Configurazione delle Regioni con consenso esplicito con punti di accesso multi-Regione - Amazon Simple Storage Service
Utilizzo di un punto di accesso multi-Regione in una Regione AWS con consenso esplicitoDisabilitazione di una Regione AWS con consenso esplicitoAbilitazione di una Regione AWS con consenso esplicito precedentemente disabilitataPolicy dei punti di accesso multi-Regione e più account AWSConsiderazioni sulle Regioni AWS con consenso esplicito

Configurazione delle Regioni con consenso esplicito con punti di accesso multi-Regione

Una Regione AWS con consenso esplicito è una regione che non è abilitata per impostazione predefinita nell’account AWS. Le Regioni abilitate per impostazione predefinita sono invece denominate Regioni AWS o Regioni commerciali.

Per iniziare a utilizzare i punti di accesso multi-Regione nelle Regioni AWS con consenso esplicito, è necessario abilitare manualmente la Regione con consenso esplicito per l’account AWS prima di creare il punto di accesso multi-Regione. Dopo aver abilitato la Regione con consenso esplicito, è possibile creare i punti di accesso multi-Regione con bucket presenti nella Regione con consenso esplicito selezionata. Per istruzioni su come abilitare o disabilitare una Regione con consenso esplicito per l’account AWS o l’organizzazione AWS, consulta Abilitazione o disabilitazione di una Regione per account autonomi o Abilitazione o disabilitazione di una Regione nell’organizzazione.

Nota

Le Regioni con consenso esplicito con punti di accesso multi-Regione sono attualmente supportate solo con AWS SDK e AWS CLI.

I punti di accesso multi-Regione S3 supportano le seguenti Regioni AWS con consenso esplicito:

  • Africa (Cape Town)

  • Asia Pacific (Hong Kong)

  • Asia Pacific (Jakarta)

  • Asia Pacific (Melbourne)

  • Asia Pacific (Hyderabad)

  • Canada West (Calgary)

  • Europe (Zurich)

  • Europe (Milan)

  • Europe (Spain)

  • Israel (Tel Aviv)

  • Middle East (Bahrain)

  • Middle East (UAE)

Nota

Non sono previsti costi aggiuntivi per l’abilitazione di una Regione con consenso esplicito. Tuttavia, la creazione o l’utilizzo di una risorsa tramite un punto di accesso multi-Regione comporta dei costi di fatturazione.

Utilizzo di un punto di accesso multi-Regione in una Regione AWS con consenso esplicito

Per eseguire un’operazione piano dati sul punto di accesso multi-Regione, tutti gli account AWS associati devono abilitare le Regioni con consenso esplicito che fanno parte del punto di accesso multi-Regione. Questo requisito si applica all’account richiedente, al proprietario del punto di accesso multi-Regione, ai proprietari del bucket S3 e al proprietario dell’endpoint VPC. Se uno di questi account non abilita le Regioni AWS con consenso esplicito, le richieste dei punti di accesso multi-Regione hanno esito negativo. Per ulteriori informazioni sugli errori InvalidToken o AllAccessDisabled, consulta Elenco dei codici di errore.

Nota

Le operazioni del piano di controllo (control-plane), come l’aggiornamento della policy dei punti di accesso multi-Regione o l’aggiornamento della configurazione del failover, non sono influenzate dallo stato della Regione con consenso esplicito di una Regione che fa parte del punto di accesso multi-Regione. Inoltre, non è necessario disabilitare alcuna Regione con consenso esplicito attiva prima di eliminare un punto di accesso multi-Regione.

Disabilitazione di una Regione AWS con consenso esplicito

Se si disabilita una Regione con consenso esplicito che fa parte del punto di accesso multi-Regione, le richieste indirizzate a questa Regione generano un errore 403 AllAccessDisabled. Per disabilitare in modo sicuro una Regione con consenso esplicito, è consigliabile individuare prima una Regione alternativa nella configurazione del punto di accesso multi-Regione verso cui indirizzare il traffico. È quindi possibile utilizzare i controlli di failover del punto di accesso multi-Regione per contrassegnare la Regione alternativa come attiva e la Regione da disabilitare come passiva. Dopo aver modificato i controlli di failover, è possibile disabilitare la Regione con consenso esplicito.

Abilitazione di una Regione AWS con consenso esplicito precedentemente disabilitata

Per abilitare una Regione AWS con consenso esplicito precedentemente disabilitata per il punto di accesso multi-Regione, è necessario aggiornare le impostazioni dell’account AWS. Dopo aver riabilitato la Regione con consenso esplicito, esegui l’operazione API PutMultiRegionAccessPointPolicy per applicare la policy dei punti di accesso multi-Regione alla regione con consenso esplicito.

Se si accede al punto di accesso multi-Regione tramite un endpoint VPC, è consigliabile aggiornare la policy VPCE e di utilizzare l’operazione API ModifyVpcEndpoint per applicare la policy degli endpoint VPC aggiornata alla Regione con consenso esplicito riabilitata.

Policy dei punti di accesso multi-Regione e più account AWS

Se la policy dei punti di accesso multi-Regione consente l’accesso a più account AWS, anche tutti gli account richiedenti devono abilitare le stesse Regioni con consenso esplicito nelle impostazioni dell’account. Se l’account richiedente invia una richiesta di punto di accesso multi-Regione senza abilitare le Regioni con consenso esplicito che fanno parte del punto di accesso multi-Regione, viene generato un errore 400 InvalidToken.

Considerazioni sulle Regioni AWS con consenso esplicito

Quando si accede a un punto di accesso multi-Regione da una Regione con consenso esplicito, è opportuno tenere presente quanto segue:

  • Quando si abilita una Regione con consenso esplicito, è possibile creare un punto di accesso multi-Regione utilizzando i bucket della Regione con consenso esplicito. Quando si disabilita una Regione con consenso esplicito, il punto di accesso multi-Regione non è più supportato nella Regione con consenso esplicito. Per disabilitare una Regione con consenso esplicito per il punto di accesso multi-Regione, è necessario prima disabilitare la Regione nell’account. Quindi si crea un nuovo punto di accesso multi-Regione con l’elenco preferito di Regioni con consenso esplicito.

  • Se si tenta di creare un punto di accesso multi-Regione con una Regione con consenso esplicito disabilitata, viene generato un errore 403 InvalidRegion. Dopo aver abilitato la Regione con consenso esplicito, è possibile creare nuovamente il punto di accesso multi-Regione.

  • Il numero massimo di Regioni supportate per un punto di accesso multi-Regione è di 17 Regioni. Sono incluse sia le Regioni con consenso esplicito che le Regioni commerciali. Per ulteriori informazioni, consulta Restrizioni e limitazioni dei punti di accesso multi-Regione.

  • Le richieste del piano di controllo (control-plane) per punti di accesso multi-Regione funzionano anche se non è abilitata alcuna Regione con consenso esplicito.

  • Quando si crea un punto di accesso multi-Regione per la prima volta, è necessario abilitare tutte le Regioni con consenso esplicito che fanno parte del punto di accesso multi-Regione.

  • Anche gli account AWS a cui è concesso l’accesso a un punto di accesso multi-Regione S3 tramite la policy dei punti di accesso multi-Regione devono abilitare le stesse Regioni con consenso esplicito che fanno parte del punto di accesso multi-Regione.