DoiT Launches PerfectScale™ for Commitments, Bringing Autonomous Rate Optimization to Every Cloud
Cloud Intelligence™Cloud Intelligence™

Cloud Intelligence™

Amazon S3 Transfer Acceleration Access Denied: ¿cómo solucionarlo?

By Manak WadhwaMay 27, 20244 min read

Esta página también está disponible en English, Deutsch, Français, Italiano, 日本語 y Português.

Hace poco, uno de nuestros clientes intentó habilitar S3 Transfer Acceleration, un servicio diseñado para acelerar las transferencias de datos hacia y desde Amazon Simple Storage Service (S3) en un bucket de S3, y se topó con un error inesperado (Access Denied).

Al principio pensamos que se trataba de un problema de permisos de IAM, de una Service Control Policy o de una bucket policy de S3, así que revisamos esos puntos.

Empezamos la investigación y esto fue lo que encontramos:

  • No había ninguna SCP de tipo deny asociada a la cuenta, salvo la SCP Full AWS Access, que sí permite el acceso.
  • El bucket de S3 no tenía ninguna bucket policy asociada. Por lo tanto, no existe ninguna sentencia explícita de deny a nivel del bucket.
  • La convención de nombres del bucket cumplía con lo que exige S3 Transfer Acceleration.
  • El usuario tenía privilegios de admin en IAM. También probamos con el usuario root de la cuenta de AWS, pero recibió el mismo mensaje de error.
  • Amazon S3 Transfer Acceleration estaba soportado en las regiones del bucket de S3.

Una búsqueda rápida en Google nos mostró que el mismo error se había reportado en varios foros, pero nadie había publicado una solución.

S3 Transfer acceleration Permission \ \ How can i setup proper permission for being able to use Transfer acceleration on s3 bucket. I have set up the IAM…\ \ repost.AWS

Unable to set bucket accelerate configuration - Administrator Access \ \ When trying to deploy stack using Cloudformation, I am getting error: ``` API s3:setBucketAccelerateConfiguration…\ \ repost.AWS

Por suerte, pudimos replicar el problema en algunas de nuestras cuentas personales de AWS, así que seguimos indagando, aunque seguíamos sin dar con la causa del error. Lo que sí descubrimos fue:

  • Este error era más frecuente en cuentas creadas con AWS Organizations.
  • No había una correlación clara con la antigüedad de las cuentas.
  • No aparecía nada en AWS CloudTrail que indicara qué provocaba el error.
  • También intentamos salir de la AWS Organization y dejar la cuenta como independiente, pero nos faltaba más información.

Profundizando en la documentación de AWS, descubrimos que Amazon S3 Transfer Acceleration aprovecha las edge locations distribuidas globalmente de Amazon CloudFront.

Entonces probamos a crear una nueva distribución de CloudFront, pero falló con el siguiente error.

A esas alturas, casi nos damos por vencidos y pensamos que la única salida era subir nuestro AWS Support Plan, pero en plena era de la optimización de costos, queríamos evitar cualquier gasto adicional.

Y entonces se nos ocurrió que el problema podía estar relacionado con el Security Score de la cuenta de AWS (algo de ventaja queda de haber trabajado antes en AWS ;)), así que decidimos probarlo.

Lanzamos un par de instancias EC2 en la región de N. Virginia (us-east-1) (con t2.micro alcanza) y las dejamos corriendo de 2 a 3 horas, hasta que recibimos un correo como el de abajo.

Apenas recibimos el correo de la captura, volvimos a intentar habilitar Transfer Acceleration y ¡funcionó!

La conclusión es que la cuenta tiene que estar verificada explícitamente en la región de N. Virginia (us-east-1) antes de poder usar Amazon S3 Transfer Acceleration. No importa si se verificó en otra región.

AWS podría mejorar tanto su documentación como el mensaje de error para que los usuarios entiendan con claridad por qué ocurre esto, y así no tengan que pagar por AWS Support sin necesidad.

Este blog se escribió en conjunto con mi colega y gurú de la seguridad

.

Senior Cloud Architect en Doit International

Manak Wadhwa

Autor

18 de septiembre de 2024 (editado)

Glad it helped you, i will add the error to the text .

--

Responder

Issam Hijazi

18 de septiembre de 2024

Wish google indexed this page. Can you add the error in the page as text so people can find this?

Thanks for saving the day!!

--

Responder

por

[Configuración de autenticación SAML para transmitir Amazon Workspaces usando Auth0 como proveedor de identidad.\ \

23 de noviembre de 2023

por

[Cómo construir arquitectura de AWS con MCP Servers y Strands Agents\ \

22 de septiembre de 2025

por

[Fingerprints JA3 y JA4 en AWS WAF y más allá\ \

10 de abril de 2025

[AWS VPN Concentrators: cómo simplificar la conectividad híbrida a gran escala\ \

22 de enero

por

[Guía completa para redirección de URL con AWS CloudFront, S3 y Route53\ \

1 de octubre de 2025

[Cómo migrar de Serverless Framework a AWS SAM\ \

7 de octubre de 2025

[S3\ \

4 de octubre de 2025

[AWS S3 Bucket\ \

19 de diciembre de 2025

[Aplicación web con EC2, S3, CloudFront y RDS\