Creación de puntos de acceso de varias regiones - Amazon Simple Storage Service

Creación de puntos de acceso de varias regiones

Para crear un punto de acceso de varias regiones en Amazon S3, haga lo siguiente:

  • Especifique el nombre del punto de acceso de varias regiones.

  • Elija un bucket en cada Región de AWS a la que quiere dirigir solicitudes para el punto de acceso de varias regiones.

  • Configure el bloqueo de acceso público de Amazon S3 para el punto de acceso de varias regiones.

Usted proporciona toda esta información en una solicitud de creación, que Amazon S3 procesa de forma asíncrona. Amazon S3 proporciona un token que puede utilizar para monitorear el estado de la solicitud de creación asíncrona.

Asegúrese de resolver advertencias de seguridad, errores, advertencias generales y sugerencias de AWS Identity and Access Management Access Analyzer antes de guardar la política. IAM Access Analyzer ejecuta verificaciones de política para validarla contra la Gramática de la política de IAM y las prácticas recomendadas. Estas verificaciones generan hallazgos y proporcionan recomendaciones procesables para ayudarlo a crear políticas funcionales y que se ajustan a las prácticas recomendadas de seguridad. Para obtener más información sobre la validación de políticas mediante IAM Access Analyzer, consulte Validación de políticas de IAM Access Analyzer en la Guía del usuario de IAM. Para ver una lista de advertencias, errores y sugerencias que devuelve IAM Access Analyzer, consulte Referencia de verificación de políticas de IAM Access Analyzer.

Cuando se utiliza la API, la solicitud para crear un punto de acceso de varias regiones es asincrónica. Cuando envía una solicitud para crear un punto de acceso de varias regiones, Amazon S3 autoriza la solicitud de forma sincrónica. Luego, devuelve inmediatamente un token que puede utilizar para realizar un seguimiento del progreso de la solicitud de creación. Para obtener más información sobre el seguimiento de solicitudes asincrónicas para crear y administrar puntos de acceso de varias regiones, consulte Uso de puntos de acceso de varias regiones con operaciones API admitidas.

Después de crear el punto de acceso de varias regiones, puede crear una política de control de acceso para él. Cada punto de acceso de varias regiones puede tener una política asociada. Una política de punto de acceso de varias regiones es una política basada en recursos que permite limitar el uso del punto de acceso de varias regiones en función del recurso, del usuario o de otras condiciones.

nota

Para que una aplicación o un usuario puedan acceder a un objeto a través de un punto de acceso de varias regiones, las dos políticas siguientes deben permitir la solicitud:

  • La política de acceso para el punto de acceso de varias regiones

  • La política de acceso para el bucket subyacente que contiene el objeto

Cuando las dos políticas son diferentes, la política más restrictiva tiene prioridad.

Para simplificar la administración de permisos para los puntos de acceso de varias regiones, puede delegar el control de acceso del bucket al punto de acceso de varias regiones. Para obtener más información, consulte Ejemplos de política de punto de acceso multirregional.

El uso de un bucket con un punto de acceso de varias regiones no cambia el comportamiento del bucket cuando se accede al él a través del nombre del bucket existente o del nombre de recurso de Amazon (ARN). Todas las operaciones existentes respecto al bucket continuarán funcionando como antes. Las restricciones que se incluyen en una política de punto de acceso de varias regiones solo se aplican a las solicitudes realizadas a través de ese punto de acceso de varias regiones.

Puede actualizar la política para un punto de acceso de varias regiones después de crearla, pero no puede eliminarla. Sin embargo, puede actualizar la política de punto de acceso de varias regiones para denegar todos los permisos.

Temas