Mengonfigurasi Titik Akses Multi-Wilayah untuk digunakan dengan AWS PrivateLink - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi Titik Akses Multi-Wilayah untuk digunakan dengan AWS PrivateLink

AWS PrivateLink memberi Anda konektivitas pribadi ke Amazon S3 menggunakan alamat IP pribadi di cloud pribadi virtual (VPC) Anda. Anda dapat menyediakan satu atau beberapa titik akhir antarmuka di dalam VPC agar terhubung ke Titik Akses Multi-Wilayah Amazon S3.

Anda dapat membuat titik akhir com.amazonaws.s3-global.accesspoint untuk Titik Akses Multi-Wilayah melalui,, atau. AWS Management Console AWS CLI AWS SDKs Untuk mempelajari selengkapnya tentang cara mengonfigurasi titik akhir antarmuka untuk Titik Akses Multi-Wilayah, lihat Titik akhir VPC Antarmuka di Panduan Pengguna VPC.

Untuk membuat permintaan ke Titik Akses Multi-Wilayah melalui titik akhir antarmuka, ikuti langkah-langkah berikut untuk mengonfigurasi VPC dan Titik Akses Multi-Wilayah.

Untuk mengkonfigurasi Titik Akses Multi-Region untuk digunakan AWS PrivateLink

  1. Buat atau dapatkan titik akhir VPC yang sesuai yang dapat terhubung ke Titik Akses Multi-Wilayah. Untuk informasi selengkapnya tentang membuat titik akhir VPC, lihat Antarmuka titik akhir VPC di Panduan Pengguna VPC.

    penting

    Pastikan untuk membuat titik akhir com.amazonaws.s3-global.accesspoint. Jenis titik akhir lainnya tidak dapat mengakses Titik Akses Multi-Wilayah.

    Setelah titik akhir VPC ini dibuat, semua permintaan Titik Akses Multi-Wilayah di VPC dirutekan melalui titik akhir ini jika Anda mengaktifkan DNS pribadi untuk titik akhir tersebut. Pengaturan ini diaktifkan secara default.

  2. Jika kebijakan Titik Akses Multi-Wilayah tidak mendukung koneksi dari titik akhir VPC, Anda perlu memperbaruinya.

  3. Verifikasi bahwa kebijakan bucket individual akan memungkinkan akses ke pengguna Titik Akses Multi-Wilayah.

Ingatlah bahwa Titik Akses Multi-Wilayah bekerja dengan merutekan permintaan ke bucket, bukan dengan memenuhi permintaan itu sendiri. Perlu diingat bahwa pembuat permintaan harus memiliki izin ke Titik Akses Multi-Wilayah dan diizinkan untuk mengakses masing-masing bucket di Titik Akses Multi-Wilayah. Jika tidak, permintaan tersebut mungkin akan dialihkan ke bucket yang tidak memiliki izin untuk memenuhi permintaan tersebut. Titik Akses Multi-Wilayah dan bucket yang terkait dapat dimiliki oleh akun yang sama atau akun lain AWS . Namun, VPCs dari akun yang berbeda dapat menggunakan Titik Akses Multi-Region jika izin dikonfigurasi dengan benar.

Karena itu, kebijakan titik akhir VPC harus mengizinkan akses ke Titik Akses Multi-Wilayah dan ke setiap bucket yang mendasarinya agar Anda dapat memenuhi permintaan. Misalnya, katakanlah Anda memiliki Titik Akses Multi-Wilayah dengan alias mfzwi23gnjvgw.mrap. Ini didukung oleh bucket amzn-s3-demo-bucket1 dan amzn-s3-demo-bucket2, semuanya dimiliki oleh akun AWS 123456789012. Dalam hal ini, kebijakan titik akhir VPC berikut ini akan mengizinkan permintaan GetObject dari VPC yang dibuat untuk mfzwi23gnjvgw.mrap agar dipenuhi oleh bucket pendukung. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Seperti yang telah disebutkan sebelumnya, Anda juga harus memastikan bahwa kebijakan Titik Akses Multi-Wilayah dikonfigurasi untuk mendukung akses melalui titik akhir VPC. Anda tidak perlu menentukan titik akhir VPC yang meminta akses. Contoh kebijakan berikut akan memberikan akses ke setiap pemohon yang mencoba menggunakan Titik Akses Multi-Wilayah untuk permintaan GetObject tersebut. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

Dan tentu saja, masing-masing bucket akan membutuhkan kebijakan untuk memberikan akses dari permintaan yang dikirimkan melalui titik akhir VPC. Contoh kebijakan berikut memberikan akses baca ke setiap pengguna anonim, yang akan mencakup permintaan yang dibuat melalui titik akhir VPC. 

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}

Untuk informasi selengkapnya tentang mengedit kebijakan titik akhir VPC, lihat Mengontrol akses ke layanan dengan titik akhir VPC di Panduan Pengguna VPC.