EBS - GP2 - IO1
Tipos de EBS - ST1 - SC1
Snapshots y AMI
Volumen EBS para Windows
Volumen EBS para Linux
Conclusiones
AWS Storage S3 vs EBS vs EFS, Cuándo usar cada uno
Conclusiones
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Amazon S3, un servicio de almacenamiento en la nube, permite gestionar el acceso a los datos usando políticas. Estas políticas se componen de varios elementos clave:
A través de estas políticas, se puede alcanzar un nivel de granularidad considerable al definir quién puede realizar qué acciones dentro de un bucket y bajo qué condiciones.
Podemos crear políticas permisivas que permiten a todos los usuarios realizar acciones específicas. Por ejemplo, una política que use Principal: *
sería aplicable a todos los usuarios, otorgándoles permisos sobre los objetos de un bucket específico.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::sample-bucket/*"
}
]
}
Las políticas también pueden ser creadas para dar acceso a cuentas específicas. Esto se puede hacer especificando el ARN para cada cuenta en el campo Principal
.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/Alice",
"arn:aws:iam::444455556666:user/Bob"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::sample-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "public-read"
}
}
}
]
}
Las condiciones son opcionales y refuerzan la seguridad. Por ejemplo, se pueden configurar políticas para permitir acciones únicamente desde direcciones IP específicas.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::sample-bucket/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "203.0.113.0/24"},
"NotIpAddress": {"aws:SourceIp": "198.51.100.0/24"}
}
}
]
}
Las acciones pueden restringirse para ser realizadas únicamente si proceden de sitios web autorizados.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::sample-bucket/*",
"Condition": {
"StringLike": {
"aws:Referer": [
"http://www.example.com/*"
]
}
}
}
]
}
A veces, se requiere combinar permisos permitiendo acciones solo si cumplen con ciertas condiciones. En estos casos, se pueden definir políticas que explícitamente niegan el acceso si no se cumplen las condiciones de seguridad especificadas.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::sample-bucket/*",
"Condition": {
"StringLike": {
"aws:Referer": [
"http://www.trustedwebsite.com/*"
]
}
}
},
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::sample-bucket/*",
"Condition": {
"StringNotLike": {
"aws:Referer": [
"http://www.trustedwebsite.com/*"
]
}
}
}
]
}
En situaciones donde almacenamos información crítica, se puede requerir autenticación multifactor para ciertos subfolders dentro de un bucket, asegurando un nivel adicional de seguridad.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::example-bucket/tax-documents/*",
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "false"
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::example-bucket/*"
}
]
}
Explorando y comprendiendo cómo funcionan las políticas en Amazon S3, se pueden implementar niveles de seguridad avanzados, protegiendo datos críticos de manera efectiva y asegurando que sólo usuarios autorizados tengan acceso necesario. Con las herramientas y estructuras adecuadas, la protección de los datos en la nube es mucho más manejable. ¡Adelante en dominar esta habilidad esencial en AWS!
Aportes 9
Preguntas 4
hola, estos ejemplos son utilizes como guia.https://static.platzi.com/media/public/uploads/storage-en-aws_4d1da0f8-775e-4e1a-b99a-31345b11284b.pdf
gracias
¡Al fin entiendo las políticas! Desde que empecé a usar Amazon S3 tenía un choque con ellas porque no las entendía, ahora sí veo cómo puedo usarlas y de hecho con las condicionales puedo empezar a filtrar para que solo un sitio web que aloja archivos en S3 pueda consumirlos!
¿Podrían poner las políticas en los archivos para probar por favor?
Excelente los ejemplos presentados!. Esto es la navaja suiza para el S3
me gusto mucha el tipo de política que combina deny y allow excelente clase
super…muchas gracias por los ejemplos 😃
Buenas, estoy tratando de hacer, aplicarla a un usuario, para que ese usuario solo pueda ver y acceder a una unica carpeta de un bucket especifico pero no he podeido conectarme. He utilziado Netdrive y S3 Browser y con ninguno me conecta. Cuando le pongo en resource * me accede. Me podrian ayudar?
Tengo una consulta para que las policías se cumplan o se permitan tengo que tener desactivada la opción de acceso público, o en estos dos casos cuál es la prioridad entre las Políticas y la opción de bloqueo de acceso público. Como sería un ejemplo si quiero por ejemplo ver en mi localhost (127.0.0.1) o equipo de desarrollo un listado de imágenes que tenga en S3. He realizado varias pruebas con las políticas y estas no funcionan si tengo activado el bloqueo de acceso público, lo desactivo y puedo acceder a la imagen desde cualquier lugar aun cuando tenga la política que solo sea para mi ip o ur local
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?