Configurer un point d'accès multi-Régions pour utilisation avec AWS PrivateLink - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer un point d'accès multi-Régions pour utilisation avec AWS PrivateLink

AWS PrivateLink vous fournit une connectivité privée à Amazon S3 à l'aide d'adresses IP privées dans votre cloud privé virtuel (VPC). Vous pouvez provisionner un ou plusieurs points de terminaison d'interface dans votre VPC pour vous connecter aux points d'accès multi-Régions Amazon S3.

Vous pouvez créer des points de terminaison com.amazonaws.s3-global.accesspoint pour les points d'accès multirégionaux via le, ou. AWS Management Console AWS CLI AWS SDKs Pour en savoir plus sur la configuration d'un point de terminaison d'interface pour un point d'accès multi-Régions, consultez Points de terminaison d'un VPC d'interface dans le guide de l'utilisateur VPC.

Pour adresser des demandes à un point d'accès multi-Régions via des points de terminaison d'interface, procédez comme suit pour configurer le VPC et le point d'accès multi-Régions.

Pour configurer un point d'accès multirégional à utiliser avec AWS PrivateLink

  1. Créez ou disposez d'un point de terminaison d'un VPC approprié qui peut se connecter à des points d'accès multi-Régions. Pour en savoir plus sur les points de terminaison d'un VPC, consultez Points de terminaison d'un VPC d'interface dans le guide de l'utilisateur VPC.

    Important

    Veillez à créer un point de terminaison com.amazonaws.s3-global.accesspoint. Les autres types de points de terminaison ne peuvent pas accéder aux points d'accès multi-Régions.

    Après la création de ce point de terminaison d'un VPC, toutes les demandes de point d'accès multi-Régions dans le VPC seront acheminées via ce point de terminaison si vous disposez d'un DNS privé activé pour le point de terminaison. Cela est activé par défaut.

  2. Si la politique de point d'accès multi-Régions ne prend pas en charge les connexions à partir des points de terminaison d'un VPC, vous devrez la mettre à jour.

  3. Vérifiez que les politiques de compartiment individuelles autorisent l'accès aux utilisateurs du point d'accès multi-Régions.

N'oubliez pas que les points d'accès multi-Régions fonctionnent en acheminant les demandes vers des compartiments, non en les exécutant eux-mêmes. Il est important de s'en souvenir, car l'expéditeur de la demande doit disposer des autorisations sur le point d'accès multi-Régions et être autorisé à accéder aux compartiments individuels dans le point d'accès multi-Régions. Sinon, la demande risque d'être acheminée vers un compartiment où l'expéditeur n'a pas les autorisations nécessaires pour répondre à la demande. Un point d'accès multirégional et les compartiments associés peuvent appartenir au même compte ou à un autre AWS compte. Cependant, VPCs des comptes différents peuvent utiliser un point d'accès multirégional si les autorisations sont correctement configurées.

Pour cette raison, la politique de point de terminaison d'un VPC doit autoriser l'accès au point d'accès multi-Régions et à chaque compartiment sous-jacent qui doit être capable de traiter les demandes. Par exemple, supposons que vous ayez un point d'accès multi-Régions avec l'alias mfzwi23gnjvgw.mrap. Il est soutenu par des compartiments amzn-s3-demo-bucket1 et amzn-s3-demo-bucket2 qui appartiennent tous deux à un compte AWS123456789012. Dans ce cas, la politique de point de terminaison VPC suivante permettrait que les demandes GetObject du VPC faites à mfzwi23gnjvgw.mrap soient satisfaites par l'un ou l'autre des compartiments de sauvegarde. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Comme mentionné précédemment, vous devez également vous assurer que la politique de point d'accès multi-Régions est configurée de manière à prendre en charge l'accès via un point de terminaison d'un VPC. Il n'est pas nécessaire de préciser le point de terminaison d'un VPC qui demande l'accès. L'exemple de politique suivant accorderait l'accès à tout demandeur essayant d'utiliser le point d'accès multi-régions pour les demandes GetObject. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

Et, bien entendu, les compartiments individuels auraient chacun besoin d'une politique pour prendre en charge l'accès à partir des demandes soumises via le point de terminaison d'un VPC. L'exemple de politique suivant accorde l'accès en lecture à tous les utilisateurs anonymes, ce qui inclut les demandes effectuées via le point de terminaison VPC. 

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}

Pour en savoir plus sur la modification d'une politique de point de terminaison d'un VPC, consultez Contrôle de l'accès aux services avec des points de terminaison d'un VPC dans le guide de l'utilisateur VPC.