Table of Contents
ekb1289
1.Objetivo
Documentar el uso del almacenamiento por objetos S3 proporcionado por el servicio de Ebunti.
2.Alcance
Realizar la conexión de S3 a través de distintas herramientas en un sistema operativo Windows y Linux, así como el manejo del portal de objetos almacenados de Ebunti proporcionado al cliente para el manejo de S3.
3.Audiencia
- Administradores del servicio S3 de Ebunti
- Administradores de servidores Windows
- Administradores de servidores Linux
4.Glosarío
Bucket: Contenedor de objetos almacenados en S3 el cual se crea en una región especifica.
Objetos: Entidades o archivos almacenados en buckets.
S3: Simple Storage Services, es el servicio utilizado para el almacenamiento de objetos en la nube.
ARN: Amazon resources Name, Los nombres de recursos de Amazon, identifican de forma exclusiva los recursos.
Endpoint: Es una URL de una API o backend que se encarga de contestar a una petición.
Región S3: Es un área geográfica separada que te permite colocar tus datos más cerca de un usuario final, una ubicación se compone de regiones.
Tenant: Entidad o cliente que utiliza los servicios de un proveedor de servicios en la nube.
Power shell: Solución de automatización de tareas multiplataforma formada por un-Shell de línea de comandos, un lenguaje de scripting y un marco de administración de configuración.
CMD: Es una forma abreviada de la palabra comando que significa Command Prompt, se encuentra en los sistemas Windows y su propósito es permitirle introducir comandos utilizando una sintaxis especial.
JSON: JavaScript Object Notation, es un formato de intercambio de datos, se puede utilizar en programas de JavaScript sin necesidad de analizar o serializar.
5. Procedimientos
Requerimientos mínimos
- Servicio S3 Ebunti
-
Servidor Windows o servidor linux
Datos indispensables para realizar la conexión en S3
- Access Key
- Secret key
- Endpoint
Vclound Object Storage
Portal de Almacenamiento para objetos S3
El acceso a la administración de almacenamiento S3 en Ebunti se realiza mediante Object Storage de Vcloud director al cual se puede entrar mediante la url que se proporcionara por parte de Ebunti (ingresamos la url para acceso).
Por ejemplo: https://vcloud.drpmexico.com/tenant/DRPMexicoS3
Donde DRPMexicoS3 es el nombre de su organización.
a) Al entrar al portal vamos a ver en la parte superior la opción de “More”, la seleccionamos.
b) Seleccionamos la opción “Object Storage”.
c) Al seleccionarla se nos envía al portal de administración de almacenamiento por objetos S3.
Dashboard
Se muestra al inicio una pantalla con un resumen de distintos elementos que nos sirven para llevar un control de lo que se ha realizado en el ambiente de S3, en la parte superior vamos a ver distintos iconos que nos indican que tenemos un sitio (1) con una organización (2) la cual corresponde a una región MX (3) y la cantidad de Buckets (4) que tenemos y cuantos objetos en total tenemos en todos los buckes (5), finalmente la cantidad de storage que tenemos en Bytes utilizados(6).
En la sección de “Associated Organizations” podemos visualizar el número de buckets (7) que se han creado, el número de objetos almacenados (8), la cantidad de espacio en Bytes(9) que se han utilizado y el número de usuarios (10) que se han creado.
Buckets
En la sección de buckets veremos una pantalla con varios iconos, esta sección es donde veremos los buckets que tenemos creados y compartidos para nuestro usuario.
Primera pantalla de inicio si no hemos creado algún bucket en nuestro usuario.
Crear un Bucket
Si es la primera vez que vamos a generar un bucket, seleccionamos el botón “Get Stated” que se encuentra en la parte inferior de los iconos.
Al dar clic veremos la sección para crear un bucket, nos va a solicitar la región, la dejamos por default “mx (local)” y el nombre del bucket, el nombre del bucket debe de ir en minúsculas, de lo contrario nos va a marcar error.
La opción de “Activate Versioning” es si queremos que los objetos en nuestro bucket estén versionados, esto queda a criterio del cliente. Damos clic en “Save” para guardar nuestro bucket.
Una vez creado un bucket veremos los buckets que tenemos en nuestro usuario.
* Nota: Si deseamos eliminar un bucket, primero debe estar vacío, de lo contrario la opción de eliminar no nos aparecerá disponible.
* Nota: El nombre del bucket es único por región, por lo que se recomienda el nombre del bucket se coloque con el nombre de la organización, seguido de un “-“ y el nombre del bucket, por ejemplo:
Drpmexico-documentos
Security Credentials
Para brindar acceso a nuestro usuario a los buckets que hemos creado se maneja una autentificación a través de un Access key y un Secret key, ambos elementos son necesarios generarlos para poder compartirlos a nuestros usuarios para que acceden a un bucket.
En la pantalla de la sección de “Security Credentials” se observará una llave de acceso que es creada por default para la integración de nuestro ambiente S3 y VCloud, esta llave no se puede eliminar y se recomienda no usarla y generar una nueva.
En la parte superior vamos a ver dos secciones, la primera llamada “User Credentials (1)” en donde vamos a poder generar llaves de acceso para nuestro usuario, la segunda sección “Application Credentials (2)” podemos generar llaves de acceso, pero clasificarlas por algún tipo de aplicación o uso especifico.
Es importante mencionar, que tanto las credenciales de usuario y aplicación tendrán el mismo acceso al usuario con la que se crearon, por lo que donde se generen las llaves de acceso queda a criterio del cliente.
Generar una Credencial de Usuario
Seleccionamos el botón de “Create” y abre una ventana que nos pregunta el “Storage User”, seleccionamos nuestro usuario y se va a generar una llave de acceso al dar clic en el botón “Create”; Si deseamos eliminarla, primero tenemos que desactivarla y posterior a esto eliminarla.
Generar una llave de acceso para una Aplicación
Seleccionamos la pestaña de “Application Credentials”.
Damos clic en el botón “Create”.
Se despliega un formulario que nos pregunta el nombre de nuestra aplicación, colocamos el que deseamos tener y el usuario que vamos a aplicar dicha llave de acceso, seleccionamos nuestro usuario, finalmente dos opciones, la primera “Apply to credential to all buckets” es para que apliquemos esta llave de acceso a todos los buckets que generemos con nuestro usuario.
La segunda opción “Apply the credential to selected buckets” es para que seleccionemos las llaves de acceso a buckets en específico que creamos con nuestro usuario, seleccionamos los buckets y en región seleccionamos mx.
Nota: Los buckets compartidos por otros usuarios no se verán desplegados en esta sección, sin embargo, los permisos de acceso son controlados en la sección de permisos del bucket por lo que no seleccionar el bucket para la llave de acceso no afectara con el acceso al bucket.
Al crearla veremos la llave de acceso de la aplicación de la siguiente manera:
Users
En la sección de usuario únicamente visualizamos los usuarios que tenemos creados para el acceso de los buckets.
Generar de un Usuario
Para generar un usuario, tenemos que generarlo desde nuestro Tenant en la sección de usuarios, damos clic en la imagen “DRPMexico VMWare” si estamos en el portal de almacenamiento de objetos.
Ya en nuestro tenant seleccionamos la opción de “Administration”.
Dentro de la sección de Administración seleccionamos “Usuarios”.
Damos clic en la palabra “New”.
Se abre un formulario donde llenamos los siguientes datos:
- User name: Nombre del usuario a crear.
- Password: Password que tendrá el usuario para entrar a la sección de almacenamiento de objetos.
- Confirm password: Repetimos el password anterior mente colocado.
- Role: Seleccionamos el rol llamado “S3”, esto es importante ya que este rol solo está limitado para que el usuario pueda solo entrar al almacenamiento de objetos y no ha otro lado.
Los campos de la sección de contacto son opcionales por si se desean llenar por el cliente.
Al crearlo lo veremos en la sección de usuario de nuestro Tenant y en el portal de almacenamiento de objetos en la sección de usuarios.
De igual manera que se crearon los usuarios, si se requiere eliminarlos se tendrá que realizar desde la sección de usuarios del Tenant.
Para eliminar un usuario primero tendrá que desactivarlo (1) y posterior a esto eliminarlo (2).
Buckets Compartidos
Para visualizar un bucket del cual no es propietario el usuario de la cuenta, se observan en la pestaña “Shared Buckets” y se visualizan los buckets de otros usuarios de los cuales tienes permiso de escritura o lectura.
Vcloud Object Storage en Windows
Para acceder nuestro bucket generado en la sección de almacenamiento de objetos, tenemos la posibilidad de realizarlo de distintas maneras a través de herramientas de terceros , a continuación se explican 4 , de las cuales 2 son libre (Winscp y Rclone), 1 es Freeware (S3 browser) la cual solo nos permite configurar dos conexiones, en caso de requerir más, se necesita compara la licencia y 1 es de paga (TntDrive) , nos permite probarla por 30 días , posterior a esta fecha se requiere comprar la licencia.
Cyberduck
Herramienta libre que nos permite realizar una conexión a nuestro bucket y trabajar con ella como si fuera un acceso SFTP pero siento un acceso a un almacenamiento de objetos S3.
Instalación
- Descargamos el software e instalamos de la página https://cyberduck.io/
-
Una vez instalado, damos clic en preferencias para agregar el perfil.
-
Agregamos el perfil para una conexión S3.
-
Damos clic en "Nueva Conexion".
-
Finalmente configuramos los datos de conexión que se proporcionaron para la conexión con el servicio de S3
-
Ya conectado se verán los buckets y datos en donde se podrán subir los archivos.
S3 Browser
La herramienta S3 brower es Freeware y se nos permite usar siempre y cuando solo tengamos 2 conexiones a S3, al igual que algunas funciones más específicas no están disponibles en la versión libre y si se requiere de ellas se necesita compara el licenciamiento.
Instalación
Vamos a la página oficial del sitio y descargamos la herramienta.
Al abrir el ejecutable, aceptamos la licencia y damos clic en siguiente.
Damos clic en siguiente.
Dejamos las opciones por default y damos clic en siguiente.
Termina de instalar y abrimos el aplicativo S3 Browser.
Configuración
Agregamos una nueva cuenta.
Abre un formulario y colocamos los siguientes datos:
- Display name: Nombre de la conexión, puede ser el nombre deseado.
- Account type: S3 Compatible Storage
- REST point: s3-mx.ebunti.com
- Access Key ID: Llave de acceso del usuario a conectarse al bucket.
-
Secret Access Key: Secret key del usuario con el que nos vamos a conectar al bucket.
Damos clic en “Add new account” y nos conecta al bucket S3 a los que tengamos acceso con nuestro usuario.
Ya dentro podemos agregar archivo y carpetas al bucket siempre y cuando tengamos los permisos asignados al bucket.
TntDrive
Mediante la herramienta TntDrive podemos conectar nuestro bucket S3 a una unidad de red de manera muy automatizada, TntDrive es de pago y únicamente se nos brinda un periodo de 30 días para probar la herramienta.
Instalación
Vamos al sitio oficial de TntDrive y descargamos el ejecutable https://tntdrive.com/ .
Al abrir el ejecutable, aceptamos la licencia y le damos clic en siguiente.
Dejamos la url de la instalación por default y damos clic en siguiente:
Dejamos las opciones por default y damos clic en siguiente.
Al terminar la instalación reiniciamos el equipo y damos finish.
Configuración
Con la aplicación abierta agregamos una cuenta, abrimos la opción “Accounts” y seleccionamos la opción “Add new account”.
Se abre un formulario, en el cual agregamos los siguientes datos:
- Account Name: Nombre de la cuenta configurada.
- Account Type: Amason S3 Compatible Storage
- Rest Endpoint: s3-mx.ebunti.com
- Access Key ID: Llave de acceso del usuario con el que nos queremos conectar.
-
Secret Access Key: Secret access del usuario con el que nos queremos conectar.
Damos clic en siguiente y nos agrega la cuenta correctamente, agregamos la unidad a nuestro almacenamiento S3, damos clic en el botón “Add New Mapped Drive”.
Se despliega un formulario en donde seleccionamos la cuenta anteriormente configurada, el nombre del bucket y la unidad que queremos seleccionar para que se ligue a nuestro almacenamiento S3, damos clic en el botón “Add new drive”.
Si todo sale bien, conecta nuestro bucket a la unidad seleccionada y la vemos de la siguiente manera en la herramienta y en Windows.
Si algo paso vamos a ver la siguiente ventana. Donde no encontró el nombre del bucket y nos indica si queremos crearlo, seleccionamos que No si no lo queremos crear y revisamos que el nombre del bucket y los permisos estén correctos.
Buckets Compartidos
Para visualizar los buckets compartidos damos clic derecho sobre el espacio en blanco de la lista de buckets y seleccionamos la opción “Add External Bucket…”.
Ingresamos el nombre del bucket y damos clic en “Add External bucket”.
Visualizamos los buckets.
Rclone
La herramienta Rclone es open source y se instala mediante power Shell y CMD para poder realizar la conexión de S3 con nuestro equipo Windows, el procedimiento no es gráfico y puede dificultar su implementación.
Instalación
Abrimos una terminal de administrador en Power Shell en el equipo de Windows que deseamos conectar con nuestro almacenamiento S3.
Creamos la carpeta rclon en la unidad “C:”
Descargamos la herramienta desde internet.
Descomprimimos el archivo descargado.
Expand-Archive -path 'c:\rclone\rclone.zip' -destinationpath '.\'
Verificamos los archivos.
Pasamos los archivos descomprimidos a la carpeta “C:\rclone”.
Configuración
Cerramos power shell y abrimos una terminal en cmd con permisos de administración, vamos al directorio de “c:\rclone” y ejecutamos la herramienta.
Se abre una guía automatizada para conectar la unidad, seleccionamos las opciones a continuación mostradas:
Colocamos el nombre del bucket.
Seleccionamos el tipo de almacenamiento de S3 “Amazon S3 Compliant Storage Providers”.
Escogemos el proveedor de S3, seleccionamos “31 Any other S3 compatible provider”.
Seleccionamos (1) para ingresar el Access key y secret key para acceder a nuestro almacenamiento S3.
Ingresamos la llave de acceso.
Ingresamos la secret access key.
En la región colocamos el número (1) y damos “Enter”.
Endpoint for S3 API. Leave blank if using AWS to use the default endpoint for the region "Press Enter".
En la location dejamos el campo vacío y damos “Enter”.
En acl dejamos el campo vacío y damos “Clic”.
Colocamos “n” para no visualizar la configuración avanzada.
Confirmamos la configuración.
Salimos del script.
Verificamos que podemos leer el bucket desde nuestra terminal CMD de Windows.
Nota: Es importante que la hora del equipo donde nos estamos conectando este correcta, de lo contrario podemos tener el siguiente error:
Reiniciamos el equipo.
Después de instalar “rclone”, ahora instalamos “Chocolately” para poder descargar la herramienta llamada “WinFSP (Windows File System Proxy)” la cual nos sirve para montar el almacenamiento S3 a una unidad de nuestro Windows.
Abrimos una terminal de power Shell con permisos de administración y ejecutamos el siguiente comando para permitir la descarga de “chocolatey”:
Descargamos “chocolatey”.
Nota: En caso de que marque un error, revisar si no tenemos la carpeta de chocolatey creada en Windows, de ser así la eliminamos y ejecutamos nuevamente la instalación.
Instalamos la herramienta “WinFSP”.
Montamos el bucket S3 en nuestra unidad “S:” de Windows.
Listamos las particiones para verificar si se encuentra montada.
Listamos lo de la unidad para verificar que se montó correctamente.
En Windows la visualizamos de la siguiente manera:
Montaje Automático
Para montarla de manera automática, creamos el archivo “rclone-S3bucket.wsf” y guardamos el siguiente contenido:
Movemos el archivo “rclone-S3bucket.wsf” al directorio “C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp”.
En task manager se puede eliminar el proceso buscando el nombre Rclone.exe.
Agregamos el archivo a las excepciones de la seguridad de Windows, ya que al ser un ejecutable Windows lo puede detectar como un falso positivo e indicar que es un Virus aunque esto no sea cierto, por lo que para evitar que el archivo sea eliminado, realizamos lo siguiente:
Abrimos la sección de Seguridad de Windows y seleccionamos “Protección contra virus y amenazas”.
Seleccionamos en Configuración de antivirus y protección contra amenazas la opción “Administrar la configuración”.
En la sección de Exclusiones seleccionamos la opción “Agregar o quitar exclusiones”.
Agregamos una exclusión.
Seleccionamos la opción “Agregar exclusión” y después “Archivo”.
Seleccionamos el archivo que creamos para arranque del montaje de la unidad y damos clic en “Abrir”.
Con esto agregamos la exclusión.
Buckets Compartidos
La conexión de buckets compartidos se realiza de la misma manera que un bucket no compartido.
Vcloud Object Storage en Linux
S3fs
Una de las herramientas con la que podemos enlazar nuestro almacenamiento S3 con nuestro servidor en Linux es S3fs.
Instalación
Dependiendo de la distribución que manejemos ejecutamos el siguiente comando:
Configuración
Editamos el archivo “/etc/fuse.conf” y descomentamos la opción “user_allow_other”.
Nos cambiamos al usuario root y generamos el archivo de las credenciales para acceder al bucket desde nuestro Linux.
Sintaxis:
Ejemplo:
Cambiamos el usuario y propietario con el usuario que va a montar el almacenamiento S3.
Damos permisos de solo lectura al usuario que va a montar el almacenamiento S3.
Nos salimos de root.
Con el usuario del sistema creamos la carpeta donde montaremos nuestro almacenamiento S3.
Asignamos el usuario y grupo al usuario que va a montar el almacenamiento S3.
Montamos el almacenamiento S3 a la carpeta creada.
Sintaxis:
Ejemplo:
Verificamos si el bucket se montó correctamente
Nota: El bucket tarda unos minutos en montarse por lo que el comanda “df -h” y “ls -al” se pueden demorar un poco.
Para montar la unidad de manera automática al reiniciar el servidor, editamos el archivo “/etc/fstab” y agregamos el montaje de nuestro almacenamiento S3 a nuestra carpeta creada.
Sintaxis:
s3fs#mybucket /path/directory _netdev,allow_other,passwd_file=/path/.file_credendtials,url=https://s3-mx.ebunti.com 0 0
Ejemplo:
sudo vi /etc/fstab
s3fs#mybucket /mnt/s3-bucket fuse _netdev,allow_other,passwd_file=/etc/.passwd-s3fs,url=https://s3-mx.ebunti.com 0 0
Si queremos desmontar la unidad ejecutamos el siguiente comando, en caso de querer desmontar el almacenamiento de manera permanente no olvide eliminar el registro del archivo “/etc/fstab”.
umount /mnt/s3-bucket
Finalmente vemos el file system montado en Linux.
Buckets compartidos
La conexión de buckets compartidos se realiza de la misma manera que un bucket no compartido.
Permisos del bucket en Vcloud Object Storage
Los permisos en buckets se asignan en la sección de Buckets en la pestaña de “Permissions” en donde nos aparecen dos opciones, la primera llamada “Access Control List (ALC)” son permisos que se aplican a nivel del bucket y a través de este permiso poder proporcionar acceso a los buckets y una segunda opción llamada “Bucket policy” donde podemos manejar permisos a un nivel más granular a través de condiciones, como por ejemplo, en una carpeta creada dentro del bucket y su contenido.
Access Control List (ACL)
Mediante estos permisos poder asignar los siguientes 4 permisos:
- Full control: Acceso total al bucket con permisos de escritura y lectura, así como poder ver los permisos de los objetos y modificarlos.
- Read of Bucket: Acceso de solo lectura al bucket.
- Write of Bucket: Acceso de escritura al bucket.
- Read of ACL: Permiso de lectura para poder visualizar los permisos de los objetos en el bucket.
- Write of ACL: Permiso de escritura para poder modificar los permisos de los objetos en el bucket.
Nota: Cuando un usuario genera un bucket de manera automática al ser el propietario tiene control total, aunque en la pantalla de permisos no se vea el nombre de usuario.
Para agregar un permiso a un usuario, tenemos que agregar el identificador del usuario, llamado “Canonical ID”, por ejemplo , queremos agregar permiso de solo lectura al bucket “mybucket” generado por el usuario “vdcadmin” al usuario “usuario2” y agregar control total al “usuario1”.
Obtenemos los canonical ID de “Usuario1” y de “Usuario2”, para esto nos conectamos al portal de Almacenamiento de objetos con el usuario administrador “vdcadmin” desde el vdc y obtenemos el identificador posicionándonos en el nombre de usuario y en la ventana que se despliega copiamos el “Canonical ID”.
De esta manera obtenemos:
- usuario1: 7c2ca7c1cdecd2acdefb8e648c2aee21
- usuario2: e9541b71cc5ca9cc7175fea83ea00dab
-
Ya con los identificadores, vamos a la sección de buckets con el usuario que creo el bucket (usuario “vdcadmin”), entramos al bucket(1), seleccionamos la pestaña de “Permissions”(2), damos clic en “Access Control List (ACL)”(3) , clic en el botón “EDIT”(4), seleccionamos “ADD USER“ ,ingresamos el canonical ID del usuario2 (6) ,seleccionamos la columna “Read of Bucket”(7) para dar permisos de solo lectura.
2. Agregamos al usuario (1) (8) y seleccionamos la columna Full control (9) para dar acceso total, damos clic en “SAVE” para guardar los cambios.
Al guardar los canonical ID se sustituyen de manera automática por sus nombres de usuarios.
3. Probamos el acceso con el usuario (2) y observamos que no podemos guardar o escribir archivos, solo lectura.
4. Probamos el acceso con el usuario (1) y observamos que a diferencia del usuario2, el usuario 1 si puede escribir archivos.
Bucket Policy
La segunda opción para permisos nos permite manipular los permisos de una manera más granular, por default visualizamos la opción para agregar un permiso “CLICK HERE TO ADD POLICY”, al seleccionar la opción se muestra un formulario que nos ayuda a configurar de una manera más amigable.
Al dar clic en la sección para agregar una política, se despliega un formulario, donde ponemos configurar los permisos.
A continuación, se explica de manera breve cada una de las opciones del formulario para agregar una política, en caso de necesitar mayor detalle, en la sección de referencias se comparte la documentación más a detalle para su consulta.
1. FORM: ambiente por default que muestra un formulario grafico que ayuda a la configuración de las policitas para el bucket.
2. JSON: opción alterna para configurar las políticas de los buckets a través de JSON, esta forma es muy útil cuando se tienen platillas hechas para ciertos permisos o se agregan demasiados permisos, los cuales son más fáciles de editar y agregar con JSON.
3. Public READ: Plantilla por default que permite acceso de lectura a todos los objetos dentro del bucket.
4.Public READ/WRITE: Plantilla de acceso con escritura y lectura a todos los objetos dentro del bucket.
5. ID: Por defecto se da un identificador de la política el cual es un numero al azar, es posible cambiarlo por un nombre deseado.
6. Effect: Es la política de permitir (Allow) o de negar (Deny) de acuerdo a la configuración que asignemos.
7. Settings: Es la configuración que se va a aplicar al efecto anteriormente asignado, la configuración se divide en 3 secciones: Principals o No principals, Action o No Action y Resources o No Resources.
8. Principals: La cuenta o el usuario quienes van a tener acceso a las acciones y recursos, las principales son: el usuario, la cuenta, el servicio, etc.
9. Actions: Por cada uno de los recursos, se tienen operaciones que son soportadas, en esta opción se seleccionan que acciones se van a considerar.
10. Resources: Bucket, objetos, Access points, o jobs que aplican a la política. Usa Amazon Resource Name (ARN) en el recurso a ingresar.
11. Conditions: Son las condiciones para que se aplique la configuración de la política agregada.
Si se desea tener mayor detalle de las opciones y significados de cada elemento mencionado, se recomienda revisar en las referencias la documentación sobre las políticas del Bucket.
Ejemplo:
Tenemos un bucket llamado “mybucket” y dentro del bucket tenemos dos carpetas “folder1” y “folder2”, todos los objetos incluido el bucket “mybucket” fueron creados por el usuario “vdcadmin”, por lo que vamos a crear dos políticas para el bucket.
Política 1
La primera política va a denegar al “usuario2” el acceso y lectura al “folder2”, por lo que se describe a continuación la plantilla usada:
En JSON la Plantilla se observa de la siguiente manera:
Política 2
La segunda política permite todas las acciones a todos los objetos dentro del “folder1” para todos los usuarios que tengan acceso al bucket.
En JSON la política se ve de la siguiente manera:
En el formulario grafico las dos políticas se visualizan de la siguiente manera:
La plantilla completa en JSON se vería de la siguiente manera:
Pruebas
Política 1
Verificamos que el usuario2 no pueda realizar alguna acción en el “folder2” pero si en el “folder1”.
Política 2
El usuario1 puede leer y modificar a libertad en el “folder1” y “folder2”, ya que por la política 2 puede manipular todos los objetos del bucket.
Las opciones que podemos configurar en la sección de “Bucket Policy” permite muchas posibilidades, si se requiere conocer más a detalle de los alcances que se pueden realizar, se deja la documentación en la parte de referencias para su conocimiento y exploración.
6. Referencias
Sito de descarga de WinSCP https://winscp.net/eng/download.php
Sitio de descarga de S3 browser https://s3browser.com/
Sitio de TntDrive https://tntdrive.com/
Sitio de Rclone https://rclone.org/
Sitio S3fs https://s3fs.readthedocs.io/en/latest/
Administración de VCloud Director Object Storage https://docs.vmware.com/en/VMware-Cloud-Director-Object-Storage-Extension/2.2/Users-Guide-for-Tenants/GUID-8EF56B56-2EE6-40E5-99A7-F3B417156A0B.html
Access Control List (ACL) https://docs.aws.amazon.com/AmazonS3/latest/userguide/acls.html
Bucket Policy
https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html
https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-bucket-policies.html