Konfigurieren der Opt-in-Regionen für multiregionale Zugangspunkte - Amazon Simple Storage Service
Verwenden eines multiregionalen Zugangspunkts in einer Opt-In-Region für AWSDeaktivieren einer aktiven Opt-In-Region für AWSAktivierung einer zuvor deaktivierten Opt-In-Region für AWSRichtlinie für multiregionale Zugangspunkte und mehrere AWS-KontenÜberlegungen zu Opt-in-Regionen für AWS

Konfigurieren der Opt-in-Regionen für multiregionale Zugangspunkte

Eine Opt-in-Region für AWS ist eine Region, die in Ihrem AWS-Konto nicht standardmäßig aktiviert ist. Im Gegensatz dazu werden Regionen, die standardmäßig aktiviert sind, als AWS-Regionen oder kommerzielle Regionen bezeichnet.

Um mit der Nutzung von Opt-in-Regionen für multiregionale Zugangspunkte für AWS zu beginnen, müssen Sie die Opt-in-Region für Ihr AWS-Konto manuell aktivieren, bevor Sie Ihren multiregionale Zugangspunkt erstellen. Nachdem Sie die Opt-in-Region aktiviert haben, können Sie multiregionale Zugangspunkte mit Buckets in der ausgewählten Opt-in-Region erstellen. Anweisungen zum Aktivieren oder Deaktivieren einer Opt-in-Region für Ihr AWS-Konto oder Ihre AWS-Organisation finden Sie unter Aktivieren oder Deaktivieren einer Region für eigenständige Konten oder Aktivieren oder Deaktivieren einer Region in Ihrer Organisation.

Anmerkung

Opt-in-Regionen für multiregionale Zugangspunkte werden derzeit nur über AWS SDKs und die AWS CLI unterstützt.

Multiregionale S3-Zugangspunkte unterstützen die folgenden Opt-In-Regionen für AWS:

  • Africa (Cape Town)

  • Asia Pacific (Hong Kong)

  • Asia Pacific (Jakarta)

  • Asia Pacific (Melbourne)

  • Asia Pacific (Hyderabad)

  • Canada West (Calgary)

  • Europe (Zurich)

  • Europe (Milan)

  • Europe (Spain)

  • Israel (Tel Aviv)

  • Middle East (Bahrain)

  • Middle East (UAE)

Anmerkung

Für die Aktivierung einer Opt-In-Region fallen keine zusätzlichen Kosten an. Bei der Erstellung oder Nutzung einer Ressource in einem multiregionalen Zugangspunkt fallen jedoch Abrechnungsgebühren an.

Verwenden eines multiregionalen Zugangspunkts in einer Opt-In-Region für AWS

Um einen Datenebenenvorgang auf Ihrem multiregionalen Zugangspunkt durchzuführen, müssen alle zugehörigen AWS-Konten die Opt-In-Regionen aktivieren, die Teil des multiregionalen Zugangspunkts sind. Diese Anforderung gilt für das Konto des Anforderers, den Besitzer des multiregionale Zugangspunkts, Besitzer von S3-Buckets und den Besitzer des VPC-Endpunkts. Wenn eines dieser Konten keine Opt-in-Regionen für AWS aktiviert, schlagen die Anfragen für multiregionale Zugangspunkte fehl. Weitere Informationen zu den InvalidToken- oder AllAccessDisabled-Fehlern finden Sie unter Liste der Fehlercodes.

Anmerkung

Vorgänge auf Steuerebene, wie z. B. die Aktualisierung Ihrer Richtlinie für multiregionale Zugangspunkte oder die Aktualisierung Ihrer Failover-Konfiguration, werden nicht durch den Status einer Region beeinflusst, die Teil Ihres multiregionalen Zugangspunkts ist. Sie müssen auch keine aktiven Opt-in-Regionen deaktivieren, bevor Sie einen multiregionalen Zugangspunkt löschen.

Deaktivieren einer aktiven Opt-In-Region für AWS

Wenn Sie die Opt-in-Region deaktivieren, die Teil Ihres multiregionalen Zugangspunkts ist, führen Anfragen, die an diese Region weitergeleitet werden, zu einem 403 AllAccessDisabled-Fehler. Um eine Opt-in-Region sicher zu deaktivieren, empfehlen wir Ihnen, zunächst eine alternative Region in Ihrer Konfiguration für multiregionale Zugangspunkte zu identifizieren, in die der Datenverkehr weitergeleitet werden soll. Anschließend können Sie die Failover-Steuerung für mehrere Regionen verwenden, um die alternative Region als aktiv und die Region, die deaktiviert werden soll, als passiv zu markieren. Nachdem Sie die Failover-Steuerelemente geändert haben, können Sie die Region deaktivieren, für die Sie sich abmelden möchten.

Aktivierung einer zuvor deaktivierten Opt-In-Region für AWS

Um eine Opt-In-Region für AWS zu aktivieren, die zuvor für Ihren multiregionalen Zugangspunkt deaktiviert war, müssen Sie Ihre AWS-Kontoeinstellungen aktualisieren. Nachdem Sie die Opt-in-Region wieder aktiviert haben, führen Sie den PutMultiRegionAccessPointPolicy-API-Vorgang aus, um die Richtlinie für multiregionale Zugangspunkte auf die Opt-in-Region anzuwenden.

Wenn auf Ihren multiregionale Zugangspunkt über einen VPC-Endpunkt zugegriffen wird, empfehlen wir Ihnen, Ihre VPCE-Richtlinie zu aktualisieren und den API-Vorgang ModifyVpcEndpoint zu verwenden, um die aktualisierte VPC-Endpunktrichtlinie auf die wieder aktivierte Opt-in-Region anzuwenden.

Richtlinie für multiregionale Zugangspunkte und mehrere AWS-Konten

Wenn Ihre Richtlinie für multiregionale Zugangspunkte den Zugriff auf mehrere AWS-Konten gewährt, müssen alle Konten der Antragsteller in ihren Kontoeinstellungen dieselben Opt-in-Regionen aktivieren. Wenn das Konto des Anforderers eine Anforderung für multiregionale Zugangspunkte stellt, ohne die Opt-In-Regionen zu aktivieren, die Teil des multiregionalen Zugangspunkts sind, führt dies zu einem 400 InvalidToken-Fehler.

Überlegungen zu Opt-in-Regionen für AWS

Wenn Sie von einer Opt-in-Region aus auf einen multiregionalen Zugangspunkt zugreifen, sollten Sie Folgendes beachten:

  • Wenn Sie eine Opt-in-Region aktivieren, können Sie mithilfe der Buckets aus der Opt-in-Region einen multiregionalen Zugangspunkt erstellen. Wenn Sie eine Opt-in-Region deaktivieren, wird der multiregionale Zugangspunkt in der Opt-in-Region nicht mehr unterstützt. Wenn Sie nicht mehr möchten, dass eine Opt-in-Region für Ihren multiregionalen Zugangspunkt aktiviert ist, stellen Sie sicher, dass Sie zuerst die Region für Ihr Konto deaktivieren. Erstellen Sie anschließend einen neuen multiregionale Zugangspunkt mit Ihrer bevorzugten Liste von Opt-In-Regionen.

  • Wenn Sie versuchen, Ihren multiregionalen Zugangspunkt mit einer deaktivierten Opt-in-Region zu erstellen, erhalten Sie eine 403 InvalidRegion-Fehlermeldung. Nachdem Sie die Opt-in-Region aktiviert haben, versuchen Sie erneut, den multiregionalen Zugangspunkt zu erstellen.

  • Die maximale Anzahl unterstützter Regionen für einen multiregionalen Zugangspunkt beträgt 17 Regionen. Dies umfasst sowohl Opt-in-Regionen als auch kommerzielle Regionen. Weitere Informationen finden Sie unter Einschränkungen und Einschränkungen für multiregionale Zugangspunkte.

  • Anfragen auf Steuerebene für multiregionale Zugangspunkte funktionieren auch dann, wenn Sie sich für keine Region angemeldet haben.

  • Wenn Sie zum ersten Mal versuchen, einen multiregionalen Zugangspunkt zu erstellen, müssen Sie sich für alle Regionen entscheiden, die Teil des multiregionalen Zugangspunkts sind.

  • Alle AWS Konten, denen über die Richtlinie für multiregionalen Zugangspunkte in der Richtlinie für multiregionale S3-Zugangspunkte gewährt werden, müssen auch dieselben Opt-In-Regionen aktivieren, die Teil des multiregionalen Zugangspunkts sind.