# Configurar um ponto de acesso multirregional para uso com AWS PrivateLink AWS PrivateLink fornece conectividade privada com o Amazon S3 usando endereços IP privados na nuvem privada virtual (VPC). Você pode provisionar um ou mais endpoints de interface dentro da VPC para se conectar aos pontos de acesso multirregionais do Amazon S3. Você pode criar endpoints **com.amazonaws.s3-global.accesspoint** para pontos de acesso multirregionais por meio do Console de gerenciamento da AWS, da AWS CLI ou de AWS SDKs. Para saber mais sobre como configurar um endpoint de interface para o ponto de acesso multirregional, consulte [Endpoints de VPC da interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) no *Guia do usuário da VPC*. Para fazer solicitações a um ponto de acesso multirregional por meio de endpoints de interface, siga estas etapas para configurar a VPC e o ponto de acesso multirregional. **Para configurar um ponto de acesso multirregional para usar com AWS PrivateLink** 1. Crie ou tenha um endpoint de VPC apropriado que possa se conectar a pontos de acesso multirregionais. Para obter mais informações sobre a criação de endpoints de VPC, consulte [Endpoints da VPC da interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) no *Guia do usuário da VPC*. **Importante** Certifique-se de criar um endpoint **com.amazonaws.s3-global.accesspoint**. Outros tipos de endpoint não podem acessar pontos de acesso multirregionais. Depois que esse endpoint da VPC é criado, todas as solicitações de pontos de acesso multirregionais na VPC são roteadas por esse endpoint, se você tiver o DNS privado habilitado para o endpoint. Esta opção está ativada por padrão. 1. Se a política de ponto de acesso multirregional não oferecer suporte a conexões de endpoints da VPC, você precisará atualizá-la. 1. Verifique se as políticas de bucket individuais permitirão acesso aos usuários do ponto de acesso multirregional. Lembre-se de que os pontos de acesso multirregionais funcionam roteando solicitações para buckets, não atendendo às próprias solicitações. É importante se lembrar disso porque o originador da solicitação deve ter permissões para o ponto de acesso multirregional e ter permissão para acessar os buckets individuais no ponto de acesso multirregional. Caso contrário, a solicitação pode ser encaminhada para um bucket onde o originador não tem permissões para atender à solicitação. Um ponto de acesso multirregional e os buckets associados podem pertencer à mesma conta ou a outra conta da AWS. No entanto, as VPCs de contas diferentes poderão usar um ponto de acesso multirregional se as permissões estiverem configuradas corretamente. Por isso, a política de endpoint da VPC deve permitir o acesso ao ponto de acesso multirregional e a cada bucket subjacente que você deseja que possa atender às solicitações. Por exemplo, digamos que você tenha um ponto de acesso multirregional com o alias `mfzwi23gnjvgw.mrap`. É suportado por buckets `amzn-s3-demo-bucket1` e `amzn-s3-demo-bucket2`, todos pertencentes à conta `123456789012` da AWS. Nesse caso, a política de endpoint da VPC a seguir permitiria que solicitações `GetObject` da VPC feitas para `mfzwi23gnjvgw.mrap` fossem atendidas por qualquer um dos buckets de suporte. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Read-buckets-and-MRAP-VPCE-policy", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1/*", "arn:aws:s3:::amzn-s3-demo-bucket2/*", "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*" ] }] } ``` ------ Conforme mencionado anteriormente, você também deve se certificar de que a política de pontos de acesso multirregionais esteja configurada para oferecer suporte ao acesso, por meio de um endpoint da VPC. Você não precisa especificar o endpoint da VPC que está solicitando acesso. O exemplo de política a seguir concederia acesso a qualquer solicitante que tentasse usar o ponto de acesso multirregional para as solicitações `GetObject`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Open-read-MRAP-policy", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*" }] } ``` ------ E, claro, cada um dos buckets individuais precisaria de uma política para dar suporte ao acesso de solicitações enviadas por meio do endpoint da VPC. A política de exemplo a seguir concede acesso de leitura a usuários anônimos, o que incluiria solicitações feitas por meio do endpoint da VPC. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Public-read", "Effect": "Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket1", "arn:aws:s3:::amzn-s3-demo-bucket2/*"] }] } ``` ------ Para obter mais informações sobre como editar uma política de endpoint da VPC, consulte [Controlar o acesso aos serviços com endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do usuário da VPC*.