Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Políticas de Amazon S3
Las políticas de Amazon S3 le permiten gestionar de forma centralizada las configuraciones de los recursos de Amazon S3 a escala en todas las cuentas de una organización. En la actualidad, las políticas de Amazon S3 admiten ajustes para bloquear el acceso público.
Puede usar una política de Amazon S3 para especificar si desea habilitar o deshabilitar las cuatro configuraciones de bloqueo de acceso público, y esa especificación se aplicará a todos los recursos de Amazon S3 de las cuentas seleccionadas. Puede utilizar la configuración de bloqueo de acceso público en una política de Amazon S3 para aplicar una postura de seguridad coherente en toda su organización y eliminar la sobrecarga operativa que supone gestionar las configuraciones de cuentas individuales.
## Funcionamiento
Cuando adjuntas una política de Amazon S3 a una entidad organizativa, esta define la configuración que se aplica a todos los recursos de Amazon S3 de las cuentas incluidas en ese ámbito. Estas configuraciones anulan la configuración a nivel de cuenta, lo que le permite gestionar de forma centralizada la configuración de Amazon S3.
Las políticas de Amazon S3 se pueden aplicar a toda la organización, a unidades organizativas (OUs) o a cuentas individuales. Las cuentas que se unan a una organización heredarán automáticamente cualquier política de Amazon S3 en función de su ubicación en la jerarquía de la organización.
Comportamiento de desvinculación: si se separa una política de Amazon S3, las cuentas vuelven automáticamente a su configuración anterior a nivel de cuenta. Amazon S3 conserva la configuración original a nivel de cuenta para permitir una restauración sin problemas.
## Características principales de
+ Control unificado: los cuatro ajustes de acceso público en bloque (BlockPublicAcls, BlockPublicPolicy, IgnorePublicAcls, RestrictPublicBuckets) se controlan juntos como una única configuración
+ Herencia automática: las cuentas nuevas heredan automáticamente las políticas en función de su ubicación organizacional
+ Protección de anulación: evita las modificaciones a nivel de cuenta cuando las políticas de la organización están activas
+ Restauración perfecta: la configuración original de la cuenta se conserva y restaura cuando se desvinculan las políticas
## Requisitos previos
Antes de usar las políticas de Amazon S3, asegúrese de tener:
+ Una AWS organización en el modo de todas las funciones
+ Permisos para administrar AWS las políticas de Organizations (organizaciones: CreatePolicyAttachPolicy, organizaciones:, etc.)
+ El tipo de política de Amazon S3 habilitado para su organización
# Prácticas recomendadas para el uso de las políticas de Amazon S3
Al implementar las políticas de Amazon S3 en su organización, seguir las mejores prácticas establecidas ayuda a garantizar una implementación y un mantenimiento satisfactorios.
## Comience de forma sencilla y haga pequeños cambios
Para simplificar la depuración, comience con políticas sencillas y realice cambios de un elemento cada vez. Valide el comportamiento y el impacto de cada cambio antes de realizar el siguiente cambio. Este abordaje reduce el número de variables que tiene que tener en cuenta cuando se produce un error o un resultado inesperado.
## Establezca procesos de revisión
Implemente procesos para monitorear los nuevos atributos de las políticas, evaluar las excepciones a las políticas y realizar ajustes para mantener la alineación con los requisitos operativos y de seguridad de su organización.
## Valide los cambios en sus políticas de Amazon S3 mediante DescribeEffectivePolicy
Tras realizar un cambio en una política de Amazon S3, compruebe las políticas vigentes para las cuentas representativas por debajo del nivel en el que realizó el cambio. Puede ver la política vigente mediante la consola de AWS administración o mediante la operación de DescribeEffectivePolicy API o una de sus variantes de AWS CLI o AWS SDK. Asegúrese de que el cambio que ha realizado haya tenido el impacto previsto en la política en vigor.
## Comunique y capacite
Asegúrese de que su organización comprenda el propósito y el impacto de sus políticas. Brinde una orientación clara sobre los comportamientos esperados y sobre cómo gestionar los errores generados por la aplicación de las políticas.
## Planifique las necesidades legítimas de acceso público
Antes de implementar políticas a nivel de organización, identifique las cuentas que requieren depósitos públicos de Amazon S3 para fines comerciales legítimos (como el alojamiento de sitios web estáticos). Considere la posibilidad de utilizar un adjunto de política a nivel de unidad organizativa o de cuenta para excluir estas cuentas o consolidar las necesidades de los grupos públicos en cuentas dedicadas.
## Supervisa la aplicación de las políticas
Se utiliza AWS CloudTrail para supervisar las medidas de aplicación y aplicación de las políticas. Configure EventBridge reglas para automatizar las respuestas a las infracciones o cambios de las políticas.
# Sintaxis y ejemplos de políticas de Amazon S3
Una política de Amazon S3 es un archivo de texto sin formato que se estructura de acuerdo con las reglas de [JSON](http://json.org). La sintaxis de las políticas de Amazon S3 sigue la sintaxis de todos los tipos de políticas de administración. Para obtener más información, consulte [Descripción de la herencia de políticas de administración](orgs_manage_policies_inheritance_mgmt.md). Este tema se centra en aplicar esa sintaxis general a los requisitos específicos de las políticas de Amazon S3 y a la configuración de bloqueo de acceso público que ayudan a gestionar.
El siguiente ejemplo de política de Amazon S3 muestra la sintaxis básica de la política:
```
{
"s3_attributes": {
"public_access_block_configuration": {
"@@assign": "all"
}
}
}
```
## La sintaxis de la política de Amazon S3 incluye los siguientes elementos
`s3_attributes`
La clave de nivel superior para la configuración de políticas de Amazon S3.
`public_access_block_configuration`
Define el comportamiento de bloquear el acceso público de la organización.
`@@assign`
El operador de asignación que acepta uno de estos dos valores:
+ `"all"`- Habilita las cuatro configuraciones de Amazon S3 Block Public Access a nivel de la organización
+ `"none"`- Desactiva el control a nivel de la organización, lo que permite a las cuentas individuales gestionar su propia configuración de bloqueo del acceso público
Amazon S3 Block Public Access tiene cuatro configuraciones que controlan el acceso público:
1. **BlockPublicAcls**- Amazon S3 bloqueará los permisos de acceso público aplicados a los buckets u objetos recién agregados e impedirá la creación de nuevas listas de control de acceso público (ACLs) para los buckets y objetos existentes. Esta configuración no cambia ningún permiso existente que permita el acceso público a los recursos de Amazon S3 que se utilizan ACLs.
1. **BlockPublicPolicy**- Amazon S3 bloqueará las nuevas políticas de depósitos y puntos de acceso que concedan acceso público a depósitos y objetos. Esta configuración no modifica ninguna política existente que permita el acceso público a los recursos de Amazon S3.
1. **IgnorePublicAcls**- Amazon S3 ignorará todo lo ACLs que permita el acceso público a los depósitos y objetos.
1. **RestrictPublicBuckets**- Amazon S3 ignorará el acceso público y entre cuentas a los depósitos o puntos de acceso con políticas que concedan el acceso público a los depósitos y objetos.
Si lo configura `@@assign``"all"`, las cuatro configuraciones se consolidan y habilitan a nivel de la organización, lo que proporciona una protección integral contra el acceso público en todas las cuentas de la organización.