Almacenamiento y Seguridad en Amazon S3: Uso y Configuración

Clase 32 de 80 • Curso AWS Cloud Practitioner Certification

Resumen

¿Qué es Amazon S3 y para qué se utiliza?

Amazon S3 es un servicio de almacenamiento en la nube proporcionado por Amazon Web Services (AWS) conocido como Simple Storage Service. Es extremadamente popular para almacenar datos de manera duradera, segura y rentable. Su uso es variado y extenso, desde copias de seguridad hasta sitios web estáticos. Gracias a su capacidad de almacenamiento de objetos, Amazon S3 es capaz de mantener información que necesita ser fácilmente accesible y duradera en el tiempo.

¿Cuáles son los casos de uso más comunes de Amazon S3?

Almacenamiento de copias de seguridad: Ideal para guardar backups a largo plazo gracias a su durabilidad y rentabilidad.
Aplicaciones web: Almacena y gestiona datos de aplicaciones como imágenes de memes, asegurando rápida respuesta y bajo costo.
Proyectos de big data y analytics: Permite almacenar grandes cantidades de datos, como logs diarios.
Sitios web estáticos: Perfecto para alojar recursos como HTML e imágenes de sitios web estáticos.
Recuperación ante desastres: Almacenar backups en diferentes regiones para asegurarse contra fallos y desastres.

¿Cómo funcionan los buckets en Amazon S3?

Los buckets son el contenedor principal en Amazon S3 donde se almacenan los objetos. Son el directorio principal para tus datos y tienen que tener un nombre único globalmente. Esto significa que si un bucket llamado "CarlosZambrano" ya ha sido creado por otra persona, nadie más puede volver a usar ese nombre.

Detalles importantes sobre los buckets

Ubicación por región: Cada bucket debe estar asociado a una región específica de AWS, aunque la información sea accesible desde cualquier lugar.
Seguridad y exclusividad: Los nombres deben ser únicos y los buckets pueden tener políticas de seguridad específicas que regulen quién puede acceder y qué acciones pueden realizar.

¿Qué es un objeto en Amazon S3 y cuáles son sus características?

Un objeto en Amazon S3 es un fichero almacenado dentro de un bucket. Cada objeto se identifica con una clave, que es la ruta completa al archivo dentro del bucket.

¿Cuáles son las reglas de tamaño de objetos en S3?

Tamaño máximo de objeto: 5 terabytes.
Carga máxima en una operación PUT: 5 gigabytes.

Para superar estas restricciones, S3 ofrece una característica llamada carga multiparte, la cual divide los objetos grandes en segmentos más pequeños, permitiendo su carga de forma paralela y unificada al final del proceso.

¿Cómo se protege la información en Amazon S3?

La seguridad es fundamental en Amazon S3. Existen múltiples formas de proteger la información, principalmente mediante políticas de usuario y políticas de recurso.

Componentes claves de las políticas de seguridad

Security Policy (Política de seguridad): Documento en JSON que define los permisos de acceso.
Efecto: Decide si una acción será permitida (allow) o denegada (deny).
Principal: Define quién puede realizar acciones, a menudo representado por un usuario o un rol.
Action: Las acciones que se pueden realizar, como S3:GetObject para obtener un objeto.
Condition (Condición): Permite establecer medidas adicionales de seguridad, como requerir conexión HTTPS.

El control de acceso se puede personalizar, permitiendo o prohibiendo diferentes acciones a usuarios específicos o a grupos mediante roles, asegurando que cada usuario o sistema interactúe con los datos de acuerdo a las necesidades y políticas establecidas.

Amazon S3 destaca por su flexibilidad, seguridad y eficiencia, siendo una solución ideal para necesidades variadas de almacenamiento en la nube. Explora sus capacidades y adapta sus funciones a tus proyectos para maximizar el potencial de esta herramienta robusta y versátil.

Christopher Andrés Guano Valencia

student•

🟠 Sobre las políticas (policies)

Las políticas se utilizan para controlar el acceso a los servicios y recursos en la nube, permitiendo o denegando acciones basadas en ciertos criterios.

No entiendo bien el porqué se explica esto en la sección de S3. Pero tengan en cuenta que las políticas no son exclusivas de AWS S3.

Mis recomendaciones para la prueba, es que entiendan bien cada elemento de la política. En el examen no les pedirán una política en específico.

Adicional, cuando vean un "*" en rutas, esto hace referencia a "todos". Como lo pueden ver en el "Resource", al final tiene un asterisco que hace referencia a todos los objetos del bucket. No es exclusivo de "Principal".

¡Nunca pares de aprender! 🚀🚀

Alexei Teófilo Mamani Coaquira

student•

Creo que la politica, es porque es una ACL, osea una politica solo a nivel de S3

Sebastián Arcila Sánchez

student•

Amazon S3 (Simple Storage Service)

Servicio muy utilizado para almacenar copias de seguridad.
Almacenamiento de aplicaciones.
Data-lakes.
Sitios web estáticos.
Almacenamiento de objetos en múltiples regiones.

Bucket: Estructura donde vamos a guardar nuestros objetos. Será como nuestro directorio. Su nombre debe ser único a nivel global. Los buckets se definen dentro de una región en específico, pero la información almacenada se puede ver desde cualquier región.

Objetos

Tienen una clave: Hace referencia a la ruta completa del objeto. Ejemplo: s3://bucket/archivo.txt
El tamaño máximo de un objeto es de 5TB, pero el máximo para cargar un objeto en una operación PUT es de 5GB. Si se quiere subir un archivo de más de 5GB se utiliza Carga Multiparte que lo que hace es dividir el archivo por partes hasta completarse en su tamaño original.

Seguridad en S3

Basada en usuario: Políticas IAM.
Basada en recursos: Políticas de Bucket y las Listas de control de acceso (ACL).Políticas de S3Componentes de política de S3
- Es un documento en formato JSON para dar permisos.
- Sirven para proteger el acceso a los objetos de los buckets.

- Statement: Es obligatorio y contiene los demás elementos.
- Versión: Especifica las reglas de sintaxis del lenguaje.
- Sid: Es el identificador de la política.
- Effect: Valores Allow/Deny para que alguien pueda cargar información.
- Principal: Especifica el usuario o rol, es obligatoria.
- Action: Acciones específicas, por ejemplo: s3:GetObject.

Sergio Andres Arias Escandon

student•

"Principal":"*" significa que la política se aplica a todos los usuarios.

Javier Hugo Noto Enriquez

student•

Además de los usuarios, aplica a roles y cuentas, entoces se está aplicando esta política a esos 3 elementos

Cristofer Vargas Morales

student•

Las políticas de seguridad en AWS S3 se pueden aplicar tanto a un bucket como a objetos específicos dentro de ese bucket. Esto permite controlar quién tiene acceso a qué recursos. Una política de bucket define permisos para todos los objetos contenidos en él, mientras que las políticas de objeto pueden establecer permisos más específicos para recursos individuales. Puedes usar listas de control de acceso y políticas en formato JSON para gestionar estos permisos de manera efectiva.

Ruben Galindo

student•

Hace referencia a que cualquier usuario tienen acceso a la accion definida mas abajo.

BALFRE VAZQUEZ CASTREJON

student•

La regla, hace que cualquiera tenga acceso al bucket, lo hizo publico

Mario Alexander Vargas Celis

student•

🌩️ Introducción a Amazon S3 (Simple Storage Service)

📌 ¿Qué es Amazon S3?

Amazon S3 (Simple Storage Service) es un servicio de almacenamiento de objetos altamente escalable, seguro y duradero en la nube de AWS. Permite almacenar cualquier tipo de dato en "buckets" y acceder a ellos desde cualquier lugar a través de Internet.

🔹 Ventajas principales: ✅ Escalabilidad → Almacena desde unos pocos MB hasta petabytes de datos. ✅ Alta durabilidad → 99.999999999% (11 nueves) de durabilidad. ✅ Seguridad avanzada → Control de acceso, cifrado y auditoría. ✅ Accesibilidad global → Datos accesibles vía HTTP/S mediante API REST.

🛠️ Componentes Claves de S3

1️⃣ Buckets (Contenedores de Objetos)

📌 Son las "carpetas" donde se almacenan los objetos. Cada cuenta de AWS puede crear hasta 100 buckets por defecto.

🔹 Ejemplo AWS CLI – Crear un bucket:

aws s3 mb s3://mi-bucket

2️⃣ Objetos (Archivos + Metadatos)

📌 Cada archivo almacenado en S3 es un objeto, el cual incluye:

Datos (contenido del archivo)
Metadatos (información adicional como permisos y cifrado)
Clave única (nombre del objeto dentro del bucket)

🔹 Ejemplo AWS CLI – Subir un archivo a S3:

aws s3 cp archivo.txt s3://mi-bucket/

3️⃣ Clases de Almacenamiento

Amazon S3 ofrece diferentes clases de almacenamiento según el costo y la frecuencia de acceso:

ClaseCaso de UsoCosto 💲S3 StandardAccesos frecuentesAltoS3 Standard-IAAccesos ocasionalesMedioS3 GlacierArchivado y backupsBajo

🔹 Ejemplo AWS CLI – Mover un objeto a Glacier:

aws s3 cp archivo.txt s3://mi-bucket/ --storage-class GLACIER

🔐 Seguridad en S3

🔹 Control de Acceso → IAM Policies, ACLs y Bucket Policies. 🔹 Cifrado → SSE (Server-Side Encryption) y KMS (AWS Key Management Service). 🔹 Logs y Auditoría → AWS CloudTrail registra accesos y acciones en S3.

🔹 Ejemplo AWS CLI – Bloquear acceso público a un bucket:

aws s3api put-public-access-block --bucket mi-bucket --public-access-block-configuration BlockPublicAcls=true,IgnorePublicAcls=true

🚀 Casos de Uso de Amazon S3

✅ Almacenamiento de imágenes, videos y archivos multimedia ✅ Backups y recuperación de desastres ✅ Data Lakes y Big Data ✅ Hosting de sitios web estáticos

🔹 Ejemplo AWS CLI – Habilitar un bucket como sitio web:

aws s3 website s3://mi-bucket/ --index-document index.html

💡 Conclusión

Amazon S3 es una de las soluciones de almacenamiento en la nube más flexibles y seguras, adecuada para cualquier tipo de negocio.

Fabianini PRZ®

student•

En la clase se abordó la seguridad en Amazon S3, la cual es crucial debido a la naturaleza sensible de la información que puede almacenarse. La seguridad se gestiona principalmente a través de políticas que permiten definir quién puede acceder a los recursos y qué acciones pueden realizar. Estas políticas pueden ser basadas en el usuario o en el recurso (bucket).

Los componentes de una política incluyen el "statement", "effect" (allow o deny), "principal" (quién tiene acceso), "action" (qué acciones se permiten) y un "resource" que define el bucket específico. Las condiciones adicionales pueden fortalecer la seguridad, como restringir el acceso a conexiones HTTPS.

Para proteger datos en Amazon S3, es esencial configurar correctamente estas políticas y comprender cómo funcionan las listas de control de acceso.

Miguel Angel Reyes Moreno

student•

Introducción a S3

Simples Storage Service

Almacenamiento de copias de seguridad
Aplicaciones
Data-lakes
Sitios web estático
Recuperación de desastres

Buckets

Permiten almacenar objetos en buckets (directorio)
El nombre de los buckets debe ser único a nivel global
Los buckets se definen dentro de una región

Objetos

Tienen una clave
Es la ruta completa → s3://bucket/archivo.txt
El tamaño máximo es de 5TB
El máximo para cargar un objeto es una operación PUT es de 5GB

Carga multiparte → Te permite subir tu objeto en distintas operaciones en paralelo, así puedes subir objetos grandes.

Seguridad en S3

Basada en usuario: Políticas IAM
Basa en recursos: Políticas de Bucket y las Listas de control de acceso (ACL)

Políticas de S3

Es un documento en formato JSON para dar permisos
Sirven para proteger el acceso a los objetos de los buckets

Componentes de una política de S3

Statement: Es obligatorio y contiene los demás elementos
Versión: Especifica las reglas de sintaxis del lenguaje
Sid: Es el identificador de la política
Effect: Valores Allow/Deny
Principal: Especifica el usuario o rol, es obligatoria
Action: Acciones específicas, por ejemplo: s3:GetObject

Ejemplo de una política de S3

{

&#x9;"Version": "2012-10-17",

&#x9;"Statement": \[

&#x9;	{

&#x9;		"Sid": "PublicReadGetObject",

&#x9;		"Effect": "Allow",

&#x9;		"Principal": "\*",

&#x9;		"Action": "s3:GetObject",

&#x9;		"Resource": "arn:aws:s3:::nombre-del-bucket/\*"

&#x9;	}

&#x9;]

}

Miguel Angel Reyes Moreno

student•

El asterisco (*)es un carácter comodín o wildcard que se utiliza para reemplazar uno o más caracteres en una cadena.

David Jordan

student•

Las políticas se pueden especificar para todos (*), o para usuarios específicos, o para roles específicos, o para cuentas de AWS específicas...

Ejemplo de política para distintos "principal":

{
    "Effect": "Allow",
    "Principal": {
        "AWS": [
            "arn:aws:iam::123456789012:role/nombre-del-rol",
            "arn:aws:iam::123456789012:user/nombre-del-usuario",
            "arn:aws:iam::987654321098:root"
        ]
    },
    "Action": "s3:GetObject",
    "Resource": "arn:aws:s3:::nombre-del-bucket/*"
}

```Ahí se le aplica la política a un rol, a un usuario, y a una cuenta de AWS. El ultimo de la cuenta se le aplicó a través del ARN de la cuenta pero también podría hacerse poniendo únicamente el ID de la cuenta. (el número)

David Jordan

student•

Ejemplo de política S3:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PublicReadGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::nombre-del-bucket/*"
        }
    ]
}