Mengonfigurasi Titik Akses Multi-Wilayah untuk digunakan dengan AWS PrivateLink - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi Titik Akses Multi-Wilayah untuk digunakan dengan AWS PrivateLink

AWS PrivateLink memberi Anda konektivitas pribadi ke Amazon S3 menggunakan alamat IP pribadi di cloud pribadi virtual Anda ()VPC. Anda dapat menyediakan satu atau beberapa titik akhir antarmuka di dalam VPC untuk terhubung ke Amazon S3 Multi-Region Access Points.

Anda dapat membuat titik akhir com.amazonaws.s3-global.accesspoint untuk Titik Akses Multi-Wilayah melalui,, atau. AWS Management Console AWS CLI AWS SDKs Untuk mempelajari lebih lanjut tentang cara mengonfigurasi titik akhir antarmuka untuk Titik Akses Multi-Wilayah, lihat VPCTitik akhir antarmuka di Panduan Pengguna. VPC

Untuk membuat permintaan ke Titik Akses Multi-Wilayah melalui titik akhir antarmuka, ikuti langkah-langkah ini untuk mengonfigurasi VPC dan Titik Akses Multi-Wilayah.

Untuk mengkonfigurasi Titik Akses Multi-Wilayah untuk digunakan dengan AWS PrivateLink

  1. Buat atau miliki VPC titik akhir yang sesuai yang dapat terhubung ke Titik Akses Multi-Wilayah. Untuk informasi selengkapnya tentang membuat VPC titik akhir, lihat VPCEndpoint antarmuka di VPCPanduan Pengguna.

    penting

    Pastikan untuk membuat titik akhir com.amazonaws.s3-global.accesspoint. Jenis titik akhir lainnya tidak dapat mengakses Titik Akses Multi-Wilayah.

    Setelah VPC titik akhir ini dibuat, semua Titik Akses Multi-Wilayah meminta di VPC rute melalui titik akhir ini jika Anda DNS mengaktifkan private untuk titik akhir. Pengaturan ini diaktifkan secara default.

  2. Jika kebijakan Titik Akses Multi-Wilayah tidak mendukung koneksi dari VPC titik akhir, Anda perlu memperbaruinya.

  3. Verifikasi bahwa kebijakan bucket individual akan memungkinkan akses ke pengguna Titik Akses Multi-Wilayah.

Ingatlah bahwa Titik Akses Multi-Wilayah bekerja dengan merutekan permintaan ke bucket, bukan dengan memenuhi permintaan itu sendiri. Perlu diingat bahwa pembuat permintaan harus memiliki izin ke Titik Akses Multi-Wilayah dan diizinkan untuk mengakses masing-masing bucket di Titik Akses Multi-Wilayah. Jika tidak, permintaan tersebut mungkin akan dialihkan ke bucket yang tidak memiliki izin untuk memenuhi permintaan tersebut. Titik Akses Multi-Wilayah dan bucket yang terkait dapat dimiliki oleh akun yang sama atau akun lain AWS . Namun, VPCs dari akun yang berbeda dapat menggunakan Titik Akses Multi-Region jika izin dikonfigurasi dengan benar.

Karena itu, kebijakan VPC endpoint harus mengizinkan akses ke Titik Akses Multi-Wilayah dan ke setiap bucket dasar yang Anda inginkan agar dapat memenuhi permintaan. Misalnya, katakanlah Anda memiliki Titik Akses Multi-Wilayah dengan alias mfzwi23gnjvgw.mrap. Itu didukung oleh ember amzn-s3-demo-bucket1 danamzn-s3-demo-bucket2, semua dimiliki oleh AWS akun123456789012. Dalam hal ini, kebijakan VPC titik akhir berikut akan memungkinkan GetObject permintaan dari yang VPC mfzwi23gnjvgw.mrap dibuat dipenuhi oleh bucket pendukung. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Seperti disebutkan sebelumnya, Anda juga harus memastikan bahwa kebijakan Titik Akses Multi-Wilayah dikonfigurasi untuk mendukung akses melalui titik VPC akhir. Anda tidak perlu menentukan VPC titik akhir yang meminta akses. Contoh kebijakan berikut akan memberikan akses ke setiap pemohon yang mencoba menggunakan Titik Akses Multi-Wilayah untuk permintaan GetObject tersebut. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

Dan tentu saja, masing-masing bucket memerlukan kebijakan untuk mendukung akses dari permintaan yang dikirimkan melalui titik VPC akhir. Contoh kebijakan berikut memberikan akses baca ke setiap pengguna anonim, yang akan mencakup permintaan yang dibuat melalui titik VPC akhir. 

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}

Untuk informasi selengkapnya tentang mengedit kebijakan VPC titik akhir, lihat Mengontrol akses ke layanan dengan VPC titik akhir di VPCPanduan Pengguna.