# Ejemplo de políticas de bucket para buckets de directorio
<a name="s3-express-security-iam-example-bucket-policies"></a>

En esta sección se proporcionan ejemplos de políticas de bucket de directorio. Para utilizar estas políticas, sustituya `user input placeholders` por su información.

En el ejemplo siguiente de política de bucket, se permite que el ID de Cuenta de AWS `111122223333` utilice la operación de la API `CreateSession` para el bucket de directorio especificado. Cuando no se especifica ningún modo de sesión, la sesión se creará con el privilegio máximo permitido (se intenta primero `ReadWrite` y, después, `ReadOnly` si no está permitido). Esta política otorga acceso a las operaciones de la API del punto de conexión zonal (de nivel de objeto). 

**Example - Política de bucket para permitir llamadas `CreateSession`**    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadWriteAccess",
            "Effect": "Allow",
            "Resource": "arn:aws:s3express:us-west-2:111122223333:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:root"
                ]
            },
            "Action": [
                "s3express:CreateSession"
            ]
        }
    ]
}
```

**Example – Política de buckets para permitir llamadas `CreateSession` con una sesión `ReadOnly`**  
El siguiente ejemplo de política de bucket permite que el ID de Cuenta de AWS `111122223333` utilice la operación de la API `CreateSession`. Esta política utiliza la clave de condición `s3express:SessionMode` con el valor `ReadOnly` para establecer una sesión de solo lectura.     
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ReadOnlyAccess",
            "Effect": "Allow",
            "Principal": {
                "AWS": "111122223333"
            },
            "Action": "s3express:CreateSession",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "s3express:SessionMode": "ReadOnly"
                }
            }
        }
    ]
}
```

**Example – Política de bucket para permitir el acceso entre cuentas para llamadas `CreateSession`**  
El siguiente ejemplo de política de bucket permite que el ID de Cuenta de AWS `111122223333` utilice la operación de la API `CreateSession` para el bucket de directorio especificado que es propiedad del ID de Cuenta de AWS *`444455556666`*.    
****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CrossAccount",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::111122223333:root"
            },
            "Action": [
                "s3express:CreateSession"
            ],
            "Resource": "arn:aws:s3express:us-west-2:444455556666:bucket/amzn-s3-demo-bucket--usw2-az1--x-s3"
        }
    ]
}
```