¿Cómo se cambia la propiedad de los objetos de un bucket de Amazon S3 cuando estos se cargan desde otras cuentas de AWS?

Última actualización: 17/12/2021

Intento cambiar la propiedad de los objetos en un bucket de Amazon Simple Storage Service (Amazon S3) mediante S3 Object Ownership. ¿Cómo puedo hacerlo?

Descripción breve

Importante: Los objetos en S3 ya no son automáticamente propiedad de la cuenta de AWS que lo carga.

Con la configuración de Propietario del bucket aplicado en S3 Object Ownership, todos los objetos de un bucket de Amazon S3 ahora pueden pertenecer al propietario del bucket. La característica de Propietario del bucket aplicado también desactiva todas las listas de control de acceso (ACL), lo que simplifica la administración del acceso a los datos almacenados en S3.

De forma predeterminada, todos los buckets recién creados tienen habilitada la configuración de Propietario del bucket aplicado. Sin embargo, en el caso de los buckets existentes, los objetos de Amazon S3 aún son propiedad de la cuenta de AWS que los cargó, a menos que se desactiven explícitamente las ACL. Para cambiar la propiedad de los objetos en un bucket existente, consulte ¿Cómo se puede cambiar la propiedad de los objetos de propiedad pública en el bucket de S3?

Resolución

Cambie la propiedad de los objetos cargados por otras cuentas de AWS

Nota: Antes de utilizar S3 Object Ownership para cambiar la propiedad de los objetos de un bucket, asegúrese de tener acceso a la acción s3:PutBucketOwnershipControls. De lo contrario, no podrá ver quién le pertenecen los objetos de un bucket. Para obtener más información sobre los permisos de S3, consulte Acciones, recursos y claves de condiciones para Amazon S3.

Cambie la propiedad de los objetos de un bucket de Amazon S3 existente (desactivar las ACL)

Si intenta cambiar la propiedad de los objetos de un bucket de Amazon S3 existente, elija la opción ACL desactivadas en S3 Object Ownership. Esta opción permite al propietario del bucket tener un control total sobre todos los objetos del bucket de S3 y transfiere la propiedad a la cuenta del propietario del bucket.

Utilizar esta opción ya no afecta a los permisos de acceso a los datos del bucket de S3. Más bien, esta opción cambia la propiedad de todos los objetos en el bucket, incluidos los objetos que existen y cualquier objeto que se agregue después de establecer la opción de ACL desactivadas. Para definir el control de acceso, utilice una política de bucket.

Nota: Si las ACL existentes conceden acceso a una cuenta externa de AWS o a cualquier otro grupo, la configuración Propietario del bucket aplicado no funciona. Para aplicar la configuración Propietario del bucket aplicado, la ACL del bucket debe otorgar control total únicamente al propietario del bucket. Antes de habilitar la configuración Propietario del bucket aplicado, consulte Requisitos previos para desactivar las ACL.

Conceder acceso a objetos cargados por otras cuentas de AWS (habilitar las ACL)

En la lista de ACL habilitadas, elija la opción Preferida por el propietario del bucket en S3 Object Ownership. Cualquier objeto nuevo que se cargue en este bucket pertenecerá al propietario del bucket con la ACL predeterminada bucket-owner-full-control. Sin embargo, la configuraciónPreferida por el propietario del bucket no afecta a la propiedad de los objetos existentes. Para obtener más información sobre la configuración Preferida por el propietario del bucket y las ACL, consulteAplicar la propiedad de los objetos de Amazon S3 en un entorno de varias cuentas.

Cambiar la propiedad del objeto a la cuenta de AWS que lo cargó (habilitar las ACL)

Para transferir la propiedad del objeto a la cuenta de AWS que lo cargó, habilite la opción Escritor de objetos en S3 Object Ownership. Esta opción garantiza que el objeto pertenezca a la cuenta de AWS que lo cargó. De este modo, el propietario del objeto ejerce el control total sobre el objeto y puede conceder a otros usuarios acceso a este mediante ACL.