As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Conceder acesso e permissões para compartilhamentos de arquivos e buckets
Depois que seu S3 File Gateway estiver ativado e em execução, você poderá adicionar compartilhamentos de arquivos adicionais e conceder acesso aos buckets do Amazon S3, incluindo buckets Contas da AWS diferentes dos seus gateways e compartilhamentos de arquivos. As seções a seguir descrevem como usar perfis do IAM para fornecer ao gateway permissões de acesso a buckets do Amazon S3 e endpoints da VPC, evitar certos problemas de segurança e conectar compartilhamentos de arquivos a buckets entre Contas da AWS.
Para obter informações sobre como criar um compartilhamento de arquivos, consulte [Criar um compartilhamento de arquivos](GettingStartedCreateFileShare.md).
Esta seção contém os seguintes tópicos, que fornecem informações adicionais sobre como conceder acesso e permissões para compartilhamentos de arquivos e buckets do Amazon S3:
**Tópicos**
+ [Conceder acesso a um bucket do Amazon S3](grant-access-s3.md): aprenda a conceder acesso para um Gateway de Arquivos fazer upload de arquivos em um bucket do Amazon S3 e realizar ações em qualquer ponto de acesso ou endpoint do Amazon Virtual Private Cloud (Amazon VPC) que ele usa para se conectar ao bucket.
+ [Prevenção contra o ataque do “substituto confuso” em todos os serviços](cross-service-confused-deputy-prevention.md): aprenda a evitar um problema de segurança comum em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação.
+ [Usar um compartilhamento de arquivos para acesso entre contas](cross-account-access.md): aprenda a conceder acesso para uma conta da Amazon Web Services e para os usuários dessa conta acessarem recursos que pertencem a outra conta da Amazon Web Services.
# Conceder acesso a um bucket do Amazon S3
Quando você cria um compartilhamento de arquivos, o Gateway de Arquivos precisa de acesso para fazer upload de arquivos no bucket do Amazon S3 e para realizar ações em quaisquer pontos de acesso ou endpoints da nuvem privada virtual (VPC) que ele usa para se conectar ao bucket. Para conceder esse acesso, seu File Gateway assume uma função AWS Identity and Access Management (IAM) associada a uma política do IAM que concede esse acesso.
A função exige essa política do IAM e um relacionamento de confiança do serviço de token de segurança (STS) para ela. A política determina quais ações a função pode realizar. Além disso, o bucket do S3 e todos os pontos de acesso ou endpoints da VPC associados devem ter uma política de acesso que permita que o perfil do IAM os acesse.
Você pode criar o perfil e a política de acesso por conta própria, ou o Gateway de Arquivos pode criá-los para você. Se o Gateway de Arquivos criar a política para você, ela terá uma lista de ações do S3. Para obter informações sobre perfis e permissões, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do usuário do IAM*.
O exemplo de política de confiança a seguir permite que o Gateway de Arquivos assuma um perfil do IAM.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "storagegateway.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**Importante**
O Storage Gateway pode assumir perfis de serviço existentes que são passados usando a ação de política `iam:PassRole`, mas não oferece suporte às políticas do IAM que usam a chave de contexto `iam:PassedToService` para limitar a ação a serviços específicos.
Para saber mais, consulte os seguintes tópicos no *Manual do usuário do AWS Identity and Access Management *:
[IAM: passe uma função do IAM para um AWS serviço específico](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_iam-passrole-service.html)
[Conceder permissões a um usuário para passar uma função para um serviço AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_passrole.html)
[Chaves disponíveis para IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_iam-condition-keys.html#ck_PassedToService)
Se não quiser que o Gateway de Arquivos crie uma política em seu nome, você pode criar sua própria política e anexá-la ao compartilhamento de arquivos. Para obter mais informações sobre como fazer isso, consulte [Criar um compartilhamento de arquivos](GettingStartedCreateFileShare.md).
O exemplo de política a seguir permite que o Gateway de Arquivos realize todas as ações do Amazon S3 listadas na política. A primeira parte da declaração permite que todas as ações listadas sejam executadas no bucket do S3 chamado `amzn-s3-demo-bucket`. A segunda parte permite as ações listadas em todos os objetos no `amzn-s3-demo-bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:GetAccelerateConfiguration",
"s3:GetBucketLocation",
"s3:GetBucketVersioning",
"s3:ListBucket",
"s3:ListBucketVersions",
"s3:ListBucketMultipartUploads"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Effect": "Allow"
},
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Effect": "Allow"
}
]
}
```
------
O exemplo de política a seguir é semelhante ao anterior, mas permite que o Gateway de Arquivos execute as ações necessárias para acessar um bucket por meio de um ponto de acesso.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectVersion",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl"
],
"Resource": "arn:aws:s3:us-east-1:111122223333:accesspoint/TestAccessPointName/*",
"Effect": "Allow"
}
]
}
```
------
**nota**
Se você precisar conectar o compartilhamento de arquivos a um bucket do S3 por meio de um endpoint da VPC, consulte [Políticas de endpoint para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) no *Guia do usuário do AWS PrivateLink *.
**nota**
Para buckets criptografados, o compartilhamento de arquivos deve usar a chave na conta do bucket do S3 de destino.
**nota**
***Se o seu gateway de arquivos usa SSE-KMS ou DSSE-KMS para criptografia, certifique-se de que a função do IAM associada ao compartilhamento de arquivos inclua as permissões *kms:encrypt, kms:decrypt, kms: \$1**, kms:* e kms:. ReEncrypt GenerateDataKey DescribeKey*** Para acessar mais informações, consulte [Usar políticas baseadas em identidade (políticas do IAM) para o Storage Gateway](https://docs.aws.amazon.com/filegateway/latest/files3/using-identity-based-policies.html).
# Prevenção contra o ataque do “substituto confuso” em todos os serviços
O problema "confused deputy" é um problema de segurança em que uma entidade que não tem permissão para executar uma ação pode coagir uma entidade mais privilegiada a executar a ação. Em AWS, a falsificação de identidade entre serviços pode resultar no problema confuso do deputado. A personificação entre serviços pode ocorrer quando um serviço (o *serviço de chamada*) chama outro serviço (o *serviço chamado*). O serviço de chamada pode ser manipulado de modo a usar suas permissões para atuar nos recursos de outro cliente de uma forma na qual ele não deveria ter permissão para acessar. Para evitar isso, a AWS fornece ferramentas que ajudam você a proteger seus dados para todos os serviços com entidades principais de serviço que receberam acesso aos recursos em sua conta.
Recomendamos usar as chaves de contexto de condição [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e as chaves de contexto nas políticas de recursos para limitar as permissões que AWS Storage Gateway concedem outro serviço ao recurso. Se você utilizar ambas as chaves de contexto de condição global, o valor `aws:SourceAccount` e a conta `aws:SourceArn` no valor deverão utilizar o mesmo ID de conta quando utilizados na mesma instrução de política.
O valor de `aws:SourceArn` deve ser o ARN do Storage Gateway ao qual o compartilhamento de arquivos está associado.
A maneira mais eficaz de se proteger do problema ‘confused deputy’ é usar a chave de contexto de condição global `aws:SourceArn` com o ARN completo do recurso. Se você não souber o ARN completo do recurso ou se especificar vários recursos, use a chave de condição de contexto global `aws:SourceArn` com curingas (`*`) para as partes desconhecidas do ARN. Por exemplo, .`arn:aws:servicename::123456789012:*`
O exemplo a seguir mostra como você pode usar as chaves de contexto de condição global `aws:SourceArn` e `aws:SourceAccount` no Storage Gateway para evitar o problema de “confused deputy” (representante enganado).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "storagegateway.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "444455556666"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:storagegateway:us-east-1:444455556666:gateway/sgw-123456DA"
}
}
}
]
}
```
------
# Usar um compartilhamento de arquivos para acesso entre contas
O acesso *entre contas* é quando uma conta da Amazon Web Services e os usuários dela recebem acesso a recursos que pertencem a outra conta da Amazon Web Services. Com os Gateways de Arquivos, você pode usar um compartilhamento de arquivos em uma conta da Amazon Web Services para acessar objetos em um bucket do Amazon S3 que pertence a outra conta da Amazon Web Services.
**Como usar um compartilhamento de arquivos pertencente a uma conta da Amazon Web Services para acessar um bucket do S3 em outra conta da Amazon Web Services**
1. Verifique se o proprietário do bucket do S3 concedeu à conta da Amazon Web Services acesso ao bucket do S3 que você precisa acessar e aos objetos desse bucket. Para obter informações sobre como conceder esse acesso, consulte [Exemplo 2: Proprietário do bucket concedendo permissões de bucket entre contas](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example2.html) no *Guia do usuário do Amazon Simple Storage Service*. Para obter uma lista das permissões necessárias, consulte [Conceder acesso a um bucket do Amazon S3](grant-access-s3.md).
1. Verifique se a função do IAM usada por seu compartilhamento de arquivos para acessar o bucket do S3 inclui as permissões de operações como `s3:GetObjectAcl` e `s3:PutObjectAcl`. Além disso, certifique-se de que a função do IAM inclui uma política de confiança que permite que a sua conta assuma essa função do IAM. Para um exemplo de uma política de confiança desse tipo, consulte [Conceder acesso a um bucket do Amazon S3](grant-access-s3.md).
Se seu compartilhamento de arquivo usar uma função existente para acessar o bucket do S3, você deve incluir permissões para operações `s3:GetObjectAc`l e `s3:PutObjectAcl`. Uma função também precisa de uma política de confiança que permita à sua conta assumir essa função. Para um exemplo de uma política de confiança desse tipo, consulte [Conceder acesso a um bucket do Amazon S3](grant-access-s3.md).
1. [Escolha **arquivos do Gateway acessíveis ao proprietário do bucket do S3** ao criar seu compartilhamento de arquivos ou editar as configurações de compartilhamento de arquivos em casa. https://console.aws.amazon.com/storagegateway/](https://console.aws.amazon.com/storagegateway/)
Após criar ou atualizar seu compartilhamento de arquivos para acesso entre contas e montá-lo no local, é altamente recomendável testar sua configuração. Isso pode ser feito indicando o conteúdo do diretório ou gravando arquivos de teste e garantindo que os arquivos sejam exibidos como objetos no bucket do S3.
**Importante**
Certifique-se de configurar as políticas corretamente para conceder o acesso entre contas para a conta usada por seu compartilhamento de arquivos. Se não fizer isso, as atualizações nos arquivos por meio de aplicações on-premises não serão propagadas para o bucket do Amazon S3 em que você está trabalhando.
## Recursos
Para obter mais informações sobre políticas de acesso e listas de controle de acesso, consulte:
[Diretrizes para usar as opções de política de acesso disponíveis](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-policy-alternatives-guidelines.html) no *Guia do usuário do Amazon Simple Storage Service*
[Visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/dev/acl-overview.html) no *Guia do usuário do Amazon Simple Storage Service*