Creazione di punti di accesso multi-regione - Amazon Simple Storage Service

Creazione di punti di accesso multi-regione

Per creare un punto di accesso multi-regione in Amazon S3, devi specificare il nome, scegliere un bucket in ogni Regione AWS che desideri che elabori le richieste per il punto di accesso multi-regione e configurare le impostazioni di blocco dell'accesso pubblico di Amazon S3 per il punto di accesso multi-regione. Fornisci queste informazioni in una richiesta di creazione, che Amazon S3 elabora in modo asincrono. Amazon S3 offre un token che consente di monitorare lo stato della richiesta di creazione asincrona.

Assicurati di risolvere avvisi di sicurezza, errori, avvisi generali e suggerimenti da AWS Identity and Access Management Access Analyzer prima di salvare la policy. IAM Access Analyzer esegue controlli della policy per convalidarla in rapporto alla sintassi della policy e alle best practice di IAM. Questi controlli generano risultati e forniscono suggerimenti utili per aiutarti a creare policy funzionali e conformi alle best practice per la sicurezza. Per ulteriori informazioni sulla convalida delle policy tramite IAM Access Analyzer, consulta IAM Access Analyzer policy validation (Convalida delle policy di IAM Access Analyzer) nella Guida per l'utente di IAM. Per visualizzare un elenco di avvisi, errori e suggerimenti di IAM Access Analyzer, consulta Riferimento ai controlli delle policy IAM Access Analyzer.

Quando utilizzi l'API, la richiesta di creare un punto di accesso multi-regione è asincrona. Quando invii una richiesta di creazione di un punto di accesso multi-regione, Amazon S3 autorizza la richiesta in modo sincrono. Quindi restituisce immediatamente un token che consente di monitorare lo stato di avanzamento della richiesta di creazione. Per ulteriori informazioni sulla registrazione delle richieste asincrone per creare e gestire punti di accesso multi-regione, consulta Gestione dei punti di accesso multi-regione.

Dopo aver creato il punto di accesso multi-regione, puoi creare per esso una policy di controllo degli accessi. Ogni punto di accesso multi-regione può avere una policy associata. Le policy dei punti di accesso multi-regione sono policy basate su risorse che consentono di limitare l'utilizzo del punto di accesso multi-regione per risorsa, utente o altre condizioni.

Nota

Affinché un'applicazione o un utente possa accedere a un oggetto tramite un punto di accesso multi-regione, sia la policy di accesso per il punto di accesso multi-regione che quella per i bucket sottostanti che contengono l'oggetto devono consentire la richiesta. Quando le due policy sono diverse, ha la precedenza quella più restrittiva.

L'utilizzo di un bucket con un punto di accesso multi-regione non modifica il comportamento di un bucket a cui si accede tramite il nome del bucket esistente o un ARN (Amazon Resource Name). Tutte le operazioni esistenti inerenti il bucket continuano a funzionare come prima. Le limitazioni incluse in una policy per un punto di accesso multi-regione si applicano solo alle richieste effettuate tramite quell'access point multi-regione.

Dopo aver creato la policy per un punto di accesso multi-regione, puoi aggiornarla ma non puoi eliminarla. L'approssimazione più vicina possibile all'eliminazione di una policy per un punto di accesso multi-regione consiste nell'aggiornarla in modo da negare tutte le autorizzazioni.

Regole per la denominazione dei punti di accesso multi-regione in Amazon S3

Quando crei un punto di accesso multi-regione, gli assegni un nome, ovvero una stringa scelta da te. Dopo la creazione, non puoi modificare il nome del punto di accesso multi-regione. Il nome deve essere univoco nel tuo Account AWS e deve essere conforme ai requisiti di denominazione elencati in Restrizioni e limitazioni dei punti di accesso multi-regione. Per facilitare l'identificazione del punto di accesso multi-regione, utilizza un nome significativo per te o per l'organizzazione oppure che rispecchi lo scenario.

Utilizzerai questo nome per richiamare le operazioni di gestione di un punto di accesso multi-regione, ad esempio GetMultiRegionAccessPoint e PutMultiRegionAccessPointPolicy. Il nome non viene utilizzato per inviare richieste al punto di accesso multi-regione e non deve necessariamente essere esposto ai client che effettuano richieste utilizzando il punto di accesso multi-regione.

Quando Amazon S3 crea un punto di accesso multi-regione, gli assegna automaticamente un alias. Questo alias è una stringa alfanumerica univoca che termina in .mrap. L'alias viene utilizzato per costruire il nome host e l'ARN (Amazon Resource Name) per un punto di accesso multi-regione. Il nome completo si basa anche sull'alias del punto di accesso multi-regione.

Non è possibile determinare il nome di un punto di accesso multi-regione dal relativo alias, pertanto puoi divulgare un alias senza il rischio di esporre il nome, lo scopo o il proprietario del punto di accesso multi-regione. Amazon S3 seleziona l'alias per ogni nuovo punto di accesso multi-regione e l'alias non può essere modificato. Per ulteriori informazioni sull'indirizzamento di un access point multi-regione, consulta Esecuzione di richieste utilizzando un punto di accesso multi-regione.

Gli alias del punto di accesso multi-regione sono univoci nel tempo e non si basano sul suo nome né sulla sua configurazione. Se crei un punto di accesso multi-regione, quindi lo elimini e ne crei un altro con lo stesso nome e la stessa configurazione, il secondo punto di accesso multi-regione avrà un alias diverso dal primo. I nuovi punti di accesso multi-regione non possono mai avere lo stesso alias di uno precedente.

Regole per la scelta dei bucket per i punti di accesso multi-regione in Amazon S3

Ogni punto di accesso multi-regione è associato alle regioni in cui desideri evadere le richieste. Il punto di accesso multi-regione deve essere associato esattamente a un bucket in ciascuna di queste regioni. Specifica il nome di ogni bucket nella richiesta per creare il punto di accesso multi-regione. Ogni bucket che supporta il punto di accesso multi-regione deve essere di proprietà dell'Account AWS proprietario del punto di accesso multi-regione.

Un singolo bucket può essere utilizzato da più punti di accesso multi-regione.

Importante
  • Puoi specificare i bucket associati a un punto di accesso multi-regione solo al momento della creazione. Dopo la creazione, non puoi aggiungere, modificare o rimuovere i bucket dalla configurazione del punto di accesso multi-regione. Per modificare i bucket, devi eliminare l'intero punto di accesso multi-regione e crearne uno nuovo.

  • Non puoi eliminare un bucket che fa parte di un punto di accesso multi-regione. Se desideri eliminare un bucket allegato a un punto di accesso multi-regione, elimina prima il punto di accesso multi-regione.

  • L'Account AWS proprietario del punto di accesso multi-regione deve essere proprietario anche dei bucket associati. Per ulteriori informazioni sull'uso delle autorizzazioni con i punti di accesso multi-regione, consulta Autorizzazioni dei punti di accesso multi-regione.

  • Non tutte le regioni supportano i punti di accesso multiregione. Per vedere l'elenco delle regioni supportate, consulta Restrizioni e limitazioni dei punti di accesso multi-regione.

Puoi creare regole di replica per sincronizzare i dati tra i bucket. Queste regole consentono di copiare automaticamente i dati dai bucket di origine ai bucket di destinazione. La connessione di bucket a un punto di accesso multi-regione non influisce sul funzionamento della replica. La configurazione della replica con punti di accesso multi-regione viene descritta in una sezione successiva.

È importante capire che quando effettui una richiesta a un punto di accesso multi-regione, il punto di accesso multi-regione non esegue nessuna valutazione su quale bucket possa soddisfare la richiesta. Questo è il motivo per cui la replica è consigliata. In caso contrario, uno dei bucket del punto di accesso multi-regione potrebbe avere i dati necessari, ma non c'è modo di garantire che riceverà la richiesta. Per ulteriori informazioni, consulta . Configurazione della replica del bucket per l'utilizzo con punti di accesso multi-regione.

Blocco dell'accesso pubblico con i punti di accesso multi-regione di Amazon S3

Ogni punto di accesso multi-regione dispone di impostazioni distinte per il blocco dell'accesso pubblico di Amazon S3. Queste impostazioni funzionano in combinazione con le impostazioni di blocco dell'accesso pubblico per i bucket che si trovano sotto il punto di accesso multi-regione e per l'Account AWS proprietario sia del punto di accesso multi-regione che dei bucket sottostanti.

Quando Amazon S3 autorizza una richiesta, applica la combinazione più restrittiva di queste impostazioni. Se le impostazioni di blocco dell'accesso pubblico per una di queste risorse (il punto di accesso multi-regione, il bucket sottostante o l'account proprietario) bloccano l'accesso all'azione o alla risorsa richiesta, Amazon S3 rifiuta la richiesta.

È consigliabile abilitare tutte le impostazioni di blocco dell'accesso pubblico a meno che non sia necessario disabilitarne alcune. Per impostazione predefinita, tutte le impostazioni di blocco dell'accesso pubblico sono abilitate per i punti di accesso multi-regione. Se il blocco dell'accesso pubblico è abilitato, il punto di accesso multi-regione non sarà in grado di accettare richieste basate su Internet.

Importante

Amazon S3 attualmente non supporta la modifica delle impostazioni di blocco dell'accesso pubblico di un punto di accesso multi-regione dopo la sua creazione.

Per ulteriori informazioni sul blocco dell'accesso pubblico in Amazon S3, consulta Blocco dell'accesso pubblico allo storage Amazon S3.

Creazione di punti di accesso multi-regione in Amazon S3

Negli esempi seguenti viene illustrato come creare un punto di accesso multi-regione utilizzando la AWS Management Console.

Per creare un punto di accesso multi-regione
  1. Accedi alla AWS Management Console e apri la console Amazon S3 all'indirizzo https://console.aws.amazon.com/s3/.

  2. Nel pannello di navigazione, scegli Multi-Region Access Points (Punti di accesso multi-regione).

  3. Nel campo Multi-Region Access Point name (Nome del punto di accesso multi-regione), indica un nome per il punto di accesso multi-regione.

  4. Per selezionare i bucket che verranno associati a questo punto di accesso multi-regione, scegli Add buckets (Aggiungi bucket).

    Per creare un nuovo bucket, scegli Create bucket (Crea bucket). Dopo aver creato il bucket, scegli Add buckets (Aggiungi bucket) per aggiungere il bucket al punto di accesso multi-regione.

    Per ulteriori informazioni sulla creazione dei bucket, consulta Creazione di un bucket.

  5. In Block Public Access settings for this Multi-Region Access Point (Impostazioni di blocco dell'accesso pubblico per il punto di accesso multi-regione), seleziona le impostazioni di blocco dell'accesso pubblico da applicare al punto di accesso. Per impostazione predefinita, tutte le impostazioni di blocco dell'accesso pubblico sono abilitate per i nuovi punti di accesso multi-regione. È consigliabile lasciare tutte le impostazioni abilitate, a meno che tu non debba necessariamente disabilitarne una specifica.

    Nota

    Amazon S3 attualmente non supporta la modifica delle impostazioni di blocco dell'accesso pubblico di un punto di accesso multi-regione dopo la creazione del punto di accesso.

  6. Scegli Create Multi-Region Access Point (Crea punto di accesso multi-regione).

Puoi utilizzare AWS CLI per creare un punto di accesso multi-regione. Ricorda che quando crei il punto di accesso multi-regione, devi fornire tutti i bucket che supporterà. Non è disponibile nessuna opzione per aggiungere bucket al punto di accesso multi-regione dopo che è stato creato.

Nell'esempio seguente viene creato un punto di accesso multi-regione con due bucket utilizzando AWS CLI.

aws s3control create-multi-region-access-point --account-id 111122223333 --details '{ "Name": "simple-multiregionaccesspoint-with-two-regions", "PublicAccessBlock": { "BlockPublicAcls": true, "IgnorePublicAcls": true, "BlockPublicPolicy": true, "RestrictPublicBuckets": true }, "Regions": [ { "Bucket": "DOC-EXAMPLE-BUCKET1" }, { "Bucket": "DOC-EXAMPLE-BUCKET2" } ] }' --region us-west-2