Como criar pontos de acesso para buckets de diretório - Amazon Simple Storage Service

Como criar pontos de acesso para buckets de diretório

Assim como os buckets de diretório, os pontos de acesso podem ser criados em zonas de disponibilidade ou em zonas locais dedicadas. O ponto de acesso deve ser criado na mesma região do bucket de diretório associado a ele.

Um ponto de acesso está associado a exatamente um bucket de diretório do Amazon S3. Se quiser usar um bucket de diretório em sua Conta da AWS, primeiro você deve criar um bucket de diretório. Para ter mais informações sobre como criar buckets de diretório, consulte Criar buckets de diretório em uma zona de disponibilidade ou Criar um bucket de diretório em uma zona local.

Você também pode criar um ponto de acesso entre contas associado a um bucket em outra Conta da AWS, desde que você saiba o nome do bucket e o ID da conta do proprietário do bucket. No entanto, a criação de pontos de acesso entre contas não concederá acesso aos dados no bucket até que você receba as permissões do proprietário do bucket. O proprietário do bucket deve conceder à conta do proprietário do ponto de acesso (sua conta) acesso ao bucket por meio da política do bucket. Para obter mais informações, consulte Conceder permissões para pontos de acesso entre contas.

Você pode criar um ponto de acesso para qualquer bucket de diretório com o AWS Management Console, a AWS CLI, a API REST ou os SDKs da AWS. Cada ponto de acesso é associado a um único bucket de diretório, e você pode criar centenas de pontos de acesso por bucket. Ao criar um ponto de acesso, você escolhe o nome do ponto de acesso e o bucket de diretório ao qual associá-lo. O nome do ponto de acesso consiste em um nome base que você fornece e um sufixo que inclui o ID da zona local em o bucket está localizado, seguido de --xa-s3. Por exemplo, myaccesspoint-zoneID--xa-s3. Você também pode restringir o acesso ao ponto de acesso por meio de uma nuvem privada virtual (VPC). Em seguida, você pode começar imediatamente a ler e gravar dados por meio do ponto de acesso usando o respectivo nome, assim como você usa o nome de um bucket de diretório.

É possível usar o escopo do ponto de acesso para restringir o acesso ao bucket de diretório por meio do ponto de acesso a operações de API ou prefixos específicos. Se você não adicionar um escopo ao ponto de acesso, todos os prefixos no bucket de diretório e todas as operações de API poderão ser executados em objetos no bucket quando acessados por meio do ponto de acesso. Depois de criar o ponto de acesso, você pode adicionar, modificar ou excluir o escopo usando a AWS CLI, os SDKs da AWS ou a API REST. Para obter mais informações, consulte Gerenciar o escopo dos pontos de acesso para buckets de diretório.

Depois de criar o ponto de acesso, você pode configurar a política de recursos do IAM do ponto de acesso. Para obter mais informações, consulte Visualizar, editar ou excluir políticas de pontos de acesso.

nota

Você também pode criar um ponto de acesso para um bucket de diretórios na tela de buckets de diretório. Ao fazer isso, o nome do bucket de diretório é fornecido e você não precisa escolher um bucket ao criar o ponto de acesso. Para obter mais informações, consulte Listar buckets de diretório.

Como criar um ponto de acesso para buckets de diretório

  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região na qual você deseja criar um ponto de acesso. O ponto de acesso deve ser criado na mesma região em que o bucket associado.

  3. No painel de navegação à esquerda, escolha Buckets de diretório.

  4. Na página Access Points (Pontos de acesso), escolha Create access point (Criar ponto de acesso).

  5. Você pode criar um ponto de acesso para um bucket de diretório na sua conta ou em outra conta. Para criar um ponto de acesso para um bucket de diretório em outra conta.

    nota

    Se você estiver usando um bucket em outra Conta da AWS, o proprietário do bucket deverá atualizar a política do bucket para autorizar solicitações do ponto de acesso. Para ver um exemplo de política de bucket, consulte Conceder permissões para pontos de acesso entre contas.

    1. No campo Bucket de diretório, escolha Especifique um bucket em outra conta.

    2. No campo ID da conta do proprietário do bucket, insira o ID da Conta da AWS à qual o bucket pertence.

    3. No campo Nome do bucket, insira o nome do bucket, incluindo o nome base e o ID da zona. Por exemplo, .bucket-base-name--zone-id--x-s3

  6. Para criar um ponto de acesso para um bucket de diretório em sua conta:

    1. No campo Bucket de diretório, selecione Escolha um bucket nesta conta.

    2. No campo Nome do bucket, insira o nome do bucket, incluindo o nome base e o ID da zona. Por exemplo, .bucket-base-name--zone-id--x-s3 Para escolher o bucket em um alista, selecione Procurar no S3 e escolha o bucket de diretório.

  7. Em Nome do ponto de acesso, no campo Nome base, insira o nome do ponto de acesso. O ID da zona e o nome completo do ponto de acesso são exibidos. Para obter mais informações sobre nomenclatura de pontos de acesso, consulte Regras de nomenclatura dos pontos de acesso para buckets de diretório.

  8. Em Origem da rede, escolha Nuvem privada virtual (VPC) ou Internet. Se você escolher Nuvem privada virtual (VPC), no campo ID da VPC, insira o ID da VPC que você quer usar com o ponto de acesso.

  9. (Opcional) Em Escopo do ponto de acesso, para aplicar um escopo a esse ponto de acesso, escolha Limitar o escopo desse ponto de acesso usando prefixos ou permissões.

    1. Para limitar o acesso aos prefixos no bucket de diretório, em Prefixos, insira um ou mais prefixos. Para adicionar outro prefixo, escolha Adicionar prefixo. Para remover um filtro, escolha Remover.

      nota

      O escopo de um ponto de acesso tem um limite de 512 caracteres no total para todos os prefixos. Você pode ver a quantidade de caracteres restantes abaixo de Adicionar prefixo.

    2. Em Permissões, escolha uma ou mais operações de API que o ponto de acesso permitirá. Para remover uma operação de dados, escolha o X ao lado do nome da operação de dados.

  10. Para não aplicar um escopo ao ponto de acesso e permitir acesso a todos os prefixos no bucket de diretório e a todas as operações de API por meio do ponto de acesso, em Escopo do ponto de acesso, escolha Aplicar acesso ao bucket inteiro.

  11. Escolha Crie um ponto de acesso para o bucket de diretórios. O nome do ponto de acesso e outras informações sobre ele aparecem na lista Pontos de acesso para buckets de diretório.

O exemplo de comando a seguir cria um ponto de acesso chamado example-ap para o bucket amzn-s3-demo-bucket--zone-id--x-s3 na conta 111122223333. 

aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3

Para restringir o acesso ao ponto de acesso por meio de uma VPC, inclua o parâmetro --vpc e o ID da VPC.

aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --vpc vpc-id

Ao criar um ponto de acesso para um bucket entre contas, inclua o parâmetro --bucket-account-id. O exemplo de comando a seguir cria um ponto de acesso na Conta da AWS 111122223333 para o bucket amzn-s3-demo-bucket--zone-id--x-s3, pertencente à Conta da AWS 444455556666.

aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --bucket-account-id 444455556666

Para ter mais informações e exemplos, consulte create-access-point na “Referência de comandos da AWS CLI”.

O exemplo de comando a seguir criar um ponto de acesso chamado example-ap para o bucket amzn-s3-demo-bucket--zone-id--x-s3 na 111122223333 e restringe o acesso por meio da VPC vpc-id (opcional). 


PUT /v20180820/accesspoint/example-ap--zoneID--xa-s3 HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
<?xml version="1.0" encoding="UTF-8"?>
<CreateAccessPointRequest>
   <Bucket>amzn-s3-demo-bucket--zone-id--x-s3s</Bucket>
   <BucketAccountId>111122223333</BucketAccountId>
   <VpcConfiguration>
       <VpcId>vpc-id</VpcId>
   </VpcConfiguration>
</CreateAccessPointRequest>

Resposta:


HTTP/1.1 200
<?xml version="1.0" encoding="UTF-8"?>
<CreateAccessPointResult>
   <AccessPointArn>
       "arn:aws:s3express:region:111122223333:accesspoint/example-ap--zoneID--xa-s3"
   </AccessPointArn>
   <Alias>example-ap--zoneID--xa-s3</Alias>
</CreateAccessPointResult>

Você pode usar os SDKs da AWS para criar um ponto de acesso. Para ter mais informações, consulte a lista de SDKs compatíveis na “Referência de API do Amazon Simple Storage Service”.