1. Fundamentos de S3
- Modelo: almacenamiento de objetos en buckets (namespace global). Durabilidad de 11 nueves a nivel de objeto.
- Versioning: habilítalo para protegerte frente a borrados/overwrites accidentales.
- Bloqueo de acceso público: activa Block Public Access a nivel cuenta y bucket por defecto.
- Políticas: bucket policy (recurso), IAM (identidad), ACLs solo si es imprescindible (retrocompatibilidad).
EXAM TIP: “Impedir exposición accidental” → Block Public Access + bucket policy restrictiva.
2. Seguridad y control de acceso
- Privado por VPC: usa VPC Endpoint (Gateway para S3) + condición
aws:SourceVpceoaws:PrincipalOrgID. - Acceso temporal: asume roles (STS) y/o usa pre-signed URLs para clientes externos.
- Logs: habilita CloudTrail Data Events para S3 y Server Access Logging donde aplique.
| Requisito | Solución S3 | Notas |
|---|---|---|
| Acceso privado desde on-prem/VPC | VPC Endpoint + bucket policy | Evita salida a Internet, combina con DNS interno |
| Multi-cuenta controlada | Condición aws:PrincipalOrgID | Restringe a tu AWS Organizations |
| Acceso puntual a objeto | URL firmada (pre-signed) | Expira en minutos/horas, mínimo privilegio |
EXAM TIP: “Acceso solo desde la red privada” → VPC Endpoint + política que niegue aws:sourceIp externo.
3. Cifrado & WORM (Object Lock)
- Cifrado en reposo: SSE-KMS recomendado (claves gestionadas en KMS, rotación y control granular).
- Cifrado en tránsito: fuerza
aws:SecureTransport=trueen bucket policy. - WORM regulatorio: Object Lock (modo Compliance) con periodos de retención y legal hold.
// Ejemplo de condición para HTTPS obligatorio (bucket policy)
"Condition": { "Bool": { "aws:SecureTransport": "true" } }
EXAM TIP: “Evitar borrado incluso por admins” → Object Lock (Compliance) + versión habilitada.
4. Clases & Lifecycle
Elige la clase según patrón de acceso y latencia:
| Clase | Uso típico | Observaciones |
|---|---|---|
| Standard | Acceso frecuente/latencia baja | Multi-AZ |
| Intelligent-Tiering | Acceso impredecible | Mueve automáticamente entre tiers; ideal optimización sin esfuerzo |
| Standard-IA / One Zone-IA | Poco frecuente | IA: multi-AZ; One Zone-IA: 1 AZ (más barato, menos resiliente) |
| Glacier Instant / Flexible / Deep | Archivo | Recuperación ms/minutos/horas; coste muy bajo por GB |
- Lifecycle: transiciones automáticas (p.ej., 30→IA, 90→Glacier) y expiración de versiones y multipart uploads incompletos.
- Etiquetas: puedes condicionar reglas por
tagspara separar datos críticos/no críticos.
5. Rendimiento y transferencia
- Multipart Upload para objetos grandes; paraleliza partes para mejorar throughput.
- Transfer Acceleration acelera cargas globales vía edge (útil si clientes están lejos de la región).
- Request Parallelism y clientes con conexiones persistentes para descargas masivas.
// CLI: subida multipart (automática a partir de cierto tamaño)
aws s3 cp ./bigfile.zip s3://mi-bucket/
6. Replicación (SRR/CRR) & DR
- SRR (Same-Region) para copias en la misma región; CRR (Cross-Region) para DR geográfico.
- Replica versiones, ACL/tags y opcionalmente delete markers. Compatible con Object Lock en destino.
- Integra con EventBridge/Lambda para flujos ETL posteriores a la replicación.
EXAM TIP: “Lectura global con latencia y DR” → CRR hacia región cercana a consumidores + CloudFront si es contenido estático.
7. Costes y buenas prácticas
- Activa Intelligent-Tiering en conjuntos con patrón variable; reduce coste sin perder disponibilidad.
- Usa lifecycle y expiración de versiones para controlar crecimiento.
- Consolida accesos privados (VPC Endpoint) para evitar transfer out a Internet.
- Mide con Storage Lens y Cost & Usage Reports para detectar “datos zombis”.
8. Tips de examen SAA-C03
- WORM regulatorio → Object Lock (Compliance) + Versioning.
- Acceso solo privado → VPC Endpoint + bucket policy con
aws:SourceVpce/aws:PrincipalOrgID. - Clientes globales → Transfer Acceleration o CloudFront según patrón.
- Coste impredecible → Intelligent-Tiering + lifecycle de antiguas versiones.
- Eventos → notificaciones S3 → EventBridge/Lambda para procesar cambios.