本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定多區域存取點以搭配 AWS PrivateLink使用
AWS PrivateLink 使用虛擬私有雲 (VPC) 中的私有 IP 地址,為您提供與 Amazon S3 的私有連線。您可以在內部佈建一個或多個界面端點,以連接VPC到 Amazon S3 多區域存取點。
您可以透過、或建立多區域存取點的端點。 AWS Management Console AWS CLI AWS SDKs若要進一步了解如何設定多區域存取點的介面端點,請參閱VPC使用者指南中的介面VPC端點。
若要透過介面端點向多區域存取點提出要求,請依照下列步驟設定VPC和多區域存取點。
設定多區域存取點以搭配使用 AWS PrivateLink
-
建立或具有可連接至多區域存取點的適當VPC端點。如需有關建立VPC端點的詳細資訊,請參閱VPC使用指南中的介面VPC端點。
重要
務必建立 com.amazonaws.s3-global.accesspoint 端點。其他端點類型無法存取多區域存取點。
建立此VPC端點之後,如果您已為端點DNS啟用私有,則會透過此端點VPC路由中的所有多區域存取點要求。其預設為啟用。
-
如果「多區域存取點」政策不支援來自VPC端點的連線,您將需要對其進行更新。
-
確認個別儲存貯體政策將允許存取多區域存取點的使用者。
請記住,多區域存取點的運作方式是將請求路由至儲存貯體,而不是自行履行請求。請務必記住這一點,因為請求的建立者必須具有多區域存取點的許可,並允許存取多區域存取點中的個別儲存貯體。否則,請求可能會被路由到建立者沒有許可滿足請求的儲存貯體。多區域存取點和相關值區可由相同或另一個 AWS 帳戶擁有。但是,如果權限設定正確,則可以VPCs從不同的帳戶使用多區域存取點。
因此,VPC端點政策必須同時允許存取多區域存取點,以及您希望能夠滿足要求的每個基礎值區。例如,假設您具有別名為 mfzwi23gnjvgw.mrap
的多區域存取點。它由桶支持amzn-s3-demo-bucket2
,amzn-s3-demo-bucket1
並且全部由AWS帳戶擁有123456789012
。在這種情況下,以下VPC端點策略將允許來自所VPC製作的GetObject
mfzwi23gnjvgw.mrap
請求由後備存儲桶來滿足。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Read-buckets-and-MRAP-VPCE-policy", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*", "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*" ] }] }
如前所述,您也必須確定「多區域存取點」原則設定為支援透過VPC端點進行存取。您不需要指定要求存取的VPC端點。下列範例政策會向嘗試將多區域存取點用於 GetObject
請求的任何申請者授予存取權限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Open-read-MRAP-policy", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*" }] }
當然,每個值區都需要一個策略來支持通過VPC端點提交的請求進行訪問。下列範例原則會授予任何匿名使用者的讀取存取權,其中包括透過VPC端點發出的要求。
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Public-read", "Effect":"Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket2/*"] }] }
如需有關編輯VPC端點策略的詳細資訊,請參閱《使用手冊》中的「控制VPC使用VPC端點對服務的存取」。