Bienvenida e Introducción
Políticas de Seguridad en Amazon S3: Ejemplos y Configuración
Clase 22 de 37 • Curso Práctico de Storage en AWS
Contenido del curso
Almacenamiento de objetos en AWS (S3)
- 3
Almacenamiento y Gestión de Objetos en AWS S3
06:55 - 4
Versionamiento de Archivos en S3: Control y Recuperación de Datos
08:30 - 5
Configuración de Sitios Web Estáticos en Amazon S3 y Route 53
11:00 - 6
Registro de Actividades en S3 con Integración a CloudTrail y CloudWatch
11:37 - 7
Transferencia Acelerada en AWS S3: Activación y Casos de Uso
06:54 - 8
Configuración y Uso de Eventos en S3 para Notificaciones y Monitoreo
08:06 - 9
Replicación de Objetos en S3 entre Regiones de AWS
08:38
Clases de storage en S3
- 10
Clases de Almacenamiento en Amazon S3: S3 Estándar y S3 IA
04:47 - 11
Uso eficiente de S3-IA para almacenamiento poco frecuente
05:05 - 12
Almacenamiento S3IA Única Zona: Uso y Consideraciones
03:46 - 13
Almacenamiento y Recuperación de Datos Históricos con Amazon Glacier
04:58 - 14
Gestión de Ciclo de Vida en Amazon S3 para Optimizar Costos y Almacenamiento
08:45 - 15
Estrategias de Migración de Datos a AWS S3
10:10 - 16
Casos de Uso Avanzados de S3 en AWS
11:12
Seguridad en S3.
- 17
Cifrado del Lado del Servidor en Amazon S3: Seguridad de Datos
04:05 - 18
Cifrado del lado del servidor con KMS en AWS
03:25 - 19
Encriptación en S3 con Llaves Propias del Usuario
03:00 - 20
Creación y uso de llaves KMS en AWS S3
09:51 - 21
Políticas de Seguridad en AWS S3: Control de Acceso y Permisos
08:02 - 22
Políticas de Seguridad en Amazon S3: Ejemplos y Configuración
08:43 - 23
Listas de Control de Acceso (ACLs) en Amazon S3: Seguridad y Configuración
06:37
Storage Gateway
Sistema de archivos elástico (EFS)
Sistema de archivo por bloques (EBS)
- 30
Elastic Block Storage (EBS) en AWS: Uso y Características Clave
08:07 - 31
Tipos de EBS: GP2 y IO1 y sus usos recomendados
04:30 - 32
Tipos de Volúmenes EBS y sus Casos de Uso Específicos
07:24 - 33
Gestión de Snapshots y AMIs en AWS EBS
10:15 - 34
Creación y Gestión de Volúmenes EBS en Instancia Windows AWS
08:19 - 35
Creación y Gestión de Volúmenes EBS en Instancias Linux
05:15
Conclusiones
Resumen
¿Cómo se estructuran las políticas en S3?
Amazon S3, un servicio de almacenamiento en la nube, permite gestionar el acceso a los datos usando políticas. Estas políticas se componen de varios elementos clave:
- Versión: Especifica qué versión del lenguaje de políticas se está utilizando.
- Statement: Define el efecto permitido o denegado.
- Principal: Indica el usuario o entidad a la que se aplican los permisos.
- Action: Define las acciones permitidas o denegadas sobre el recurso.
- Resource: Es el objeto o bucket S3 al que se aplican los permisos.
- Condition: Permite añadir restricciones adicionales para el acceso.
A través de estas políticas, se puede alcanzar un nivel de granularidad considerable al definir quién puede realizar qué acciones dentro de un bucket y bajo qué condiciones.
¿Qué tipo de políticas se pueden crear?
Políticas permisivas
Podemos crear políticas permisivas que permiten a todos los usuarios realizar acciones específicas. Por ejemplo, una política que use Principal: * sería aplicable a todos los usuarios, otorgándoles permisos sobre los objetos de un bucket específico.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::sample-bucket/*"
}
]
}
Políticas específicas para cuentas
Las políticas también pueden ser creadas para dar acceso a cuentas específicas. Esto se puede hacer especificando el ARN para cada cuenta en el campo Principal.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::111122223333:user/Alice",
"arn:aws:iam::444455556666:user/Bob"
]
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::sample-bucket/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "public-read"
}
}
}
]
}
Políticas con condiciones de seguridad
Las condiciones son opcionales y refuerzan la seguridad. Por ejemplo, se pueden configurar políticas para permitir acciones únicamente desde direcciones IP específicas.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::sample-bucket/*",
"Condition": {
"IpAddress": {"aws:SourceIp": "203.0.113.0/24"},
"NotIpAddress": {"aws:SourceIp": "198.51.100.0/24"}
}
}
]
}
Políticas que responden a solicitudes de sitios web específicos
Las acciones pueden restringirse para ser realizadas únicamente si proceden de sitios web autorizados.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::sample-bucket/*",
"Condition": {
"StringLike": {
"aws:Referer": [
"http://www.example.com/*"
]
}
}
}
]
}
¿Cómo se combinan permisos y restricciones?
Uso de permisos explícitos de denegación
A veces, se requiere combinar permisos permitiendo acciones solo si cumplen con ciertas condiciones. En estos casos, se pueden definir políticas que explícitamente niegan el acceso si no se cumplen las condiciones de seguridad especificadas.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::sample-bucket/*",
"Condition": {
"StringLike": {
"aws:Referer": [
"http://www.trustedwebsite.com/*"
]
}
}
},
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::sample-bucket/*",
"Condition": {
"StringNotLike": {
"aws:Referer": [
"http://www.trustedwebsite.com/*"
]
}
}
}
]
}
Implementación de autenticación multifactor
En situaciones donde almacenamos información crítica, se puede requerir autenticación multifactor para ciertos subfolders dentro de un bucket, asegurando un nivel adicional de seguridad.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "arn:aws:s3:::example-bucket/tax-documents/*",
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "false"
}
}
},
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::example-bucket/*"
}
]
}
Explorando y comprendiendo cómo funcionan las políticas en Amazon S3, se pueden implementar niveles de seguridad avanzados, protegiendo datos críticos de manera efectiva y asegurando que sólo usuarios autorizados tengan acceso necesario. Con las herramientas y estructuras adecuadas, la protección de los datos en la nube es mucho más manejable. ¡Adelante en dominar esta habilidad esencial en AWS!