Konfigurieren eines Multi-Region Access Point zur Verwendung mit AWS PrivateLink - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren eines Multi-Region Access Point zur Verwendung mit AWS PrivateLink

AWS PrivateLink bietet Ihnen private Konnektivität zu Amazon S3 mithilfe von privaten IP-Adressen in Ihrer virtuellen privaten Cloud (VPC). Sie können einen oder mehrere Schnittstellenendpunkte in Ihrem Gerät bereitstellen, um eine Verbindung VPC zu Amazon S3 Multi-Region Access Points herzustellen.

Sie können com.amazonaws.s3-global.accesspoint-Endpunkte für Access Points mit mehreren Regionen über, oder erstellen. AWS Management Console AWS CLI AWS SDKs Weitere Informationen zur Konfiguration eines Schnittstellenendpunkts für Multi-Region-Access Points finden Sie unter Schnittstellenendpunkte im Benutzerhandbuch. VPC VPC

Gehen Sie wie folgt vor, um über Schnittstellenendpunkte Anfragen an einen Multi-Region-Access Point zu richten, um den VPC und den Multi-Region-Access Point zu konfigurieren.

So konfigurieren Sie einen Access Point mit mehreren Regionen zur Verwendung mit AWS PrivateLink

  1. Erstellen Sie einen geeigneten VPC Endpunkt, der eine Verbindung zu Access Points mit mehreren Regionen herstellen kann, oder verfügen Sie über einen entsprechenden Endpunkt. Weitere Informationen zum Erstellen von VPC Endpunkten finden Sie unter VPCSchnittstellenendpunkte im VPC Benutzerhandbuch.

    Wichtig

    Stellen Sie sicher, dass Sie einen com.amazonaws.s3-global.accesspoint-Endpunkt erstellen. Andere Endpunkttypen können nicht auf Multi-RegionsZugriffspunkte zugreifen.

    Nachdem dieser VPC Endpunkt erstellt wurde, werden alle Multi-Region-Access Point-Anfragen auf dem Endpunkt über diesen Endpunkt VPC weitergeleitet, sofern Sie für den Endpunkt private Zugriffe DNS aktiviert haben. Dies ist standardmäßig aktiviert.

  2. Wenn die Richtlinie für multiregionale Access Points keine Verbindungen von VPC Endpunkten unterstützt, müssen Sie sie aktualisieren.

  3. Stellen Sie sicher, dass die einzelnen Bucket-Richtlinien den Zugriff auf die Benutzer des Multi-Regions-Zugriffspunkts ermöglichen.

Denken Sie daran, dass Multi-Regions-Zugriffspunkte funktionieren, indem sie Anforderungen an Buckets weiterleiten, nicht indem sie selbst Anforderungen erfüllen. Dies ist wichtig, da der Absender der Anforderung über Berechtigungen für den Multi-Regions-Zugriffspunkt verfügen muss und auf die einzelnen Buckets im Multi-Regions-Zugriffspunkt zugreifen kann. Andernfalls wird die Anforderung möglicherweise an einen Bucket weitergeleitet, in dem der Originator keine Berechtigungen hat, um die Anforderung zu erfüllen. Ein Access Point mit mehreren Regionen und die zugehörigen Buckets können demselben oder einem anderen Konto gehören. AWS Ein Multi-Region-Access Point kann jedoch VPCs von unterschiedlichen Konten aus verwendet werden, sofern die Berechtigungen korrekt konfiguriert sind.

Aus diesem Grund muss die VPC Endpunktrichtlinie den Zugriff sowohl auf den Multi-Region-Zugriffspunkt als auch auf alle zugrunde liegenden Buckets ermöglichen, die Sie in der Lage sein sollen, Anfragen zu bearbeiten. Angenommen, Sie haben einen Multi-Region Access Point mit dem Alias mfzwi23gnjvgw.mrap. Es wird von Buckets unterstützt amzn-s3-demo-bucket1 und amzn-s3-demo-bucket2 alle gehören einem AWS Account. 123456789012 In diesem Fall würde die folgende VPC Endpunktrichtlinie es ermöglichen, dass GetObject Anfragen von den VPC gestellten Benutzern von einem der beiden Backing-Buckets erfüllt werden. mfzwi23gnjvgw.mrap 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Wie bereits erwähnt, müssen Sie außerdem sicherstellen, dass die Richtlinie für Access Points für mehrere Regionen so konfiguriert ist, dass sie den Zugriff über einen VPC Endpunkt unterstützt. Sie müssen den VPC Endpunkt, der den Zugriff anfordert, nicht angeben. Die folgende Beispielrichtlinie würde jedem Anforderer Zugriff gewähren, der versucht, den Multi-Region Access Point für die GetObject-Anforderungen zu nutzen. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

Und natürlich benötigen die einzelnen Buckets jeweils eine Richtlinie zur Unterstützung des Zugriffs auf Anfragen, die über den VPC Endpunkt eingereicht wurden. Die folgende Beispielrichtlinie gewährt allen anonymen Benutzern Lesezugriff, was auch Anfragen einschließt, die über den VPC Endpunkt gestellt wurden. 

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}

Weitere Informationen zum Bearbeiten einer VPC Endpunktrichtlinie finden Sie unter Steuern des Zugriffs auf Dienste mit VPC Endpunkten im VPCBenutzerhandbuch.