Configuración de credenciales temporales o un ARN de rol para Amazon S3

En lugar de añadir otro usuario de IAM a su cuenta de Amazon S3, puede otorgarles acceso con credenciales de seguridad temporales y una señal de sesión. O bien, puede crear un ARN de rol (Nombre de recurso de Amazon) y luego otorgar permiso a ese rol para acceder a la cuenta. A continuación, el usuario de confianza puede utilizar el rol.

Puede asignar políticas de rol a las credenciales temporales para limitar los permisos. Por ejemplo, puede asignar acceso de solo lectura o acceso a un determinado grupo de S3 .

Requisito previo: Debe ser el propietario del IAM de la cuenta de Amazon S3.

Puede configurar una de las siguientes combinaciones de autenticación:

  • Clave de acceso, Clave secreta y Señal de sesión
  • Clave de acceso, Clave secreta, ARN de rol, Nombre de sesión de rol y opcional Segundos de duración
  • Clave de acceso, Clave secreta, ARN de rol, Nombre de sesión de rol, ID externo y opcional Segundos de duración

Clave de acceso, clave secreta y señal de sesión

Utilice las operaciones AWS Security Token Service (AWS STS) en la API AWS para obtener credenciales de seguridad temporales. Estas credenciales constan de una clave de acceso, una clave secreta y una señal de sesión que caduca dentro de un intervalo de tiempo que puede configurar. Para obtener instrucciones, consulte la documentación de AWS: Solicitud de credenciales de seguridad temporales.

Clave de acceso, clave secreta, ARN de rol, nombre de sesión de rol y segundos de duración opcional

Si otra persona tiene su propia cuenta de S3, puede crear un rol temporal para que esa persona acceda a su cuenta de S3. Cree el rol con la consola de gestión de AWS o la CLI de AWS. Véase Creación de un rol para delegar permisos en un usuario de IAM

El ARN de rol es el nombre de recurso de Amazon para el rol de conexión.
El Nombre de sesión de rol identifica la sesión a los administradores de S3. Por ejemplo, el nombre de usuario de IAM.
El parámetro Segundos de duración es opcional. El mínimo es de 15 minutos. El máximo es de 36 horas, el valor predeterminado es de 1 hora. El temporizador de segundos de duración se inicia cada vez que se establece la conexión.

A continuación, proporcione valores para Clave de acceso, Clave secreta, ARN de rol, Nombre de sesión de rol y opcional Segundos de duración al usuario que creará la conexión.

Clave de acceso, clave secreta, ARN de rol, nombre de sesión de rol, ID externo y segundos de duración opcional

Si otra persona tiene su propia cuenta de S3, puede crear un rol temporal para que esa persona acceda a su cuenta de S3. Con esta combinación, ID externo es una serie exclusiva que se especifica y que el usuario debe especificar para la seguridad adicional. En primer lugar, cree el rol con la consola de gestión de AWS o la CLI de AWS. Véase Creación de un rol para delegar permisos en un usuario de IAM. Para crear el ID externo, consulte Cómo utilizar un ID externo al otorgar acceso a los recursos AWS a un tercero.

A continuación, proporcione los valores de Clave de acceso, Clave secreta, ARN de rol, Nombre de sesión de rol, ID externo y opcional Segundos de duración al usuario que creará la conexión.

Más información

Nombres de recursos de Amazon (ARN)

Tema principal: Conexión de Amazon S3