Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Concesión de acceso y permisos para recursos compartidos de archivos y buckets
<a name="add-file-share"></a>

Una vez que su puerta de enlace de archivos S3 esté activada y en funcionamiento, podrá añadir recursos compartidos de archivos adicionales y conceder acceso a los depósitos de Amazon S3, incluidos los depósitos situados en zonas Cuentas de AWS distintas de sus puertas de enlace y recursos compartidos de archivos. En las siguientes secciones se describé cómo utilizar los roles de IAM para proporcionar a la puerta de enlace permisos de acceso para los buckets de Amazon S3 y los puntos de conexión de VPC, evitar determinados problemas de seguridad y conectar los recursos compartidos de archivos a los buckets de todas las cuentas de Cuentas de AWS.

Para obtener información sobre cómo crear un nuevo recurso compartido de archivos, consulte [Creación de un recurso compartido de archivos](GettingStartedCreateFileShare.md).

Esta sección contiene los siguientes temas, que ofrecen información adicional sobre cómo conceder acceso y permisos para los recursos compartidos de archivos y los buckets de Amazon S3:

**Temas**
+ [Concesión de acceso a un bucket de Amazon S3](grant-access-s3.md): obtenga información sobre cómo conceder acceso a la puerta de enlace de archivo para cargar archivos en el bucket de Amazon S3 y realizar acciones en cualquier punto de acceso o punto de conexión de Amazon Virtual Private Cloud (Amazon VPC) que utilice para conectarse al bucket.
+ [Prevención de la sustitución confusa entre servicios](cross-service-confused-deputy-prevention.md): obtenga información sobre cómo prevenir un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción.
+ [Uso de un recurso compartido de archivos para el acceso entre cuentas](cross-account-access.md): obtenga información sobre cómo conceder acceso a una cuenta de Amazon Web Services y a los usuarios de esa cuenta para que accedan a los recursos que pertenecen a otra cuenta de Amazon Web Services. 

# Concesión de acceso a un bucket de Amazon S3
<a name="grant-access-s3"></a>

Al crear un recurso compartido de archivos, la puerta de enlace de archivo necesita acceso para cargar archivos en el bucket de Amazon S3 y para realizar acciones en cualquier punto de acceso o punto de conexión de nube privada virtual (VPC) que utilice para conectarse al bucket. Para conceder este acceso, su File Gateway asume una función AWS Identity and Access Management (IAM) asociada a una política de IAM que concede este acceso.

El rol requiere esta política de IAM y una relación de confianza de Security Token Service (STS). La política determina qué acciones puede realizar el rol. Además, el bucket de S3 y cualquier punto de acceso o punto de conexión de VPC asociado deben tener una política de acceso que permita al rol de IAM acceder a ellos.

Puede crear el rol y la política de acceso manualmente o dejar que lo haga la puerta de enlace de archivo. Si la puerta de enlace de archivo crea la política, contendrá una lista de acciones de S3. Para obtener más información acerca de los roles y permisos, consulte [Creación de un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*.

El ejemplo siguiente es una política de confianza que permite que la puerta de enlace de archivo adoptar un rol de IAM.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "storagegateway.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

**importante**  
Storage Gateway puede asumir roles de servicio existentes que se transfieren mediante la acción de política `iam:PassRole`, pero no admite las políticas de IAM que utilizan la clave de contexto `iam:PassedToService` para limitar la acción a servicios específicos.  
Para obtener más información, consulte los siguientes temas en la *Guía del usuario de AWS Identity and Access Management *:  
[IAM: transfiera una función de IAM a un servicio específico AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
[Otorgar permisos a un usuario para transferir un rol a un servicio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)
[Claves disponibles para IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_PassedToService)

Si no desea que la puerta de enlace de archivo cree una política en su nombre, cree la suya propia y asóciela al recurso compartido de archivos. Para obtener más información acerca de cómo hacerlo, consulte [Creación de un recurso compartido de archivos](GettingStartedCreateFileShare.md).

La siguiente política de ejemplo permite que la puerta de enlace de archivo realice todas las acciones de S3 que aparecen en la política. La primera parte de la declaración permite que todas las acciones que se muestran se realicen en el bucket de S3 denominado `amzn-s3-demo-bucket`. La segunda parte permite las acciones que se muestran en todos los objetos de `amzn-s3-demo-bucket`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:GetAccelerateConfiguration",
                "s3:GetBucketLocation",
                "s3:GetBucketVersioning",
                "s3:ListBucket",
                "s3:ListBucketVersions",
                "s3:ListBucketMultipartUploads"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Effect": "Allow"
        },
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Effect": "Allow"
        }
    ]
}
```

------

El siguiente ejemplo de política es similar al anterior, pero permite a la puerta de enlace de archivo realizar las acciones necesarias para acceder a un bucket a través de un punto de acceso.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:DeleteObjectVersion",
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:GetObjectVersion",
                "s3:ListMultipartUploadParts",
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
            "Effect": "Allow"
        }
    ]
}
```

------

**nota**  
Si necesita conectar su recurso compartido de archivos a un bucket de S3 a través de un punto de conexión de VPC, consulte [Políticas de punto de conexión para Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) en la *Guía del usuario de AWS PrivateLink *.

**nota**  
En el caso de los buckets cifrados, el recurso compartido de archivos debe usar la clave de la cuenta del bucket de S3 de destino.

**nota**  
***Si su puerta de enlace de archivos utiliza SSE-KMS o DSSE-KMS para el cifrado, asegúrese de que la función de IAM asociada al recurso compartido de archivos incluya los permisos *KMS:Encrypt, *KMS:Decrypt**, kms: \$1, kms: y kms:. ReEncrypt GenerateDataKey DescribeKey*** Para obtener más información, consulte [Uso de políticas basadas en identidad (políticas de IAM) para Storage Gateway](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html).

# Prevención de la sustitución confusa entre servicios
<a name="cross-service-confused-deputy-prevention"></a>

El problema de la sustitución confusa es un problema de seguridad en el que una entidad que no tiene permiso para realizar una acción puede obligar a una entidad con más privilegios a realizar la acción. En AWS, la suplantación de identidad entre servicios puede provocar un confuso problema de diputado. La suplantación entre servicios puede producirse cuando un servicio (el *servicio que lleva a cabo las llamadas*) llama a otro servicio (el *servicio al que se llama*). El servicio que lleva a cabo las llamadas se puedes manipular para utilizar sus permisos a fin de actuar en función de los recursos de otro cliente de una manera en la que no debe tener permiso para acceder. Para evitarlo, AWS proporciona herramientas que lo ayudan a proteger sus datos para todos los servicios con entidades principales de servicio a las que se les ha dado acceso a los recursos de su cuenta. 

Se recomienda utilizar las claves de contexto de condición [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)y las claves de contexto en las políticas de recursos para limitar los permisos que se AWS Storage Gateway otorgan a otro servicio al recurso. Si se utilizan ambas claves contextuales de condición global, el valor `aws:SourceAccount` y la cuenta del valor `aws:SourceArn` deben utilizar el mismo ID de cuenta cuando se utilicen en la misma declaración de política.

El valor de `aws:SourceArn` debe ser el ARN del Storage Gateway al que está asociado el recurso compartido de archivos.

La forma más eficaz de protegerse contra el problema de la sustitución confusa es utilizar la clave de contexto de condición global de `aws:SourceArn` con el ARN completo del recurso. Si no conoce el ARN completo del recurso o si especifica varios recursos, utiliza la clave de condición de contexto global `aws:SourceArn` con comodines (`*`) para las partes desconocidas del ARN. Por ejemplo, `arn:aws:servicename::123456789012:*`. 

El siguiente ejemplo muestra cómo se pueden utilizar las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` en Storage Gateway para prevenir el problema de suplente confuso.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
       "Sid": "ConfusedDeputyPreventionExamplePolicy",
       "Effect": "Allow",
       "Principal": {
         "Service": "storagegateway.amazonaws.com"
       },
       "Action": "sts:AssumeRole",
       "Condition": {
         "StringEquals": {
           "aws:SourceAccount": "444455556666"
         },
         "ArnLike": {
          "aws:SourceArn": "arn:aws:storagegateway:us-east-1:444455556666:gateway/sgw-123456DA"
        }
      }
    }
  ]  
}
```

------

# Uso de un recurso compartido de archivos para el acceso entre cuentas
<a name="cross-account-access"></a>

*El acceso entre cuentas* se realiza cuando a una cuenta de Amazon Web Services y a los usuarios de dicha cuenta se les concede acceso a recursos que pertenecen a otra cuenta de Amazon Web Services. Con las puertas de enlace de archivo, puede utilizar un recurso compartido de archivos de una cuenta de AWS para obtener acceso a los objetos de un bucket de Amazon S3 que pertenezca a otra cuenta de Amazon Web Services.

**Cómo utilizar un recurso compartido de archivos propiedad de una cuenta de Amazon Web Services para obtener acceso a un bucket de S3 de otra cuenta de Amazon Web Services**

1. Asegúrese de que el propietario del bucket de S3 le haya concedido a su cuenta de Amazon Web Services el acceso que necesita al bucket de S3 y a los objetos que este contiene. Si necesita un tutorial sobre cómo conceder este acceso, consulte [Ejemplo 2: propietario del bucket que concede permisos de bucket entre cuentas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) en la *Guía del usuario de Amazon Simple Storage Service*. Para obtener una lista de los permisos necesarios, consulte [Concesión de acceso a un bucket de Amazon S3](grant-access-s3.md).

1. Asegúrese de que el rol de IAM que utiliza el recurso compartido de archivos para obtener acceso al bucket de S3 incluya permisos para operaciones como `s3:GetObjectAcl` y `s3:PutObjectAcl`. Asegúrese también de que el rol de IAM incluya una política de confianza que permita a su cuenta para adoptar dicho rol. Para ver un ejemplo de esta política de confianza, consulte [Concesión de acceso a un bucket de Amazon S3](grant-access-s3.md).

   Si el recurso compartido de archivos utiliza un rol existente para obtener acceso al bucket de S3, se deben incluir permisos para las operaciones `s3:GetObjectAc`l y `s3:PutObjectAcl`. El rol también necesita una política de confianza que permita a su cuenta asumir este rol. Para ver un ejemplo de esta política de confianza, consulte [Concesión de acceso a un bucket de Amazon S3](grant-access-s3.md).

1. [Elija **los archivos Gateway a los que pueda acceder el propietario del bucket de S3** cuando cree su recurso compartido de archivos o edite la configuración de uso compartido de archivos en el https://console.aws.amazon.com/storagegateway/ hogar.](https://console.aws.amazon.com/storagegateway/)

Una vez que haya creado o actualizado el recurso compartido de archivos para el acceso entre cuentas y lo haya montado localmente, recomendamos encarecidamente que pruebe la configuración. Puede hacerlo mostrando el contenido del directorio o escribiendo archivos de prueba y asegurándose de que los archivos aparecen como objetos en el bucket de S3.

**importante**  
Asegúrese de configurar las políticas correctamente para conceder acceso entre cuentas a la cuenta utilizada por el recurso compartido de archivos. De lo contrario, las actualizaciones de archivos realizadas a través de su aplicaciones en las instalaciones no se propagarán al bucket de Amazon S3 con el que está trabajando.

## Recursos
<a name="related-topics-fileshare"></a>

Para obtener más información sobre políticas de acceso y listas de control de acceso, consulte los siguientes temas:

[Directrices para usar las opciones de política de acceso disponibles](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-policy-alternatives-guidelines.html) en la *Guía del usuario de Amazon Simple Storage Service*

[Información general sobre la lista de control de acceso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html) en la *Guía del usuario de Amazon Simple Storage Service*