AWS PrivateLink untuk S3 di Outposts - Amazon S3 on Outposts
Pembatasan dan batasanMengakses S3 di OutpostsMemperbarui konfigurasi DNS on-premiseMembuat titik akhir VPCMembuat kebijakan titik akhir VPC dan kebijakan bucket

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS PrivateLink untuk S3 di Outposts

S3 on Outposts AWS PrivateLink mendukung, yang menyediakan akses manajemen langsung ke S3 Anda pada penyimpanan Outposts melalui titik akhir pribadi dalam jaringan pribadi virtual Anda. Ini memungkinkan Anda untuk menyederhanakan arsitektur jaringan internal Anda dan melakukan operasi manajemen pada penyimpanan objek Outposts Anda dengan menggunakan alamat IP pribadi di Virtual Private Cloud (VPC) Anda. Menggunakan AWS PrivateLink menghilangkan kebutuhan untuk menggunakan alamat IP publik atau server proxy.

Dengan AWS PrivateLink Amazon S3 di Outposts, Anda dapat menyediakan titik akhir VPC antarmuka di cloud pribadi virtual (VPC) Anda untuk mengakses S3 pada manajemen bucket Outposts dan manajemen endpoint. APIs Titik akhir VPC antarmuka dapat diakses langsung dari aplikasi yang digunakan di VPC Anda atau di tempat melalui jaringan privat virtual (VPN) Anda atau. AWS Direct Connect Anda dapat mengakses bucket dan manajemen endpoint APIs melalui AWS PrivateLink. AWS PrivateLink tidak mendukung operasi API transfer data, seperti GET, PUT, dan sejenisnya APIs. Operasi ini sudah ditransfer secara pribadi melalui titik akhir S3 pada Outposts dan konfigurasi titik akses. Untuk informasi selengkapnya, lihat Jaringan untuk S3 di Outposts.

Endpoint antarmuka diwakili oleh satu atau lebih antarmuka jaringan elastis (ENIs) yang diberi alamat IP pribadi dari subnet di VPC Anda. Permintaan yang dibuat untuk menghubungkan titik akhir untuk S3 di Outposts secara otomatis dirutekan ke S3 pada bucket Outposts dan manajemen endpoint di jaringan. APIs AWS Anda juga dapat mengakses titik akhir antarmuka di VPC Anda dari aplikasi lokal AWS Direct Connect melalui AWS Virtual Private Network atau ().AWS VPN Untuk informasi selengkapnya tentang cara menghubungkan VPC dengan jaringan on-premise Anda, lihat AWS Direct Connect Panduan Pengguna dan AWS Site-to-Site VPN Panduan Pengguna.

Permintaan rute titik akhir antarmuka untuk S3 pada bucket Outposts dan manajemen APIs endpoint melalui AWS jaringan dan melalui AWS PrivateLink, seperti yang diilustrasikan dalam diagram berikut.

Diagram alir data menunjukkan bagaimana titik akhir antarmuka merutekan permintaan untuk S3 pada bucket Outposts dan manajemen endpoint. APIs

Untuk informasi umum tentang titik akhir antarmuka, lihat Antarmuka titik akhir VPC (AWS PrivateLink) dalam Panduan AWS PrivateLink .

Saat Anda mengakses S3 di bucket Outposts dan manajemen endpoint APIs melalui AWS PrivateLink, pembatasan VPC berlaku. Untuk informasi selengkapnya, lihat Properti titik akhir antarmuka dan batas dan AWS PrivateLink kuota di AWS PrivateLink Panduan.

Selain itu, AWS PrivateLink tidak mendukung yang berikut:

Mengakses S3 di Outposts

Untuk mengakses S3 pada bucket Outposts dan APIs manajemen endpoint AWS PrivateLink menggunakan, Anda harus memperbarui aplikasi Anda untuk menggunakan nama DNS khusus titik akhir. Saat Anda membuat titik akhir antarmuka, AWS PrivateLink buat dua jenis S3 khusus titik akhir pada nama Outposts: Regional dan zonal.

  • Nama DNS regional — termasuk ID titik akhir VPC unik, pengenal layanan, vpce.amazonaws.com dan, Wilayah AWS misalnya,. vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com

  • Nama DNS zona — termasuk ID titik akhir VPC unik, Availability Zone, pengenal layanan, dan, misalnya Wilayah AWS,. vpce.amazonaws.com vpce-1a2b3c4d-5e6f-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com Anda dapat menggunakan opsi ini jika arsitektur Anda mengisolasi Zona Ketersediaan. Misalnya, Anda bisa menggunakan nama DNS zonal untuk penahanan kesalahan atau untuk mengurangi biaya transfer data Regional.

penting

S3 pada titik akhir antarmuka Outposts diselesaikan dari domain DNS publik. S3 di Outposts tidak mendukung DNS pribadi. Gunakan --endpoint-url parameter untuk semua manajemen APIs bucket dan endpoint.

Gunakan --endpoint-url parameter --region dan untuk mengakses manajemen bucket dan manajemen endpoint APIs melalui S3 pada titik akhir antarmuka Outposts.

contoh : Gunakan URL titik akhir untuk daftar bucket dengan API kontrol S3

Dalam contoh berikut, ganti Wilayah us-east-1, URL titik akhir VPCvpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com, dan ID akun 111122223333 dengan informasi yang sesuai.

aws s3control list-regional-buckets --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com --account-id 111122223333

Perbarui SDKs ke versi terbaru, dan konfigurasikan klien Anda untuk menggunakan URL titik akhir untuk mengakses API kontrol S3 untuk S3 pada titik akhir antarmuka Outposts.

SDK for Python (Boto3)
contoh : Gunakan URL titik akhir untuk mengakses API kontrol S3

Dalam contoh berikut, ganti URL titik akhir Wilayah us-east-1 dan VPC vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com dengan informasi yang sesuai. 

control_client = session.client(
service_name='s3control',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com'
)

Untuk informasi selengkapnya, lihat AWS PrivateLink Amazon S3 di panduan pengembang Boto3.

SDK for Java 2.x
contoh : Gunakan URL titik akhir untuk mengakses API kontrol S3

Dalam contoh berikut, ganti URL titik akhir VPC vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com dan Wilayah Region.US_EAST_1 dengan informasi yang sesuai.

// control client
Region region = Region.US_EAST_1;
s3ControlClient = S3ControlClient.builder().region(region)
                                 .endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com"))
                                 .build()

Untuk informasi selengkapnya, lihat S3ControlClient dalam Referensi API AWS SDK untuk Java .

Memperbarui konfigurasi DNS on-premise

Saat menggunakan nama DNS khusus titik akhir untuk mengakses titik akhir antarmuka untuk S3 pada manajemen bucket Outposts dan manajemen titik akhir APIs, Anda tidak perlu memperbarui penyelesai DNS lokal. Anda dapat menyelesaikan nama DNS titik akhir khusus dengan alamat IP privat titik akhir antarmuka dari domain S3 publik di Outposts.

Membuat titik akhir VPC untuk S3 di Outposts

Untuk membuat titik akhir antarmuka VPC untuk S3 di Outposts, lihat Membuat titik akhir VPC di Panduan.AWS PrivateLink

Membuat kebijakan bucket dan kebijakan titik akhir VPC untuk S3 di Outposts

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses ke S3 di Outposts. Anda juga dapat menggunakan kebijakan aws:sourceVpce bucket S3 di Outposts untuk membatasi akses ke bucket tertentu dari titik akhir VPC tertentu. Dengan kebijakan titik akhir VPC, Anda dapat mengontrol akses ke S3 pada manajemen bucket Outposts dan manajemen endpoint. APIs APIs Dengan kebijakan bucket, Anda dapat mengontrol akses ke manajemen bucket S3 on Outposts. APIs Namun, Anda tidak dapat mengelola akses ke tindakan objek untuk S3 di aws:sourceVpce Outposts menggunakan.

Kebijakan akses untuk S3 di Outposts menentukan informasi berikut:

  • Prinsip AWS Identity and Access Management (IAM) yang tindakannya diizinkan atau ditolak.

  • Tindakan kontrol S3 yang diizinkan atau ditolak.

  • Sumber daya S3 di Outposts di mana tindakan diizinkan atau ditolak.

Contoh berikut menunjukkan kebijakan yang membatasi akses ke bucket atau titik akhir. Untuk informasi selengkapnya tentang konektivitas VPC, lihat opsi konektivitas di AWS whitepaper Opsi Network-to-VPC Konektivitas Amazon Virtual Private Cloud.

penting

  • Saat menerapkan kebijakan contoh untuk titik akhir VPC yang dijelaskan di bagian ini, Anda dapat memblokir akses Anda ke bucket tanpa bermaksud melakukannya. Izin bucket yang membatasi akses bucket ke koneksi yang berasal dari titik akhir VPC Anda dapat memblokir semua koneksi ke bucket tersebut. Untuk informasi tentang cara mengatasi masalah ini, lihat Kebijakan bucket saya memiliki ID titik akhir VPC atau VPC yang salah. Bagaimana saya dapat memperbaiki kebijakan tersebut sehingga saya dapat mengakses bucket? dalam Pusat Pengetahuan Dukungan .

  • Sebelum menggunakan kebijakan bucket contoh berikut ini, ganti ID titik akhir VPC dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda tidak akan dapat mengakses bucket Anda.

  • Jika kebijakan Anda hanya mengizinkan akses ke bucket S3 di Outposts dari titik akhir VPC tertentu, kebijakan tersebut nonaktifkan akses konsol untuk ember tersebut karena permintaan konsol tidak berasal dari titik akhir VPC tertentu.

Anda dapat membuat kebijakan titik akhir yang membatasi akses ke bucket S3 tertentu di Outposts saja. Kebijakan berikut membatasi akses untuk GetBucketPolicy tindakan hanya ke. example-outpost-bucket Untuk menggunakan kebijakan ini, ganti nilai contoh dengan kebijakan Anda sendiri. 

{
  "Version": "2012-10-17",
  "Id": "Policy1415115909151",
  "Statement": [
    { "Sid": "Access-to-specific-bucket-only",
      "Principal": {"AWS":"111122223333"},
      "Action": "s3-outposts:GetBucketPolicy",
      "Effect": "Allow",
      "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket"
    }
  ]
}

Kebijakan bucket S3 on Outposts berikut menolak akses GetBucketPolicy ke bucket melalui endpoint example-outpost-bucket VPC. vpce-1a2b3c4d

aws:sourceVpceSyarat menentukan titik akhir dan tidak memerlukan Amazon Resource Name (ARN) untuk sumber daya titik akhir VPC, tetapi hanya ID titik akhir. Untuk menggunakan kebijakan ini, ganti nilai contoh dengan kebijakan Anda sendiri.

{
    "Version": "2012-10-17",
    "Id": "Policy1415115909152",
    "Statement": [
        {
            "Sid": "Deny-access-to-specific-VPCE",
            "Principal": {"AWS":"111122223333"},
            "Action": "s3-outposts:GetBucketPolicy",
            "Effect": "Deny",
            "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket",
            "Condition": {
                "StringEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"}
            }
        }
    ]
}