Políticas de Seguridad en AWS S3: Control de Acceso y Permisos

Clase 21 de 37 • Curso Práctico de Storage en AWS

Resumen

¿Cómo funcionan las políticas en S3?

Las políticas en S3 de AWS son herramientas fundamentales para manejar el acceso a los buckets. Actúan como controles de seguridad permitiendo o denegando el acceso a usuarios específicos o roles bajo ciertas condiciones. Entender su estructura y aplicación es clave para garantizar la seguridad de los datos almacenados.

¿Qué componentes tiene una política de S3?

Las políticas de S3 se componen de varios elementos esenciales que determinan su funcionamiento:

Statement: Es el componente principal y obligatorio que contiene los demás elementos de una política.
Version: Define la sintaxis y las reglas del lenguaje JSON utilizado en la política. Aunque opcional, toma por defecto la última versión disponible.
SID (Statement Identifier): Actúa como identificador de la política. Es opcional, pero algunos servicios podrían requerirlo.
Efecto (Effect): Debe especificarse siempre y puede ser 'Allow' (permitir) o 'Deny' (denegar), determinando así las acciones permitidas o restringidas.
Principal: Este componente identifica al usuario o rol que está sujeto a la política, definiendo qué acciones puede o no puede realizar.

¿Por qué son cruciales las políticas en los buckets de producción?

Las políticas son esenciales para aplicar el principio de menor privilegio, asegurando que solo los usuarios y roles estrictamente necesarios tengan acceso a los buckets. No tener estas políticas o configurarlas de manera muy permisiva compromete la seguridad de los datos.

Determinan quién tiene acceso y qué pueden hacer dentro de un bucket.
Ayudan a evitar accesos no autorizados y potenciales violaciones de seguridad.
Restringen acciones específicas, como listar o modificar objetos, a usuarios determinados.

¿Cómo se crean las políticas usando el Policy Generator?

AWS proporciona una herramienta útil llamada Policy Generator, que ayuda a crear políticas de manera sencilla:

Seleccionar Tipo de Política: Se elige 'Política de Bucket' en el generador.
Definir Efecto y Principal: Se selecciona si la acción es 'Allow' o 'Deny', y se especifica el Amazon Resource Name (ARN) del usuario.
Especificar Permisos: Se define qué acciones pueden realizarse en el servicio S3, como listado de buckets o 'getObject'.
Obtener ARN del Bucket: Se copia y pega el ARN correspondiente al bucket deseado.
Generar JSON: Al final, se genera un documento JSON que puede copiarse y usarse como política del bucket.

A continuación, un ejemplo básico de una política JSON generada para S3:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::123456789012:user/SampleUser"
      },
      "Action": [
        "s3:ListBucket",
        "s3:GetObject"
      ],
      "Resource": [
        "arn:aws:s3:::example-bucket",
        "arn:aws:s3:::example-bucket/*"
      ]
    }
  ]
}

¿Cuál es la mejor práctica al trabajar con políticas?

Para potenciar la seguridad, se recomienda especificar políticas lo más detalladas y restrictivas posible, asegurando que cada acceso esté altamente controlado y limitado solo a lo esencial. Esto no solo protege el contenido de los buckets, sino que también optimiza los recursos y procesos de gestión de datos en AWS.

Esteban Vasquez Valencia

student•

Hola a todos, comparto el enlace al generador de politicas:
https://awspolicygen.s3.amazonaws.com/policygen.html

Sebastian Doza

student•

Buenas noches , como funciona el generador de politica

Jonatan Schenfeld

student•

Politicas de seguridad, se aplican sobre usuarios/roles y se describen en formato json.

Ejemplo: { "Version":"2012-10-17", "Statement":[ { "Sid":"PublicRead", "Effect":"Allow", "Principal": "*", "Action":["s3:GetObject"], "Resource":["arn:aws:s3:::examplebucket/*"] } ] } fuente Atributos:

Version: es opcional, por defecto toma la última version y determina el formato valido.
Statement: es Obligatorio y es una lista de objetos json. cada Objeto en statement tendra el siguiente formato:
Sid: opcional, pero algunos servicios pueden solicitar este id
Effect : es obligatorio, valores: Allow o Deny
Principal: es obligatorio, es el arn del usuario o rol.

Daniel Elías Ángel Barreto

student•

Nueva ubicación de politicas

Patricio Sánchez Fernández

student•

AWS, va renovando permanentemente su contenido, ha que hacer un esfuerzo extra, para estar al tanto de las novedades.

Usuario anónimo

user•

Son importantes para nuestros bucket de producción.. principio del menor privilegio. :) no es recomendable dejar bucket abiertos sin politicas

Luis Fernando Castañeda Castro

student•

En 3 años la interfaz de AWS ha sufrido varios cambios, sería bueno que actualizaran el curso

Francisco Javier Suarez Verdugo

student•

Muy buena clase instructor Carlos, me gusto la ilustración o analogía para entender lo que es una política en AWS, “La persona de seguridad que está cuidando un espacio, entonces esta persona puede determinar quién entra o quien no entra a este espacio”

Marc Garcia Torrent

student•

Hola, como hago para permitir leer archivos desde una IP en concreto? Tengo una Policy que lo hace, pero no afecta a los archivos que tengo en el bucket, me aparece access denied:

{
    &quot;Version&quot;: &quot;2012-10-17&quot;,
    &quot;Id&quot;: &quot;PolicyId2&quot;,
    &quot;Statement&quot;: [
        {
            &quot;Sid&quot;: &quot;AllowIPmix&quot;,
            &quot;Effect&quot;: &quot;Allow&quot;,
            &quot;Principal&quot;: &quot;*&quot;,
            &quot;Action&quot;: &quot;s3:*&quot;,
            &quot;Resource&quot;: &quot;arn:aws:s3:::MIBUCKET&quot;,
            &quot;Condition&quot;: {
                &quot;IpAddress&quot;: {
                    &quot;aws:SourceIp&quot;: [
                        &quot;81.36.172.134&quot;,
                    ]
                }
            }
        }
    ]
}```

Javier Ricardo Becerra Bedoya

student•

Para crear una política se debe estar en el usuario root? O cualquier usuario que tenga permisos para crear un bucket puede crear políticas para un bucket?

Brazzini OC

student•

Para acceder a objetos de un bucket privado (acceso público bloqueado) desde una aplicación web. Según la documentación se puede generar una URL de acceso por un tiempo determinado (20 minutos por ejemplo). ¿ Hay otra manera de generar una URL de acceso por tiempo ilimitado ?

Alberto Gurrion

student•

Yo pondía un CDN para implementar políticas de acceso e.g. https://docs.aws.amazon.com/es_es/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html

Mario Alexander Vargas Celis

student•

🔐 Introducción a las Políticas en S3 (AWS S3 Policies)

Las políticas en S3 son reglas que controlan el acceso a los buckets y objetos almacenados en Amazon S3. Estas políticas están basadas en AWS IAM (Identity and Access Management) y definen quién puede acceder a los recursos y qué acciones pueden realizar.

📌 Tipos de Políticas en S3

AWS ofrece tres formas principales de gestionar el acceso a S3:

Políticas de Bucket (Bucket Policies)
- Se aplican a todo el bucket.
- Permiten o deniegan acceso a usuarios o roles específicos.
- Se escriben en JSON.
- Ejemplo:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": "arn:aws:s3:::mi-bucket/*" } ] } 🔹 Este ejemplo permite acceso público de solo lectura a los objetos del bucket.
Políticas de IAM (IAM Policies)
- Se asignan a usuarios, grupos o roles de IAM.
- Controlan permisos para interactuar con S3.
- Ejemplo:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": ["s3:ListBucket"], "Resource": ["arn:aws:s3:::mi-bucket"] } ] } 🔹 Este ejemplo permite al usuario listar los objetos en un bucket.
ACLs (Listas de Control de Acceso)
- Se aplican a objetos individuales en S3.
- No son recomendadas para configuraciones avanzadas.
- Se usan para compartir objetos con otros usuarios de AWS.

📌 Principales Permisos en S3

Las políticas pueden otorgar permisos sobre acciones específicas, como:

s3:ListBucket → Ver los objetos dentro de un bucket.
s3:GetObject → Descargar objetos.
s3:PutObject → Subir objetos.
s3:DeleteObject → Eliminar objetos.
s3:GetBucketPolicy → Ver la política del bucket.
s3:PutBucketPolicy → Modificar la política del bucket.

📌 Ejemplo de Política de Bucket Privado

Para restringir el acceso solo a un usuario de IAM específico:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": "*", "Action": "s3:*", "Resource": ["arn:aws:s3:::mi-bucket", "arn:aws:s3:::mi-bucket/*"], "Condition": { "StringNotEquals": { "aws:PrincipalArn": "arn:aws:iam::123456789012:user/mi-usuario" } } } ] }

🔹 Este ejemplo bloquea todo el acceso excepto para mi-usuario.

🚀 Conclusión

✅ Las políticas de S3 controlan el acceso a los datos. ✅ Pueden aplicarse a nivel de bucket, usuario IAM o a través de ACLs. ✅ Son esenciales para la seguridad en AWS.

Rafael Carrillo

student•

excelente le puse una política a mi sitio estático en S3

john ct

student•

oportuno para el manejo de S3 y sus policies.

Pedro Ríos

student•

Estoy desarrollando un gestor de archivos para una plataforma que tendra un volumen considerable de usuarios. Cada uno de estos usuarios deberia contar con un usuario en AWS? Se puden crear al momento de su registro y vincularse con el usuario?

Alexander Silvera

student•

hola tengo una aplicación django donde tengo en S3 los archivos estaticos, pero me esta surgiendo un problema con django-ckeditor donde no me renderiza el editor de texto porque dice que no tiene permisos. Sale error 403. Alguien puede ayudarme con esto??

Carlos Eduardo Gomez García

teacher•

Curioso, sé que este curso es de hace 2 años, pero si no mal recuerdo, antes las políticas se definían con XML 🤔 o no recuerdo por qué alguna documentación de AWS que leí usaba XML y recién habían implementado JSON 🤔

LUIS ARTURO ZARATE AYALA

student•

Las políticas de seguridad nos permiten mitigar riesgos al momento de exponer nuestra información, recomiendo implementarlas siempre, estas políticas agregan un nivel adicional de seguridad a nuestra información, ayudan a cerrar backdoors.