Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Permitir a EC2 las instancias el acceso de escritura a los buckets de S3 en las cuentas de AMS
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts"></a>

*Mansi Suratwala, Amazon Web Services*

## Resumen
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-summary"></a>

AWS Managed Services (AMS) le ayuda a operar su AWS infraestructura de manera más eficiente y segura. Las cuentas AMS tienen barreras de seguridad para una administración estandarizada de sus AWS recursos. Una barrera es que los perfiles de instancia predeterminados de Amazon Elastic Compute Cloud EC2 (Amazon) no permiten el acceso de escritura a los buckets de Amazon Simple Storage Service (Amazon S3). Sin embargo, es posible que su organización tenga varios buckets de S3 y necesite un mayor control sobre el acceso por parte de las instancias. EC2 Por ejemplo, es posible que desee almacenar las copias de seguridad de las bases de datos de EC2 las instancias en un depósito de S3.

Este patrón explica cómo usar las solicitudes de cambio (RFCs) para permitir que tus EC2 instancias tengan acceso de escritura a los buckets de S3 de tu cuenta de AMS. Una RFC es una solicitud creada por el interesado o por AMS para realizar un cambio en el entorno administrado y que incluye un identificador de [tipo de cambio](https://docs.aws.amazon.com/managedservices/latest/ctref/classifications.html) (CT) para una operación concreta.

## Requisitos previos y limitaciones
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-prereqs"></a>

**Requisitos previos **
+ Una cuenta de AMS Advanced. Para obtener más información al respecto, consulte los [planes de operaciones de AMS](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/what-is-ams-op-plans.html) en la documentación de AMS. 
+ Acceso al `customer-mc-user-role` rol AWS Identity and Access Management (IAM) que se va a enviar. RFCs 
+ AWS Command Line Interface (AWS CLI), instalado y configurado con las EC2 instancias de su cuenta AMS. 
+ Comprensión de cómo crear y enviar RFCs en AMS. Para más información, consulte [What are AMS change types?](https://docs.aws.amazon.com/managedservices/latest/ctref/what-are-change-types.html) (¿Qué son los tipos de cambio de AMS?) en la documentación de AMS.
+ Comprensión de los tipos de cambios manuales y automatizados (CTs). Para obtener más información al respecto, consulte [Automatizado y manual CTs](https://docs.aws.amazon.com/managedservices/latest/userguide/ug-automated-or-manual.html) en la documentación de AMS.

## Arquitectura
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-architecture"></a>

**Pila de tecnología**
+ AMS
+ AWS CLI
+ Amazon EC2
+ Amazon S3
+ IAM

## Tools (Herramientas)
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-tools"></a>
+ [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html) es una herramienta de código abierto que te ayuda a interactuar Servicios de AWS mediante comandos en tu consola de línea de comandos.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.
+ [AWS Managed Services (AMS)](https://docs.aws.amazon.com/managedservices/latest/userguide/what-is-ams.html) le ayuda a operar su infraestructura de AWS de forma más eficiente y segura. 
+ [Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) es un servicio de almacenamiento de objetos basado en la nube que lo ayuda a almacenar, proteger y recuperar cualquier cantidad de datos.
+ [Amazon Elastic Compute Cloud (Amazon EC2)](https://docs.aws.amazon.com/ec2/) proporciona una capacidad informática escalable en el Nube de AWS. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez.

## Epics
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-epics"></a>

### Creación de un bucket de S3 con una RFC
<a name="create-an-s3-bucket-with-an-rfc"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Cree un bucket de S3 mediante una RFC automatizada. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/patterns/allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts.html)Asegúrese de registrar el nombre del bucket de S3. | Administrador de sistemas de AWS, desarrollador de AWS | 

### Cree un perfil de instancia de IAM y asócielo a las instancias EC2
<a name="create-an-iam-instance-profile-and-associate-it-with-the-ec2-instances"></a>


| Tarea | Descripción | Habilidades requeridas | 
| --- | --- | --- | 
| Envíe una RFC manual para crear un rol de IAM. | Cuando se incorpora una cuenta de AMS, se crea un perfil de instancia de IAM predeterminado denominado y `customer-mc-ec2-instance-profile` se asocia a cada EC2 instancia de su cuenta de AMS. Sin embargo, el perfil de instancia no tiene permisos de escritura en los buckets de S3.Para añadir los permisos de escritura, envíe la RFC manual **Create IAM Resource** (Crear recurso de IAM) para crear un rol de IAM que tenga las tres políticas `customer_ec2_instance_`, `customer_deny_policy` y `customer_ec2_s3_integration_policy`. Las políticas `customer_ec2_instance_` y `customer_deny_policy` ya existen en su cuenta de AMS. Sin embargo, debe crear `customer_ec2_s3_integration_policy` mediante el ejemplo de política siguiente:<pre>{<br />  "Version": "2012-10-17",		 	 	 <br />   "Statement": [<br />    {<br />      "Sid": "",<br />       "Effect": "Allow",<br />       "Principal": {<br />         "Service": "ec2.amazonaws.com"<br />      },<br />       "Action": "sts:AssumeRole"<br />    }<br />  ]<br />}<br /> <br />Role Permissions:<br />{<br />     "Version": "2012-10-17",		 	 	 <br />     "Statement": [<br />        {<br />             "Action": [<br />                 "s3:ListBucket",<br />                 "s3:GetBucketLocation"<br />            ],<br />             "Resource": "arn:aws:s3:::",<br />             "Effect": "Allow"<br />        },<br />        {<br />             "Action": [<br />                 "s3:GetObject",<br />                 "s3:PutObject",<br />                 "s3:ListMultipartUploadParts",<br />                 "s3:AbortMultipartUpload"<br />            ],<br />             "Resource": "arn:aws:s3:::/*",<br />             "Effect": "Allow"<br />        }<br />    ]<br />}</pre> | Administrador de sistemas de AWS, desarrollador de AWS | 
| Envíe una RFC manual para reemplazar el perfil de instancia de IAM. | Envíe una RFC manual para asociar las EC2 instancias de destino al nuevo perfil de instancia de IAM. | Administrador de sistemas de AWS, desarrollador de AWS | 
| Pruebe una operación de copia en el bucket de S3. | Pruebe una operación de copia en el bucket de S3; para ello, ejecute el comando siguiente en la AWS CLI:<pre>aws s3 cp test.txt s3://<S3 bucket>/test2.txt</pre> | Administrador de sistemas de AWS, desarrollador de AWS | 

## Recursos relacionados
<a name="allow-ec2-instances-write-access-to-s3-buckets-in-ams-accounts-resources"></a>
+ [Cree un perfil de instancia de IAM para sus instancias de Amazon EC2 ](https://docs.aws.amazon.com/codedeploy/latest/userguide/getting-started-create-iam-instance-profile.html)
+ [Crear un bucket de S3 (mediante la consola Amazon S3 AWS SDKs, o AWS CLI)](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/create-bucket.html)