Configurazione di un punto di accesso multi-regione per l'utilizzo con AWS PrivateLink - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di un punto di accesso multi-regione per l'utilizzo con AWS PrivateLink

AWS PrivateLink ti fornisce connettività privata ad Amazon S3 utilizzando indirizzi IP privati nel tuo cloud privato virtuale (VPC). Puoi effettuare il provisioning di uno o più endpoint di interfaccia all'interno del tuo VPC per connetterti ai punti di accesso multi-regione di Amazon S3.

Puoi creare endpoint com.amazonaws.s3-global.accesspoint per punti di accesso multiregionali tramite, o. AWS Management Console AWS CLI AWS SDKs Per ulteriori informazioni su come configurare un endpoint di interfaccia per i punti di accesso multi-regione, consulta Endpoint VPC dell'interfaccia nella Guida dell'utente di VPC.

Per effettuare richieste a un punto di accesso multi-regione tramite endpoint di interfaccia, segui la procedura riportata di seguito per configurare il VPC e il punto di accesso multi-regione.

Per configurare un punto di accesso multiregionale da utilizzare con AWS PrivateLink

  1. Crea o disponi di un endpoint VPC appropriato in grado di connettersi a punti di accesso multi-regione. Per ulteriori informazioni sulla creazione di endpoint VPC, consulta Endpoint VPC di interfaccia nella Guida per l'utente di VPC.

    Importante

    Assicurati di creare un endpoint com.amazonaws.s3-global.accesspoint. Altri tipi di endpoint non possono accedere ai punti di accesso multi-regione.

    Dopo aver creato questo endpoint VPC, tutte le richieste del punto di accesso multi-regione nel VPC si instradano attraverso questo endpoint se hai abilitato il DNS privato per l'endpoint. Questo è abilitato per impostazione predefinita.

  2. Se la policy del punto di accesso multi-regione non supporta le connessioni dagli endpoint VPC, dovrai aggiornarlo.

  3. Verifica che le policy dei singoli bucket consentano l'accesso agli utenti del punto di accesso multi-regione.

Ricorda che i punti di accesso multi-regione funzionano instradando le richieste ai bucket, non soddisfacendo le richieste stesse. È importante ricordare che l'origine della richiesta deve disporre delle autorizzazioni per il punto di accesso multi-regione e deve poter accedere ai singoli bucket del punto di accesso multi-regione. In caso contrario, la richiesta potrebbe essere instradata a un bucket in cui l'origine non dispone delle autorizzazioni per soddisfare la richiesta. Un punto di accesso multiregionale e i bucket associati possono appartenere allo stesso account o a un altro account. AWS Tuttavia, VPCs da account diversi è possibile utilizzare un punto di accesso multiregionale se le autorizzazioni sono configurate correttamente.

Per questo motivo, la policy dell'endpoint VPC deve consentire l'accesso sia al punto di accesso multi-regione che a ogni bucket sottostante che desideri che sia in grado di soddisfare le richieste. Ad esempio, supponiamo di avere un punto di accesso multi-regione con l'alias mfzwi23gnjvgw.mrap. È supportato dai bucket amzn-s3-demo-bucket1 e amzn-s3-demo-bucket2, tutti di proprietà dell'account AWS 123456789012. In questo caso, le seguenti policy dell'endpoint VPC consente ai bucket di supporto di soddisfare le richieste GetObject dal VPC fatte a mfzwi23gnjvgw.mrap. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Come accennato in precedenza, devi inoltre assicurarti che la policu del punto di accesso multi-regione sia configurata in modo da supportare l'accesso tramite un endpoint VPC. Non è necessario specificare l'endpoint VPC che richiede l'accesso. La policy di esempio seguente concede l'accesso a qualsiasi richiedente che tenta di utilizzare il punto di accesso multi-regione per le richieste GetObject. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

E, naturalmente, i singoli bucket avrebbero bisogno di una policy per supportare l'accesso delle richieste inviate tramite l'endpoint VPC. La policy di esempio seguente consente l'accesso in lettura a tutti gli utenti anonimi, incluse le richieste effettuate tramite l'endpoint VPC. 

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}

Per informazioni sulla modifica di una policy dell'endpoint VPC, consulta Controllare l'accesso ai servizi con endpoint VPC nella Guida per l'utente di VPC.