Listas de Control de Acceso (ACLs) en Amazon S3: Seguridad y Configuración

Clase 23 de 37 • Curso Práctico de Storage en AWS

Resumen

¿Qué son las ACLs de bucket en AWS?

Las ACLs (Listas de Control de Acceso) de bucket en AWS S3 son una capa de seguridad adicional diseñada para complementar otras medidas de seguridad como el cifrado y las políticas de bucket (bucket policies). Estas listas permiten que otras cuentas obtengan ciertos permisos sobre un bucket específico, ya sea a través del ID de cuenta o mediante un grupo de usuarios autenticados. Las ACLs son esenciales cuando se necesita gestionar accesos a nivel granular y deben entenderse como parte de un enfoque de seguridad integral.

¿Cómo se especifican las ACLs?

Las ACLs se administran en la sección de permisos dentro de la consola de S3. Al acceder a un bucket específico, se pueden configurar permisos para:

Otras cuentas de AWS: Permitir acceso a otras cuentas usando el account ID o, en algunas regiones, una dirección de correo electrónico. Es crucial verificar las restricciones regionales ya que no todas las regiones soportan el uso de correos electrónicos para identificar cuentas.
Acceso público: Una opción para configurar acceso público al bucket. Esto incluye permisos para listar, escribir, leer y modificar permisos de objetos. Sin embargo, se desaconseja tener buckets públicos debido a riesgos de seguridad.
Grupo de envío de registros: Una capa adicional que registra la actividad sobre el bucket, lo cual ayuda a mantener un control exhaustivo de quién está accediendo a qué datos.

¿Por qué es importante evitar buckets públicos?

Dejar un bucket público puede parecer útil en ciertos casos, pero AWS provee múltiples mecanismos de seguridad que hacen innecesario exponer un bucket de esta manera. La exposición pública puede permitir accesos indeseados a datos sensibles, lo cual representa un riesgo significativo para la seguridad de la información.

Integración con bucket policies

Las ACLs trabajan en sinergia con las bucket policies para definir detalladamente qué acciones puede realizar cada entidad que accede al bucket. Por ejemplo, una ACL puede otorgar acceso a una cuenta externa, mientras que una bucket policy puede restringir qué tipos de interacciones se permiten.

Recomendaciones de seguridad para el manejo de datos sensibles

Cuando se trabaja con información crítica, como en el caso de una empresa de pólizas de seguro con datos confidenciales de usuarios, es esencial implementar estrategias de seguridad robustas. Aquí algunas recomendaciones:

Cifrado de datos: Utilizar cifrado tanto a nivel de objeto como de bucket para proteger la información almacenada.
Políticas de acceso estrictas: Definir y ejecutar políticas que limiten el acceso solo a quienes realmente lo necesitan dentro de la organización.
Monitoreo y registro: Implementar soluciones de monitoreo para detectar accesos no autorizados y registrar todas las acciones realizadas en los buckets para facilitar auditorías y el cumplimiento normativo.
Evaluación de vulnerabilidades: Realizar regularmente análisis de vulnerabilidades para identificar y resolver potenciales brechas de seguridad.

Reflexión sobre estrategias de seguridad

Se anima a los profesionales a reflexionar sobre qué estrategias de seguridad implementarían en su entorno laboral, considerando prácticas como:

Uso de múltiples capas de seguridad como parte de un enfoque defensivo.
Evaluación del entorno para determinar cuándo, si es que en algún momento, es apropiado habilitar accesos públicos limitados, y bajo qué condiciones.

Estas reflexiones no solo fortalecen la seguridad de la información, sino que también permiten un enfoque más proactivo y estratégico en la administración de datos en la nube.

Juan David Cajamarca Acuña

student•

ACL en S3.

ACL (Lista de control de acceso) Son permisos a nivel de cuentas; es decir, permitir o denegar el acceso de otras cuentas a nuestro Bucket. Cuando se vaya a referenciar una cuenta en la configuración, hay que tener presente que no todas las regiones admiten que se coloquen como valor un correo electrónico; en cambio, deberíamos poner el id del usuario.

En lo posible y bajo ninguna circunstancia se recomienda dejar un Bucket público. Para eso ya están estas reglas y medidas de seguridad.

Las ACL son un mecanismo de seguridad que se complementan de forma adecuada con las Buckets Policies. Porque con las ACL puedo definir qué cuentas pueden acceder a mi Buckets, y con las Buckets Policies puedo establecer qué puedo hacer cada usuario.

Jorge Armando Sanjuan Angarita

student•

Gracias por el aporte.

Juan Sebastián Ricaurte Macías

student•

Buen aporte gracias.

Yembert Jesus Quintero Cortez

student•

Bueno pero si se coloca una pagina web estatica si se necesitaria que este publico o no ? solo se requiere de solo lectura de manera any ?

Javier Ricardo Becerra Bedoya

student•

Podrías poner que solo se pueda acceder desde el dominio de la página estática y que solo tenga permiso para leer los archivos.

Rodrigo Hernández

student•

Creo que como aplicar el uso de estas herramientas va a depender mucho del negocio, de saber las reglas del mismo. En el caso de una aseguradora, tendría que evaluar incluso temas de políticas que le apliquen a este tipo de negocio, del país de donde yo soy se rigen bajo la SIT (_super intendencia de banco_s) y estos incluso exigen medidas como tener cierta información on premise o no permiten tener toda su información en la nube, por el tema que tienen que garantizar exactamente la ubicación física. De primera mano realizaría un análisis del tipo de información de consulta para los asegurados, estados de cuenta y demás los trataría de dejar expuestos públicamente pero con restricciones a nivel del identificador del usuario que esta consultando que sea su información (es decir principal=id-de-usuario-que-consulta), adicional las ACL para filtrar mas y agregar una capa extra de seguridad.

Juan Sebastián Ricaurte Macías

student•

En el caso de mi empresa en particular tenemos la base original en el sitio en su propio servidor, pero usamos S3 como método de backups. Y una vez se sube a la nube se encripta, es una excelente opción para siempre tener la información segura. Podríamos restaurar la bd en menos de 2 minutos.

john ct

student•

ACLAccess control list are one of the resource-based access policy options (see Overview of Managing Access) that you can use to manage access to your buckets and objects. You can use ACLs to grant basic read/write permissions to other AWS accounts. There are limits to managing permissions using ACLs. For example, you can grant permissions only to other AWS accounts; you cannot grant permissions to users in your account.

john ct

student•

https://docs.aws.amazon.com/AmazonS3/latest/dev/managing-acls.html

john ct

student•

ACLs are suitable for specific scenarios.

Nayru Alexandra Ramirez Molano

student•

Una duda, yo tengo alojado un sitio web estático y cuando le bloqueé el access control mis usuarios obtuvieron error 403, ¿Cómo puedo proteger mi bucket sin que se caiga la página?

john ct

student•

en ese envio de S3 log delivery group puede enviarse cuentas de email?

Mario Alexander Vargas Celis

student•

📌 ACL en Amazon S3 (Access Control Lists - Listas de Control de Acceso)

Las ACLs en S3 permiten definir permisos a nivel de objeto o bucket para controlar el acceso a los recursos de Amazon S3. Aunque AWS recomienda usar políticas de bucket e IAM en lugar de ACLs, aún son útiles en ciertos casos.

🛠 1. Tipos de ACL en S3

1️⃣ ACL de Bucket – Controla el acceso a todo el bucket. 2️⃣ ACL de Objeto – Controla el acceso a un objeto específico dentro del bucket.

Cada ACL permite otorgar permisos a: 🔹 Cuentas de AWS específicas 🔹 Usuarios autenticados en AWS 🔹 Todos los usuarios públicos (⚠️ no recomendado) 🔹 Grupos de AWS predeterminados

🏗 2. Permisos Disponibles en ACLs

PermisoDescripciónREADPermite leer objetos o listar el contenido de un bucket.WRITEPermite agregar, modificar o eliminar objetos en el bucket.READ_ACPPermite leer la configuración de ACL.WRITE_ACPPermite modificar la ACL del bucket u objeto.FULL_CONTROLOtorga todos los permisos anteriores.

🔧 3. Configurar ACL en un Bucket

🔹 Ejemplo 1: Hacer que un Bucket sea Público

aws s3api put-bucket-acl --bucket mi-bucket-publico --acl public-read

✅ Permite que cualquier usuario lea los objetos del bucket. ⚠️ No recomendado para datos sensibles.

🔹 Ejemplo 2: Otorgar Acceso de Escritura a Otro Usuario AWS

aws s3api put-bucket-acl --bucket mi-bucket --grant-write 'id="1234567890abcdefghi"'

✅ Permite que otro usuario de AWS escriba en el bucket.

🔹 Ejemplo 3: Definir ACL en un Objeto Específico

aws s3api put-object-acl --bucket mi-bucket --key archivo.txt --acl private

✅ Solo el dueño puede acceder al objeto.

🎯 4. Ver ACL de un Bucket u Objeto

🔹 Ver ACL de un Bucket

aws s3api get-bucket-acl --bucket mi-bucket

🔹 Ver ACL de un Objeto

aws s3api get-object-acl --bucket mi-bucket --key archivo.txt

🚀 5. Buenas Prácticas con ACLs

✅ Usar IAM Policies o Bucket Policies en lugar de ACLs cuando sea posible. ✅ Evitar el acceso público en ACLs. ✅ Revisar regularmente los permisos con get-bucket-acl y get-object-acl. ✅ Usar FULL_CONTROL solo si es estrictamente necesario.

🔹 Conclusión

Las ACLs en S3 ofrecen control granular sobre permisos de acceso, pero en la mayoría de los casos es preferible usar Bucket Policies o IAM Policies por su flexibilidad y seguridad.

Alfredo Olmedo

student•

Implementaria El principio del mínimo privilegio.

El principio del mínimo privilegio es una estrategia fundamental en ciberseguridad. Su objetivo es reducir los riesgos al otorgar a los usuarios y aplicaciones solo los permisos y accesos estrictamente necesarios para realizar sus tareas, sin otorgarles más de lo necesario1. En otras palabras, se trata de dar a cada entidad (ya sea un usuario o una aplicación) el nivel mínimo de privilegios requerido para ser productivo o funcional.

Aquí tienes algunos puntos clave sobre esta estrategia:

Acceso con Mínimos Privilegios:

Se enfoca en garantizar que las identidades (usuarios), las personas y los procesos tengan solo los permisos mínimos necesarios para llevar a cabo sus funciones.

Esto significa que no se otorgan privilegios excesivos o innecesarios. Cada entidad tiene solo lo que necesita para realizar su trabajo.

Beneficios:

Reducción de la superficie de ataque: Al limitar los privilegios, se disminuye la exposición a ciberataques. La mayoría de los ataques avanzados se basan en la explotación de credenciales con privilegios.

Mayor seguridad: Al aplicar el principio del mínimo privilegio, se evita la acumulación de privilegios y se protege contra amenazas.

Aplicación más allá del acceso humano:

Este principio no solo se aplica a los usuarios, sino también a aplicaciones, sistemas o dispositivos conectados que requieren privilegios para tareas específicas.

Por ejemplo, una aplicación automatizada solo debe tener acceso a lo necesario y nada más.

En resumen, el principio del mínimo privilegio es una práctica óptima en ciberseguridad que ayuda a proteger el acceso con privilegios a datos y activos valiosos.

Jonathan Olier Miranda

student•

Hola, tengo una duda, si tengo un Bucket donde mi app sube archivos de las empresas que lo usan, y cada usuario dentro de la empresa debe visualizar los archivos dentro su carpeta de la empresa. Pero actualmente solo puede hacerlo si el buclek es público, y acá recomiendan el no uso público debe este, entonces como podria hacer para que no sea público y los usuarios tenga accesos a sus recursos??

Luis Fernando Castañeda Castro

student•

Políticas, Cifrado y ACL son los mecanismos de seguridad que nos brinda AWS para nuestros Buckets

Usuario anónimo

user•

Algunas aseguradoras envían un enlace por SMS al cliente cuando este tiene un accidente de transito, en el se captura información del accidente (imágenes, contar lo sucedido, etc.), pienso que esta información debería ser resguardada, se me ocurre algo así:

No dejar buckets públicos
Generar usuarios/roles, para el administrador, el ajustador y el cliente.
Aplicar políticas de seguridad, por ejemplo el cliente solo puede crear objetos, el ajustador también, y un administrador podría hacer GET o DELETE a los mismos.
Usar algún tipo de encriptación para los objetos.

Juan Carlos Pinzón

student•

Las políticas me parecen más practicas y un poco más seguras para la administración del bucket

john ct

student•

siempre as compliance never leave a bucket as public access

Carlos Javier Bazan Huaman

student•

las politicas debe ser una clase principal en el tema de seguridad ya que hay varias formas de crear condiciones de acceso para los usuarios.

Usuario anónimo

user•

que completo el uso de Buckets :)

Usuario anónimo

user•

si fuera el encargado no dejaría bucket publicos e incluiría cifrado y acl para todos los bucket que tenga información sensible de los seguros de mis clientes :)

Ivan Acosta

student•

Creo que antes de entrar a ejecutar los permisos es importante es importante definir la matriz de seguridad donde sea necesario algunos atributos como usuarios, región, buckets, permisos (lectura & escritura). Una vez definido y acordado este artefacto se implementara las politicas y los ACL correspondientes.

José Mauricio Eddui Abzum Méndez

student•

Cuando sea una Web estática si es necesario poner el bucket público cierto? o hay que ponerle algún tipo de restricción por medio de las políticas?

Jose Luis Higuera Caraveo

student•

Creo que solo se necesita tener el archivo index.html y error.html públicos, no todo el bucket.

Jair Israel Avilés Eusebio

student•

Lo ideal seria definir una politica que te permita solor leer el contenido estatico en tu bucket sin necesariamente configurarlo como publico. Algo asi seria ideal

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PublicReadGetObject",
            "Effect": "Allow",
            "Principal": "*",
            "Action": [
                "s3:GetObject"
            ],
            "Resource": [
                "arn:aws:s3:::nombre-bucket/*"
            ]
        }
    ]

LUIS ARTURO ZARATE AYALA

student•

ACL lo usuaria para compartir archivos médicos de pacientes entre distintas compañías que tengan convenios