本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用多區域存取點管理多區域流量
Amazon S3 多區域存取點可提供全域端點,應用程式可使用這些端點滿足來自多個 AWS 區域 的 S3 儲存貯體的請求。您可以使用多區域存取點,進而使用與單一區域中使用的相同架構來建置多區域應用程式,然後在全球任何地方執行這些應用程式。多區域存取點不會透過擁塞的公有網際網路傳送請求,而是提供內建的網路恢復能力,並加速對 Amazon S3 的網際網路型請求。對多區域存取點全域端點提出的應用程式請求,會使用 [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/) 以自動透過 AWS 全域網路路由至最接近且具有主動路由狀態的 S3 儲存貯體。
如果發生區域流量中斷情形,您可以使用多區域存取點容錯移轉控制,在 AWS 區域 之間轉移 S3 資料請求流量,並在幾分鐘內從中斷處重新導向 S3 流量。您也可以測試應用程式針對中斷情形的恢復能力,以執行應用程式容錯移轉和執行災難復原模擬。如果您需要從 VPC 外部連線至 S3 並加速對 S3 的請求,您可以使用 Amazon S3 多區域存取點來簡化應用程式和網路架構。系統將透過 AWS 全域網路路由您的多區域存取點請求,然後在 AWS 區域 內傳回至 S3,而不必周遊公共網際網路。因此,您可以建置可用性更高的應用程式。
在建立和設定多區域存取點的期間,您可以指定一組您想要存放資料的 AWS 區域,進而透過該多區域存取點提供資料。您可以使用提供的多區域存取點端點名稱來連接用戶端。建立用戶端連線後,您可以選取要在其中路由多區域存取點請求的現有或新儲存貯體。然後使用 [S3 跨區域複寫 (CRR)](https://aws.amazon.com/s3/features/replication/) 來同步這些區域中的儲存貯體間的資料。
在設定多區域存取點後,您可以透過多區域存取點全域端點請求或寫入資料。Amazon S3 會自動將請求從最近的可用區域提供給複寫的資料集。在 AWS 管理主控台 中,您也可以檢視與多區域存取點請求相關的基礎複寫拓撲和複寫指標。這可讓您更輕鬆地為多區域應用程式建置、管理和監控儲存體。或者,您可以使用 Amazon CloudFront 來自動化 S3 多區域存取點的建立操作和組態。
下圖是主動-主動組態中 Amazon S3 多區域存取點的圖形表示法。此圖顯示 Amazon S3 請求如何自動路由到最接近的主動 AWS 區域 中的儲存貯體。
![\[顯示透過 Amazon S3 多區域存取點路由請求的圖表。\]](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/images/MultiRegionAccessPoints.png)
下圖是主動-被動組態中 Amazon S3 多區域存取點的圖形表示法。此圖顯示如何控制 Amazon S3 資料存取流量,在主動和被動 AWS 區域之間進行容錯移轉。
![\[顯示主動-被動組態中 Amazon S3 多區域存取點的圖表。\]](http://docs.aws.amazon.com/zh_tw/AmazonS3/latest/userguide/images/MultiRegionAccessPointsFailover.png)
**Topics**
+ [建立多區域存取點](CreatingMultiRegionAccessPoints.md)
+ [設定多區域存取點以搭配 使用 AWS PrivateLink](MultiRegionAccessConfiguration.md)
+ [透過多區域存取點提出請求](MultiRegionAccessPointRequests.md)
# 建立多區域存取點
若要在 Amazon S3 中建立多區域存取點,請執行下列動作:
+ 指定多區域存取點的名稱。
+ 在 AWS 區域 您要為多區域存取點提供請求的每個儲存貯體中選擇一個儲存貯體。
+ 設定多區域存取點的 Amazon S3 封鎖公開存取設定。
您可以在建立請求中提供所有資訊,而 Amazon S3 會以非同步方式對此進行處理。Amazon S3 提供了一個字符,您可以使用該字符來監控非同步建立請求的狀態。
請務必解決安全性警告、錯誤、一般警告,以及 AWS Identity and Access Management Access Analyzer 建議,然後再儲存政策。IAM Access Analyzer 會比對 IAM [政策文法](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html)和[最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)來執行政策檢查,以驗證您的政策。這些檢查會產生問題清單並提供可行的建議,協助您撰寫具有功能性且符合安全最佳實務的政策。若要進一步了解如何使用 IAM Access Analyzer 驗證政策,請參閱《IAM 使用者指南**》中的 [IAM Access Analyzer 政策驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。若要檢視 IAM Access Analyzer 傳回的警告、錯誤和建議清單,請參閱 [IAM Access Analyzer 政策檢查參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)。
當您使用 API 時,建立多區域存取點的請求是非同步的。當您提交建立多區域存取點的請求時,Amazon S3 會同步授權該請求。然後,它會立即傳回您可以用來追蹤建立請求進度的字符。如需追蹤非同步請求,以建立及管理多區域存取點的詳細資訊,請參閱「[搭配支援的 API 操作使用多區域存取點](MrapOperations.md)」。
建立多區域存取點後,您可以為其建立存取控制政策。每個多區域存取點都可以設定相關政策。多區域存取點政策是一種以資源為基礎的政策,您可以依資源、使用者或其他條件限制對多區域存取點的使用。
**注意**
若要讓應用程式或使用者能夠透過多區域存取點存取物件,下列兩個政策都必須允許該請求:
多區域存取點的存取政策。
包含物件之基礎儲存貯體的存取政策
當兩個政策不同時,更嚴格的政策優先。
若要簡化多區域存取點的許可管理,您可以將存取控制從儲存貯體委派給多區域存取點。如需詳細資訊,請參閱[多區域存取點政策範例](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples)。
透過現有儲存貯體名稱或 Amazon Resource Name (ARN) 存取儲存貯體時,搭配多區域存取點使用儲存貯體不會變更儲存貯體的行為。針對儲存貯體的所有現有操作會繼續像以前一樣運作。您在多區域存取點政策中包含的限制僅適用透過該多區域存取點進行的請求。
您可以在建立多區域存取點之後更新其政策,但您無法刪除政策。但是,您可以更新多區域存取點政策,拒絕所有許可。
**Topics**
+ [命名 Amazon S3 多區域存取點的規則](multi-region-access-point-naming.md)
+ [為 Amazon S3 多區域存取點選擇儲存貯體的規則](multi-region-access-point-buckets.md)
+ [建立 Amazon S3 多區域存取點](multi-region-access-point-create-examples.md)
+ [使用 Amazon S3 多區域存取點封鎖公開存取](multi-region-access-point-block-public-access.md)
+ [檢視 Amazon S3 多區域存取點組態詳細資訊](multi-region-access-point-view-examples.md)
+ [刪除多區域存取點](multi-region-access-point-delete-examples.md)
# 命名 Amazon S3 多區域存取點的規則
當您建立多區域存取點時,您可以為其命名,該名稱是您選擇的字串。建立多區域存取點之後,您無法變更其名稱。名稱對於您的 AWS 帳戶必須是唯一的,並且其必須符合 [多區域存取點約束與限制](MultiRegionAccessPointRestrictions.md) 中列出的命名要求。為了協助您識別多區域存取點,請使用對您、您的組織有意義或是可以反映案例的名稱。
您可以在叫用多區域存取點管理操作時使用此名稱,例如 `GetMultiRegionAccessPoint` 和 `PutMultiRegionAccessPointPolicy`。此名稱不會用來向多區域存取點傳送請求,而且不需要向使用多區域存取點提出請求的用戶端公開。
當 Amazon S3 建立多區域存取點時,它會自動為其指派別名。此別名是一個以 `.mrap` 結尾的唯一英數字元字串。別名用於建構多區域存取點的主機名稱和 Amazon 資源名稱 (ARN)。完整名稱也是以多區域存取點的別名為基礎。
您無法從其別名判斷多區域存取點的名稱,因此您可以揭露別名,而不會暴露多區域存取點的名稱、用途或擁有者的風險。Amazon S3 會為每個新的多區域存取點選取別名,且別名無法變更。如需有關定址多區域存取點的詳細資訊,請參閱「[透過多區域存取點提出請求](MultiRegionAccessPointRequests.md)」。
多區域存取點別名在一段時間內都是唯一的,且並非以多區域存取點的名稱或組態為基礎。如果您建立多區域存取點,然後將其刪除並建立另一個具有相同名稱和組態的存取點,則第二個多區域存取點的別名與第一個不同。新的多區域存取點絕對不會與先前的多區域存取點具有相同的別名。
# 為 Amazon S3 多區域存取點選擇儲存貯體的規則
每個多區域存取點都會關聯至您要滿足請求的區域。多區域存取點必須與每個區域中的一個儲存貯體關聯。您可以指定請求中每個儲存貯體的名稱,以建立多區域存取點。支援多區域存取點的儲存貯體可以位於擁有多區域存取點 AWS 帳戶 的相同 中,也可以位於其他 中 AWS 帳戶。
單一儲存貯體可供多個多區域存取點使用。
**重要**
您只能在建立多區域存取點時,指定與其關聯的儲存貯體。將其建立之後,您就無法從多區域存取點組態新增、修改或刪除儲存貯體。若要變更儲存貯體,您必須刪除整個多區域存取點並新建一個。
您無法刪除屬於多區域存取點的儲存貯體。如果您要刪除連接至多重區域存取點的儲存貯體,請先刪除多重區域存取點。
如果您將其他帳戶擁有的儲存貯體新增至您的多區域存取點,該儲存貯體擁有者也必須更新其儲存貯體政策,將存取許可授予多區域存取點。否則,多區域存取點無法從該儲存貯體擷取資料。如需範例政策,示範如何授予這類存取,請參閱[多區域存取點政策範例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples)。
並非所有區域都支援多區域存取點。如需支援區域的清單,請參閱 [多區域存取點約束與限制](MultiRegionAccessPointRestrictions.md)。
您可以建立複寫規則,以同步儲存貯體之間的資料。這些規則可讓您自動將資料從來源儲存貯體複製到目的地儲存貯體。將儲存貯體連接至多區域存取點並不會影響複寫的運作方式。在稍後的章節中,將會介紹使用多區域存取點設定複寫。
**重要**
當您對多區域存取點提出請求時,多區域存取點不會知道多區域存取點中儲存貯體的資料內容。因此,取得請求的儲存貯體可能不包含請求的資料。若要在 Amazon S3 儲存貯體中建立與多區域存取點相關聯的資料集,建議您設定 S3 跨區域複寫 (CRR)。如需詳細資訊,請參閱[設定複寫以搭配多區域存取點使用](MultiRegionAccessPointBucketReplication.md)。
# 建立 Amazon S3 多區域存取點
下列範例示範如何使用 Amazon S3 主控台建立多區域存取點。
## 使用 S3 主控台
**若要建立多區域存取點**
**注意**
Amazon S3 主控台目前不支援多區域存取點選擇加入區域。
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選擇**建立多區域存取點**,開始建立多區域存取點。
1. **多區域存取點**頁面上,在**多區域存取點名稱**欄位中,提供多區域存取點的名稱。
1. 選取要與此多區域存取點建立關聯的儲存貯體。您可以選擇帳戶中的儲存貯體,也可以從其他帳戶中選擇儲存貯體。
**注意**
不論從您的帳戶或其他帳戶,您至少須新增一個儲存貯體。此外,請注意,多區域存取點每個 AWS 區域僅支援一個儲存貯體。因此,您無法從相同區域新增兩個儲存貯體。[根據預設停用的AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) 不受支援。
+ 若要新增您帳戶中的儲存貯體,請選擇**新增儲存貯體**。系統會顯示您帳戶中的所有儲存貯體清單。您可以依名稱搜尋儲存貯體,或依字母順序排序儲存貯體名稱。
+ 若要從其他帳戶新增儲存貯體,請選擇**從其他帳戶新增儲存貯體**。請確定您知道確切的儲存貯體名稱和 AWS 帳戶 ID,因為您無法搜尋或瀏覽其他帳戶中的儲存貯體。
**注意**
您必須輸入有效的 AWS 帳戶 ID 和儲存貯體名稱。儲存貯體也須位於受支援的區域中,否則當您嘗試建立多區域存取點時會遇到錯誤訊息。如需支援多區域存取點的區域清單,請參閱[多區域存取點限制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html)。
1. (選用) 若您要移除已新增的儲存貯體,請選擇**移除**。
**注意**
建立多區域存取點後,就無法在此多區域存取點新增或移除儲存貯體。
1. 在 **Block Public Access settings for this Access Point** (此多區域存取點的封鎖公開存取權限設定) 下,選取要套用至該多區域存取點的封鎖公開存取設定。依預設,新的多區域存取點的所有封鎖公開存取設定都會啟用。我們建議您啟用所有設定,除非您知道您有特別需要停用任一設定。
**注意**
在建立多區域存取點的封鎖公開存取設定後,您便無法再變更設定。因此,如果您要封鎖公開存取,請確定您的應用程式在沒有公開存取的情況下正常運作,然後再建立多區域存取點。
1. 選擇 **Create Multi-Region Access Point** (建立多區域存取點)。
**重要**
當您將其他帳戶擁有的儲存貯體新增至您的多區域存取點,該儲存貯體擁有者也必須更新其儲存貯體政策,將存取許可授予多區域存取點。否則,多區域存取點無法從該儲存貯體擷取資料。如需範例政策,示範如何授予這類存取,請參閱[多區域存取點政策範例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples)。
## 使用 AWS CLI
您可以使用 AWS CLI 來建立多區域存取點。當您建立多區域存取點時,您必須提供其將支援的所有儲存貯體。建立多區域存取點之後,您就無法將儲存貯體新增至該存取點。
下列範例示範使用 AWS CLI建立了含有兩個儲存貯體的多區域存取點。若要使用此範例命令,請以您自己的資訊取代 `user input placeholders`。
**注意**
若要使用選擇加入區域中的儲存貯體來建立多區域存取點,務必先[啟用所有選擇加入區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)。否則,當您嘗試使用儲存貯體來建立多區域存取點時,您會收到 `403 InvalidRegion` 錯誤,而該儲存貯體是您尚未實際選擇加入的區域。
```
aws s3control create-multi-region-access-point --account-id 111122223333 --details '{
"Name": "simple-multiregionaccesspoint-with-two-regions",
"PublicAccessBlock": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"Regions": [
{ "Bucket": "amzn-s3-demo-bucket1" },
{ "Bucket": "amzn-s3-demo-bucket2" }
]
}' --region us-west-2
```
# 使用 Amazon S3 多區域存取點封鎖公開存取
每個區域存取點都有不同的 Amazon S3 封鎖公開存取設定。這些設定會搭配 AWS 帳戶 擁有多區域存取點和基礎儲存貯體之 的封鎖公開存取設定運作。
當 Amazon S3 授權請求時,它會套用這些設定的限制性最高的組合。如果任何這些資源 (多區域存取點擁有者帳戶、基礎儲存貯體或儲存貯體擁有者帳戶) 的封鎖公開存取設定封鎖了所請求動作或資源的存取,Amazon S3 會拒絕該請求。
我們建議您啟用所有封鎖公開存取設定,除非您有特別需要停用任一設定。依預設,多區域存取點的所有封鎖公開存取設定都會啟用。如果啟用封鎖公開存取,多區域存取點將無法接受網際網路請求。
**重要**
在建立多區域存取點的封鎖公開存取設定後,您便無法再變更設定。
如需 Amazon S3 封鎖公開存取的詳細資訊,請參閱「[封鎖對 Amazon S3 儲存體的公開存取權](access-control-block-public-access.md)」。
# 檢視 Amazon S3 多區域存取點組態詳細資訊
下列範例示範如何使用 Amazon S3 主控台檢視多區域存取點組態詳細資訊。
## 使用 S3 主控台
**若要建立多區域存取點**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選擇您要檢視其組態詳細資訊的多區域存取點名稱。
+ **屬性**標籤會列出與您的多區域存取點相關聯的所有儲存貯體、建立日期、Amazon Resource Name (ARN) 和別名。 AWS 帳戶 ID 欄也會列出與您的多區域存取點相關聯之外部帳戶所擁有的任何儲存貯體。
+ **許可**標籤會列出封鎖公開存取設定,這些設定套用至與此多區域存取點相關聯的儲存貯體。您也可以檢視多區域存取點的政策 (若您已建立)。**許可**頁面上的**資訊**警示也會列出已啟用**封鎖公開存取**設定之多區域存取點的所有儲存貯體 (不論在您的帳戶或其他帳戶)。
+ **複寫和容錯移轉**標籤則提供映射檢視,其中有與多區域存取點相關聯的儲存貯體,以及儲存貯體所在區域。若有來自其他帳戶的儲存貯體,且您無權從中提取資料,則**複寫摘要**映射的區域會以紅色標記,表示 **AWS 區域 取得複寫狀態時發生錯誤**。
**注意**
若要從外部帳戶中的儲存貯體擷取複寫狀態資訊,儲存貯體擁有者必須在其儲存貯體政策中授予您 `s3:GetBucketReplication` 權限。
此標籤也會針對與您的多區域存取點搭配使用的區域,提供複寫指標、複寫規則和容錯移轉狀態。
## 使用 AWS CLI
您可以使用 AWS CLI 檢視多區域存取點的組態詳細資訊。
下列 AWS CLI 範例會取得您目前的多區域存取點組態。若要使用此範例命令,請以您自己的資訊取代 `user input placeholders`。
```
aws s3control get-multi-region-access-point --account-id 111122223333 --name amzn-s3-demo-bucket
```
# 刪除多區域存取點
下列程序說明如何使用 Amazon S3 主控台刪除多區域存取點。請注意,刪除多區域存取點並不會刪除與多區域存取點相關聯的儲存貯體。相反的,它只會刪除多區域存取點本身。
**注意**
目前僅支援透過 AWS SDKs和 CLI 使用 AWS 選擇加入區域中儲存貯體的 S3 AWS 多區域存取點。若要使用選擇加入區域中的儲存貯體刪除多區域存取點,請務必指定您的帳戶可以先使用哪些 AWS 選擇加入區域。否則,如果您嘗試刪除在已停用 AWS 選擇加入區域中使用儲存貯體的多區域存取點,您會收到錯誤。
## 使用 S3 主控台
**刪除多區域存取點**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選取多區域存取點名稱旁的選項按鈕。
1. 選擇 **刪除**。
1. 在**刪除多區域存取點**對話方塊中,輸入您要刪除的 AWS 儲存貯體名稱。
**注意**
請務必輸入有效的儲存貯體名稱。否則,**刪除**按鈕將遭停用。
1. 選擇**刪除**,確認刪除多區域存取點。
## 使用 AWS CLI
您可以使用 AWS CLI 刪除多區域存取點。此動作不會刪除與多區域存取點相關聯的儲存貯體,僅會刪除多區域存取點本身。若要使用此範例命令,請以您自己的資訊取代 `user input placeholders`。
```
aws s3control delete-multi-region-access-point --account-id 123456789012 --details Name=example-multi-region-access-point-name
```
# 設定多區域存取點以搭配 使用 AWS PrivateLink
您可以使用多區域存取點,來路由 AWS 區域之間的 Amazon S3 請求流量。每個多區域存取點全域端點會從多個來源路由 Amazon S3 資料請求流量,而無需使用單一端點建立複雜的聯網組態。這些資料請求流量來源包括:
+ 來自虛擬私有雲端 (VPC) 的流量
+ 來自內部部署資料中心的流量經過 AWS PrivateLink
+ 來自公有網際網路的流量
如果您建立 S3 多區域存取點的 AWS PrivateLink 連線,您可以使用簡單的網路架構和組態 AWS 區域,透過私有連線將 S3 請求路由到多個 AWS或跨多個 。使用 時 AWS PrivateLink,您不需要設定 VPC 互連連線。
**Topics**
+ [設定多區域存取點選擇加入區域](ConfiguringMrapOptInRegions.md)
+ [設定多區域存取點以搭配 使用 AWS PrivateLink](MultiRegionAccessPointsPrivateLink.md)
+ [從 VPC 端點刪除對多區域存取點的存取](RemovingMultiRegionAccessPointAccess.md)
# 設定多區域存取點選擇加入區域
AWS 選擇加入區域是您帳戶中預設 AWS 未啟用的區域。相反地,預設啟用的區域稱為 AWS 區域 或商業區域。
若要在 AWS 選擇加入區域中開始使用多區域存取點,您必須先手動啟用 AWS 帳戶的選擇加入區域,才能建立多區域存取點。啟用選擇加入區域之後,您可以在選取的選擇加入區域中使用儲存貯體來建立多區域存取點。如需如何為 AWS 您的帳戶或 AWS 組織啟用或停用選擇加入區域的指示,請參閱[啟用或停用獨立帳戶的區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)[,或啟用或停用組織中的區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization)。
**注意**
目前僅支援透過 AWS SDKs和 的多區域存取點選擇加入區域 AWS CLI。
S3 多區域存取點支援下列 AWS 選擇加入區域:
+ `Africa (Cape Town)`
+ `Asia Pacific (Hong Kong)`
+ `Asia Pacific (Jakarta)`
+ `Asia Pacific (Melbourne)`
+ `Asia Pacific (Hyderabad)`
+ `Canada West (Calgary)`
+ `Europe (Zurich)`
+ `Europe (Milan)`
+ `Europe (Spain)`
+ `Israel (Tel Aviv)`
+ `Middle East (Bahrain)`
+ `Middle East (UAE)`
**注意**
啟用選擇加入區域無需額外費用。不過,在多區域存取點中建立或使用資源,會產生帳單費用。
## 在 AWS 選擇加入區域中使用多區域存取點
若要在多區域存取點上執行[資料平面操作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html),所有關聯的 AWS 帳戶都必須啟用屬於多區域存取點一部分的選擇加入區域。此要求適用於申請者帳戶、多區域存取點擁有者、S3 儲存貯體擁有者和 VPC 端點擁有者。如果這些帳戶中的任何一個未啟用 AWS 選擇加入區域,多區域存取點請求便會失敗。如需有關 `InvalidToken` 或 `AllAccessDisabled` 錯誤的詳細資訊,請參閱[錯誤代碼清單](https://docs.aws.amazon.com/AmazonS3/latest/API/ErrorResponses.html#ErrorCodeList)。
**注意**
[控制平面操作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html) (例如更新多區域存取點政策或更新容錯移轉組態),不會受到多區域存取點中任何區域的選擇加入區域狀態的影響。在刪除多區域存取點之前,也不需要停用任何作用中的選擇加入區域。
## 停用作用中 AWS 的選擇加入區域
如果您停用屬於多區域存取點的加入區域,路由到此區域的請求會導致 `403 AllAccessDisabled` 錯誤。若要安全地停用選擇加入區域,建議您先在多區域存取點組態中識別要路由流量的替代區域。然後,您可以使用多區域存取點容錯移轉控制項,將替代區域標記為作用中,並將要停用的區域標記為被動。變更容錯移轉控制項之後,您可以停用要選擇退出的區域。
## 啟用先前停用 AWS 的選擇加入區域
若要為多區域存取點啟用先前已停用的選擇加入 AWS 區域,請務必更新 AWS 您的帳戶設定。重新啟用選擇加入區域之後,請執行 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html) API 操作,將多區域存取點政策套用至選擇加入區域。
如果您的多區域存取點是透過 VPC 端點存取,建議您更新 VPCE 政策,並使用 [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html) API 操作,將更新的 VPC 端點政策套用至重新啟用的選擇加入區域。
## 多區域存取點政策和多個 AWS 帳戶
如果您的多區域存取點政策授予多個 AWS 帳戶的存取權,則所有申請者帳戶也必須在其帳戶設定中啟用相同的選擇加入區域。如果申請者帳戶提交多區域存取點請求,但未啟用屬於多區域存取點一部分的選擇加入區域,則會導致 `400 InvalidToken` 錯誤。
## AWS 選擇加入區域考量事項
當您從選擇加入區域存取多區域存取點時,請注意下列事項:
+ 當您啟用選擇加入區域時,您可使用選擇加入區域的儲存貯體建立多區域存取點。當您停用選擇加入區域時,在選擇加入的區域中,不再支援多區域存取點。如果您不想再為多區域存取點啟用選擇加入區域,請務必先[停用帳戶的區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)。然後,使用您偏好的選擇加入區域清單,建立新的多區域存取點。
+ 如果您嘗試使用已停用的選擇加入區域建立多區域存取點,您將會遇到 `403 InvalidRegion` 錯誤。啟用選擇加入區域之後,請嘗試再次建立多區域存取點。
+ 多區域存取點支援的區域數目上限為 17 個區域。這包括選擇加入區域和商業區域。如需詳細資訊,請參閱[多區域存取點約束與限制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html)。
+ 即使您尚未選擇加入任何區域,多區域存取點的控制平面請求仍可運作。
+ 當您第一次嘗試建立多區域存取點時,您必須選擇加入屬於多區域存取點的所有區域。
+ 透過多區域存取點政策授予 S3 多區域存取點存取權的任何 AWS 帳戶,也必須啟用屬於多區域存取點的相同選擇加入區域。
# 設定多區域存取點以搭配 使用 AWS PrivateLink
AWS PrivateLink 使用虛擬私有雲端 (VPC) 中的私有 IP 地址,為您提供 Amazon S3 的私有連線。您可以在 VPC 內佈建一個或多個介面端點,以連接到 Amazon S3 多區域存取點。
您可以透過 AWS 管理主控台 AWS CLI或 AWS SDKs,為多區域存取點建立 **com.amazonaws.s3-global.accesspoint** 端點。若要進一步了解如何設定多區域存取點的界面端點,請參閱《*VPC 使用者指南*》中的[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)。
若要透過界面端點向多區域存取點提出要求,請依照下列步驟設定 VPC 和多區域存取點。
**設定多區域存取點以搭配 使用 AWS PrivateLink**
1. 建立或擁有可連線至多區域存取點的適當 VPC 端點。如需建立 VPC 端點的詳細資訊,請參閱 *VPC 使用者指南*中的《[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)》。
**重要**
務必建立 **com.amazonaws.s3-global.accesspoint** 端點。其他端點類型無法存取多區域存取點。
建立此 VPC 端點之後,VPC 中的所有多區域存取點請求都會透過此端點路由 (如果您已為端點啟用私有 DNS)。其預設為啟用。
1. 如果多區域存取點政策不支援來自 VPC 端點的連線,您將需要更新它。
1. 確認個別儲存貯體政策將允許存取多區域存取點的使用者。
請記住,多區域存取點的運作方式是將請求路由至儲存貯體,而不是自行履行請求。請務必記住這一點,因為請求的建立者必須具有多區域存取點的許可,並允許存取多區域存取點中的個別儲存貯體。否則,請求可能會被路由到建立者沒有許可滿足請求的儲存貯體。多區域存取點和相關聯的儲存貯體可以由相同或另一個 AWS 帳戶擁有。不過,如果正確設定許可,則來自不同帳戶的 VPC 可以使用多區域存取點。
因此,VPC 端點政策必須允許存取多區域存取點,以及您希望能夠滿足請求的每個基礎儲存貯體。例如,假設您具有別名為 `mfzwi23gnjvgw.mrap` 的多區域存取點。它是由儲存貯體 `amzn-s3-demo-bucket1` 和 `amzn-s3-demo-bucket2` 提供支援,並且全部都由 AWS 帳戶 `123456789012` 擁有。在這種情況下,下列 VPC 端點政策會允許 `GetObject` 從 VPC 向 `mfzwi23gnjvgw.mrap` 提出的請求由任一後備儲存貯體來實現。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Read-buckets-and-MRAP-VPCE-policy",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*",
"arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
]
}]
}
```
------
如先前所述,您也必須確保多區域存取點政策已設定為可透過 VPC 端點支援存取。您不需要指定請求存取的 VPC 端點。下列範例政策會向嘗試將多區域存取點用於 `GetObject` 請求的任何申請者授予存取權限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Open-read-MRAP-policy",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
}]
}
```
------
當然,各個儲存貯體都需要一個政策來支援透過 VPC 端點提交的請求的存取。下列範例政策會授予任一匿名使用者的讀取存取權限,其中包含透過 VPC 端點發出的請求。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Public-read",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"]
}]
}
```
------
如需有關編輯 VPC 端點政策的詳細資訊,請參閱《VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
# 從 VPC 端點刪除對多區域存取點的存取
如果您擁有多區域存取點,並想要從介面端點刪除對其的存取,則您必須為多區域存取點提供新的存取政策,以防止透過 VPC 端點存取的請求存取。但是,如果多區域存取點中的儲存貯體支援透過 VPC 端點的請求,則它們將繼續支援這些請求。如果您想防止該支援,則您還必須更新儲存貯體的政策。為多區域存取點提供新的存取政策,僅會防止對多區域存取點的存取,不會防止對基礎儲存貯體的存取。
**注意**
您無法刪除多區域存取點的存取政策。若要刪除對多區域存取點的存取,您必須提供新的存取政策以及您想要的已修改存取。
您可以更新儲存貯體政策,防止透過 VPC 端點的請求,而非更新多區域存取點的存取政策。在這種情況下,使用者仍然可以透過 VPC 端點存取多區域存取點。但是,如果多區域存取點請求被路由到儲存貯體政策阻止存取的儲存貯體,則該請求會產生錯誤訊息。
# 透過多區域存取點提出請求
類似於其他資源,Amazon S3 多區域存取點具有 Amazon Resource Name (ARN)。您可以使用這些 ARNs,透過 AWS Command Line Interface (AWS CLI)、 AWS SDKs 或 Amazon S3 API 將請求導向多區域存取點。您也可以使用這些 ARN 來識別存取控制政策中的多區域存取點。多區域存取點 ARN 不會包含或揭露多區域存取點的名稱。如需 ARN 的詳細資訊,請參閱《AWS 一般參考》**中的 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。
**注意**
多區域存取點別名和 ARN 無法互換使用。
多區域存取點 ARN 會使用下列格式:
`arn:aws:s3::account-id:accesspoint/MultiRegionAccessPoint_alias`
以下是多區域存取點 ARN 的幾個範例:
+ `arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap` 代表由 擁有的具有別名 `mfzwi23gnjvgw.mrap`的多區域存取點 AWS 帳戶 `123456789012`。
+ `arn:aws:s3::123456789012:accesspoint/*` 代表帳戶 `123456789012` 下的所有多區域存取點。此 ARN 與帳戶 `123456789012` 的所有多區域存取點相符,但不符合任何區域 Amazon S3 Access Points,因為 ARN 不包含 AWS 區域。此 ARN `arn:aws:s3:us-west-2:123456789012:accesspoint/*` 與帳戶 `123456789012` 的區域 `us-west-2` 中的所有區域 Amazon S3 Access Points,但不符合任何多區域存取點。
透過多區域存取點存取的物件的 ARN 會使用下列格式。
`arn:aws:s3::account_id:accesspoint/MultiRegionAccessPoint_alias//key`
與多區域存取點 ARN 一樣,透過多區域存取點存取的物件的 ARN 不包含 AWS 區域。請見下方範例。
+ `arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap//-01` 代表由帳戶 `123456789012` 擁有且透過具有別名 `mfzwi23gnjvgw.mrap` 的多區域存取點存取的 `-01`。
+ `arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap//*` 代表透過帳戶 `123456789012` 中具有別名 `mfzwi23gnjvgw.mrap` 的多區域存取點存取的所有物件。
+ `arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap//-01/finance/*` 代表為帳戶 `123456789012` 中具有別名 `mfzwi23gnjvgw.mrap` 的多區域存取點而在 `-01/finance/` 下存取的所有物件。
## 多區域存取點主機名稱
您可以使用多區域存取點的主機名稱,透過多區域存取點存取 Amazon S3 中的資料。請求可以從公有網際網路導向至這個主機名稱。如果您已針對多區域存取點設定一或多個網際網路閘道,則請求也可以從公有網際網路或虛擬私有雲端 (VPC)導向至這個主機名稱。如需建立 VPC 介面端點以搭配使用多區域存取點的詳細資訊,請參閱 [設定多區域存取點以搭配 使用 AWS PrivateLink](MultiRegionAccessPointsPrivateLink.md)。
若要使用 VPC 端點,從 VPC 透過多區域存取點提出請求,您可以使用 AWS PrivateLink。當您使用 向多區域存取點提出請求時 AWS PrivateLink,您無法直接使用以 結尾的端點特定區域 DOMAIN NAME SYSTEM (DNS) 名稱`region.vpce.amazonaws.com`。此主機名稱不會具有與其相關聯的憑證,因此無法直接使用它。您仍然可以使用 VPC 端點的公有 網域名稱系統 (DNS) 名稱作為 `CNAME` 或 `ALIAS` 目標。或者,您可以在端點上啟用私有 網域名稱系統 (DNS),並使用標準的多區域存取點 `MultiRegionAccessPoint_alias.accesspoint.s3-global.amazonaws.com` 網域名稱系統 (DNS) 名稱,如本節所述。
當您透過多區域存取點,對 API 進行 Amazon S3 資料操作請求時 (例如,`GetObject`),請求的主機名稱如下。
`MultiRegionAccessPoint_alias.accesspoint.s3-global.amazonaws.com`
例如,若要透過具有別名 `mfzwi23gnjvgw.mrap` 的多區域存取點提出 `GetObject` 請求,請對主機名稱 `mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com` 提出請求。主機名稱的 `s3-global` 部分指出此主機名稱不適用於特定區域。
透過多區域存取點提出請求類似於透過單一區域存取點提出請求。不過,務必要注意以下差異:
+ 多區域存取點 ARN 不包含 AWS 區域。他們遵循格式 `arn:aws:s3::account-id:accesspoint/MultiRegionAccessPoint_alias`。
+ 對於透過 API 操作提出的請求 (這些請求不需要使用 ARN),多區域存取點會使用不同的端點結構描述。結構描述是 `MultiRegionAccessPoint_alias.accesspoint.s3-global.amazonaws.com` – 例如 `mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com`。請注意與單一區域存取點相比的差異:
+ 多區域存取點主機名稱使用其別名,而非多區域存取點名稱。
+ 多區域存取點主機名稱不包含擁有者的 AWS 帳戶 ID。
+ 多區域存取點主機名稱不包含 AWS 區域。
+ 多區域存取點主機名稱包含 `s3-global.amazonaws.com` 而非 `s3.amazonaws.com`。
+ 多區域存取點請求必須使用簽章版本 4A (SigV4A) 進行簽署。當您使用 AWS SDKs時,軟體開發套件會自動將 SigV4 轉換為 SigV4A。因此,請確認您的 [AWS SDK 支援](https://docs.aws.amazon.com/sdkref/latest/guide/feature-s3-mrap.html) SigV4a 作為簽署實作,用來簽署全域 AWS 區域 請求。如需 SigV4A 的詳細資訊,請參閱《》中的[簽署 AWS API 請求](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html)*AWS 一般參考*。
## 多區域存取點和 Amazon S3 Transfer Acceleration
Amazon S3 Transfer Acceleration 是一種可快速將資料傳輸至儲存貯體的功能。Transfer Acceleration 是在個別儲存貯體層級上設定的。如需 Transfer Acceleration 的詳細資訊,請參閱 [使用 Amazon S3 Transfer Acceleration 設定快速安全的檔案傳輸](transfer-acceleration.md)。
多區域存取點使用與 Transfer Acceleration 類似的加速傳輸機制,透過 AWS 網路傳送大型物件。因此,當透過多區域存取點傳送請求時,您不需要使用 Transfer Acceleration。這項提升的傳輸效能會自動納入多區域存取點。
**Topics**
+ [多區域存取點主機名稱](#MultiRegionAccessPointHostnames)
+ [多區域存取點和 Amazon S3 Transfer Acceleration](#MultiRegionAccessPointsAndTransferAcceleration)
+ [許可](MultiRegionAccessPointPermissions.md)
+ [多區域存取點約束與限制](MultiRegionAccessPointRestrictions.md)
+ [多區域存取點請求路由](MultiRegionAccessPointRequestRouting.md)
+ [Amazon S3 多區域存取點容錯移轉控制](MrapFailover.md)
+ [設定複寫以搭配多區域存取點使用](MultiRegionAccessPointBucketReplication.md)
+ [搭配支援的 API 操作使用多區域存取點](MrapOperations.md)
+ [監控與記錄透過多區域存取點對基礎資源提出的請求](MultiRegionAccessPointMonitoring.md)
# 許可
Amazon S3 多區域存取點可以簡化多個 Amazon S3 儲存貯體的資料存取 AWS 區域。多區域存取點是具名全域端點,您可以用來執行 Amazon S3 資料存取物件操作,例如 `GetObject` 和 `PutObject`。每個多區域存取點都可對透過全域端點提出的任何請求具有不同的許可和網路控制。
每個多區域存取點也可以強制執行自訂的存取政策,該政策可結合附加至基礎儲存貯體的儲存貯體政策運作。跨帳戶請求要成功,下列政策都必須允許操作:
+ 多區域存取點政策
+ underlying AWS Identity and Access Management (IAM) 政策
+ 基礎儲存貯體政策 (請求的路由位置)
**注意**
對於相同帳戶請求,只需要授予適當存取權的基礎 IAM 政策。
您可以將任何多區域存取點政策設定為僅接受來自特定 IAM 使用者或群組的請求。如需如何執行此操作的範例,請參閱 [多區域存取點政策範例](#MultiRegionAccessPointPolicyExamples) 中的範例 2。若要限制只能透過私有網絡存取 Amazon S3 資料,您可以將多區域存取點政策設定為僅接受來自虛擬私有雲端 (VPC) 的請求。
例如,假設您使用`AppDataReader` AWS 帳戶中名為 的使用者,透過多區域存取點提出`GetObject`請求。為了協助確保請求不會遭到拒絕,`AppDataReader` 使用者必須透過多區域存取點及多區域存取點下的每個儲存貯體獲授予 `s3:GetObject` 許可。`AppDataReader` 將無法從任何未授予此許可的儲存貯體中擷取資料。
**重要**
透過儲存貯體名稱或 Amazon Resource Name (ARN) 直接存取儲存貯體時,將儲存貯體的存取控制委派給多區域存取點政策不會變更儲存貯體的行為。直接針對儲存貯體進行的所有操作將繼續像以前一樣運作。您在多區域存取點政策中包含的限制僅適用透過該多區域存取點提出的請求。
## 管理多區域存取點的公開存取
多區域存取點對每個多區域存取點支援獨立的封鎖公開存取設定。建立多區域存取點時,您可以指定適用該多區域存取點的封鎖公開存取設定。
**注意**
即使多區域存取點的獨立封鎖公開存取設定已停用,在**此帳戶的封鎖公開存取設定** (您的帳戶) 或**外部儲存貯體的封鎖公開設定**下啟用的任何封鎖公開存取設定仍然適用。
對於透過多區域存取點提出的任何請求,Amazon S3 會評估下列項目的封鎖公開存取設定:
+ 多區域存取點
+ 基礎儲存貯體 (包括外部儲存貯體)
+ 擁有多區域存取點的帳戶
+ 擁有基礎儲存貯體 (包括外部帳戶) 的帳戶
如果這些設定中有任一指出應該封鎖請求,則 Amazon S3 會拒絕請求。如需 Amazon S3 封鎖公開存取功能的詳細資訊,請參閱 [封鎖對 Amazon S3 儲存體的公開存取權](access-control-block-public-access.md)。
**重要**
依預設,多區域存取點的所有封鎖公開存取設定都會啟用。您必須明確停用您不想套用至多區域存取點的任何設定。
在建立多區域存取點的封鎖公開存取設定後,您便無法再變更設定。
## 檢視多區域存取點的封鎖公開存取設定
**檢視多區域存取點的封鎖公開存取設定**
1.
登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選擇您要檢閱的多區域存取點名稱。
1. 選擇**許可**索引標籤。
1. 在 **Block Public Access settings for this Access Point** (此多區域存取點的封鎖公開存取設定) 下,檢閱多區域存取點的封鎖公開存取設定。
**注意**
在建立多區域存取點後,您無法編輯封鎖公開存取設定。因此,如果您要封鎖公開存取,請確定您的應用程式在沒有公開存取的情況下正常運作,然後再建立多區域存取點。
## 使用多區域存取點政策
下列範例多區域存取點政策會將存取權授予 IAM 使用者,以從您的多區域存取點列出和下載檔案。若要使用此範例政策,請以您自己的資訊取代 `user input placeholders`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"AWS":"arn:aws:iam::123456789012:user/JohnDoe"
},
"Action":[
"s3:ListBucket",
"s3:GetObject"
],
"Resource":[
"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias",
"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*"
]
}
]
}
```
------
若要使用 AWS Command Line Interface (AWS CLI),將您的多區域存取點政策與指定的多區域存取點建立關聯,請使用下列 `put-multi-region-access-point-policy` 命令。若要使用此範例命令,請以您自己的資訊取代 `user input placeholders`。每個多區域存取點只能有一個政策,因此對 `put-multi-region-access-point-policy` 動作提出的請求會取代與所指定多區域存取點相關聯的任何現有政策。
------
#### [ AWS CLI ]
```
aws s3control put-multi-region-access-point-policy
--account-id 111122223333
--details { "Name": "amzn-s3-demo-bucket-MultiRegionAccessPoint", "Policy": "{ \"Version\": \"2012-10-17\", \"Statement\": { \"Effect\": \"Allow\", \"Principal\": { \"AWS\": \"arn:aws:iam::111122223333:root\" }, \"Action\": [\"s3:ListBucket\", \"s3:GetObject\"], \"Resource\": [ \"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias", \"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*\" ] } }" }
```
------
若要查詢先前操作的結果,請使用下列命令:
------
#### [ AWS CLI ]
```
aws s3control describe-multi-region-access-point-operation
--account-id 111122223333
--request-token-arn requestArn
```
------
若要擷取您的多區域存取點政策,請使用下列命令:
------
#### [ AWS CLI ]
```
aws s3control get-multi-region-access-point-policy
--account-id 111122223333
--name=amzn-s3-demo-bucket-MultiRegionAccessPoint
```
------
## 編輯多區域存取點政策
多區域存取點政策 (以 JSON 撰寫) 可讓與此多區域存取點搭配使用的 Amazon S3 儲存貯體存取儲存體。您可以允許或拒絕特定主體對多區域存取點執行各種動作。當透過多區域存取點將請求路由至儲存貯體時,多區域存取點的這兩個存取政策都適用。限制性較高的存取政策一律優先採用。
**注意**
如果儲存貯體包含其他帳戶所擁有的物件,則多區域存取點政策不會套用至其他 AWS 帳戶擁有的物件。
在套用多區域存取點政策之後,無法刪除該政策。您可以編輯政策或建立覆寫現有政策的新政策。
**編輯多區域存取點政策**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選擇您要編輯其政策的多區域存取點名稱。
1. 選擇**許可**索引標籤。
1. 向下捲動至 **Multi-Region Access Point policy** (多區域存取點政策)。選擇 **Edit** (編輯)來更新政策 (以 JSON 表示)。
1. **Edit Multi-Region Access Point policy** (編輯多區域存取點政策) 頁面即會出現。您可以直接將政策輸入文字欄位中,也可以選擇 **Add statement** (新增陳述式),從下拉式清單中選取政策元素。
**注意**
主控台會自動顯示多區域存取點的 Amazon Resource Name (ARN),您可以在政策中使用該 ARN。例如多區域存取點政策,請見 [多區域存取點政策範例](#MultiRegionAccessPointPolicyExamples)。
## 多區域存取點政策範例
Amazon S3 多區域存取點支援 AWS Identity and Access Management (IAM) 資源政策。您可以使用這些政策,依資源、使用者或其他條件控制多區域存取點的使用。若要讓應用程式或使用者能夠透過多區域存取點存取物件,多區域存取點和基礎儲存貯體都必須允許該相同的存取。
若要允許同時對多區域存取點和基礎儲存貯體的存取,請執行下列其中一項操作:
+ **(建議)** 若要在使用 Amazon S3 多區域存取點時簡化存取控制,請將 Amazon S3 儲存貯體的存取控制委派給多區域存取點。如需如何執行此操作的範例,請參閱本節中的範例 1。
+ 將多區域存取點政策中的相同許可新增至基礎儲存貯體政策。
**重要**
透過儲存貯體名稱或 Amazon Resource Name (ARN) 直接存取儲存貯體時,將儲存貯體的存取控制委派給多區域存取點政策不會變更儲存貯體的行為。直接針對儲存貯體進行的所有操作將繼續像以前一樣運作。您在多區域存取點政策中包含的限制僅適用透過該多區域存取點提出的請求。
**Example 1 – 在儲存貯體政策中,委派存取權給特定多區域存取點 (針對相同帳戶或跨帳戶)**
下列範例儲存貯體政策允許完整儲存貯體存取特定多區域存取點。這表示對此儲存貯體的所有存取皆由附加至多區域存取點的政策控制。我們建議您針對不需要直接存取儲存貯體的所有使用案例,以此方式設定儲存貯體。您可以將此儲存貯體政策結構用於同一帳戶或其他帳戶的多區域存取點。
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "*",
"Resource" : [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointArn" : "arn:aws:s3::111122223333:accesspoint/example-multi-region-access-point" }
}
}]
}
```
如果您要授予存取權給多個多區域存取點,請務必列出每個多區域存取點。
**Example 2 - 在您的多區域存取點政策中將帳戶存取權授予多區域存取點**
下列多區域存取點政策允許帳戶 `123456789012` 許可,以列出和讀取由 *`MultiRegionAccessPoint_ARN`* 定義多區域存取點中包含的物件。
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:user/JohnDoe"
},
"Action": [
"s3:ListBucket",
"s3:GetObject"
],
"Resource": [
"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias",
"arn:aws:s3::111122223333:accesspoint/MultiRegionAccessPoint_alias/object/*"
]
}
]
}
```
**Example 3 - 允許儲存貯體清單的多區域存取點政策**
下列多區域存取點政策允許帳戶 `123456789012` 許可,以列出由 *`MultiRegionAccessPoint_ARN`* 定義多區域存取點中包含的物件。
# 多區域存取點約束與限制
Amazon S3 中的多區域存取點具有以下約束與限制:
## 名稱和別名
多區域存取點名稱必須符合下列要求:
+ 在單一 AWS 帳戶中必須是唯一的。
+ 必須以數字或小寫字母開頭。
+ 長度必須介於 3 與 50 個字元之間。
+ 不能以連字號 (`-`) 開頭和結尾。
+ 不能包含底線 (`_`)、大寫字母或句號 (`.`)
+ 建立之後,就無法再度編輯。
多區域存取點別名 (與多區域存取點名稱不同) 是由 Amazon S3 自動產生,無法編輯或重複使用。如需多區域存取點別名與多區域存取點名稱之間的差異,及其個別命名規則的詳細資訊,請參閱 [命名 Amazon S3 多區域存取點的規則](multi-region-access-point-naming.md)。
## 使用多區域存取點
您無法使用閘道端點透過多區域存取點存取資料。但您可以使用介面端點,透過多區域存取點存取資料。若要使用 AWS PrivateLink,您必須建立 VPC 端點。如需詳細資訊,請參閱[設定多區域存取點以搭配 使用 AWS PrivateLink](MultiRegionAccessPointsPrivateLink.md)。請注意,IPv6 不受支援。
若要搭配 Amazon CloudFront 使用多區域存取點,您必須將多區域存取點設定為 `Custom Origin` 分佈類型。如需各種原始伺服器類型的詳細資訊,請參閱[搭配 CloudFront 分佈使用各種原始伺服器](https://docs.aws.amazon.com//AmazonCloudFront/latest/DeveloperGuide/DownloadDistS3AndCustomOrigins.html)。如需搭配 Amazon CloudFront 使用多區域存取點的詳細資訊,請參閱《AWS 儲存體部落格》**上的[跨多個區域建置主動-主動鄰近型應用程式](https://aws.amazon.com/blogs/storage/building-an-active-active-latency-based-application-across-multiple-regions/)。
**注意**
S3 on Outposts 儲存貯體不受支援。
## 簽署 AWS API 請求
若要簽署 AWS API 請求,您的多區域存取點必須符合下列最低需求:
**注意**
多區域存取點不支援匿名請求。
+ 支援 Transport Layer Security (TLS) 1.2 版。
+ 支援第 4 版簽署程序 (SigV4A) – 此版本的 SigV4 允許為多個 AWS 區域簽署請求。此功能對於可能導致來自數個區域之一的資料存取的 API 操作非常有用。使用 AWS SDK 時,請提供您的登入資料,而對多區域存取點的請求將使用 Signature 第 4A 版,無需其他組態。請務必檢查您的 [AWS SDK](https://docs.aws.amazon.com/sdkref/latest/guide/feature-s3-mrap.html) 與 SigV4a 演算法的相容性。如需 SigV4A 的詳細資訊,請參閱《》中的[簽署 AWS API 請求](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html)*AWS 一般參考*。
**注意**
若要搭配臨時安全登入資料使用 SigV4A,例如使用 AWS Identity and Access Management (IAM) 角色時,您可以從 Regional AWS Security Token Service (AWS STS) 端點請求臨時登入資料。如果您從全域 AWS STS 端點請求臨時憑證 (`sts.amazonaws.com`),則必須先將全域端點工作階段權杖的區域相容性設定為在所有 AWS 區域中有效。如需詳細資訊,請參閱《*IAM 使用者指南*[AWS STS 》中的在 中管理 AWS 區域](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html) 。
## Amazon S3 API 操作
+ 只有在使用多區域存取點 ARN 時,才支援 `CopyObject` 做為目的地。
+ 不支援 S3 Batch Operations 功能。
## AWS SDKs
不支援 AWS SDKs。若要確認多區域存取點支援哪些 AWS SDKs,請參閱[與 AWS SDKs相容性](https://docs.aws.amazon.com/sdkref/latest/guide/feature-s3-mrap.html#s3-mrap-sdk-compat)。
## Service Quotas
請注意下列服務配額限制:
+ 每個帳戶最多可有 100 個多區域存取點。
+ 單一多區域存取點的限制為 17 個區域。
## 建立、刪除或修改多區域存取點
當您建立、刪除或修改多區域存取點時,請注意下列規則和限制:
+ 建立多區域存取點之後,您就無法從多區域存取點組態新增、修改或刪除儲存貯體。若要變更儲存貯體,您必須刪除整個多區域存取點並新建一個。如果刪除多區域存取點中的跨帳戶儲存貯體,重新連接此儲存貯體的唯一方法是,使用該帳戶中相同的名稱與區域,重新建立儲存貯體。
+ 只有在刪除多區域存取點之後,才能刪除多區域存取點中使用的基礎儲存貯體 (位在相同帳戶中)。
## 區域支援
**控制平面請求**
所有建立或維護多區域存取點的控制平面請求,都必須路由至 `US West (Oregon)` 區域。對於多區域存取點資料平面請求,不需要指定區域。
對於多區域存取點容錯移轉控制平面,請求必須路由至這五個受支援區域的其中一個。
+ `US East (N. Virginia)`
+ `US West (Oregon)`
+ `Asia Pacific (Sydney)`
+ `Asia Pacific (Tokyo)`
+ `Europe (Ireland)`
**預設啟用的區域**
您的多區域存取點支援下列預設 AWS 區域 (預設會在[您的 中啟用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)) 中的儲存貯體 AWS 帳戶:
+ `US East (N. Virginia)`
+ `US East (Ohio)`
+ `US West (N. California)`
+ `US West (Oregon)`
+ `Asia Pacific (Mumbai)`
+ `Asia Pacific (Osaka)`
+ `Asia Pacific (Seoul)`
+ `Asia Pacific (Singapore)`
+ `Asia Pacific (Sydney)`
+ `Asia Pacific (Tokyo)`
+ `Canada (Central)`
+ `Europe (Frankfurt)`
+ `Europe (Ireland)`
+ `Europe (London)`
+ `Europe (Paris)`
+ `Europe (Stockholm)`
+ `South America (São Paulo)`
**AWS 選擇加入區域**
您的多區域存取點也支援下列選擇加入 AWS 區域 (預設會在[您的 中停用](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)) 中的儲存貯體 AWS 帳戶:
+ `Africa (Cape Town)`
+ `Asia Pacific (Hong Kong)`
+ `Asia Pacific (Jakarta)`
+ `Asia Pacific (Melbourne)`
+ `Asia Pacific (Hyderabad)`
+ `Canada West (Calgary)`
+ `Europe (Zurich)`
+ `Europe (Milan)`
+ `Europe (Spain)`
+ `Israel (Tel Aviv)`
+ `Middle East (Bahrain)`
+ `Middle East (UAE)`
**注意**
啟用選擇加入區域無需額外費用。不過,在多區域存取點中建立或使用資源,會產生帳單費用。
設定或建立多區域存取點時,必須手動啟用選擇加入區域。如需有關多區域存取點的選擇加入區域行為的詳細資訊,請參閱 [設定多區域存取點選擇加入區域](ConfiguringMrapOptInRegions.md)。如需有關如何在 中啟用選擇加入區域的資訊 AWS 帳戶,請參閱《*AWS 帳戶管理參考指南*》中的[啟用或停用獨立帳戶的 區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)。
# 多區域存取點請求路由
當您透過多區域存取點提出請求時,Amazon S3 會決定與多區域存取點相關聯的儲存貯體中哪些儲存貯體最接近您。然後,Amazon S3 會將請求導向該儲存貯體,而不管其所在的 AWS 區域。
在多區域存取點將請求路由到最接近的儲存貯體之後,Amazon S3 處理請求的操作將與您直接向儲存貯體提出請求一樣。多區域存取點不知道 Amazon S3 儲存貯體的資料內容。因此,取得請求的儲存貯體可能不包含請求的資料。若要在 Amazon S3 儲存貯體中建立與多區域存取點相關聯的資料集,您可以設定 S3 跨區域複寫 (CRR)。然後,任何儲存貯體都可以成功履行 請求。
Amazon S3 會根據下列規則指示多區域存取點請求:
+ Amazon S3 根據鄰近性最佳化要滿足的請求。其可查看多區域存取點支援的儲存貯體,並將請求轉送到最接近的儲存貯體。
+ 如果請求指定現有資源 (例如 `GetObject`),Amazon S3 在滿足請求時*不會*考慮物件的名稱。這表示即便一個物件存在於多區域存取點的一個儲存貯體中,您的請求仍可以被路由到不包含該物件的儲存貯體。這樣一來,系統將會向用戶端 傳回 404 錯誤訊息。
為避免 404 錯誤,建議您為儲存貯體設定 S3 跨區域複寫 (CRR)。當您想要的物件位於多區域存取點的儲存貯體中,但它不位於請求要路由到的特定儲存貯體中時,複寫便有助於解決潛在問題。如需設定複寫的詳細資訊,請參閱 [設定複寫以搭配多區域存取點使用](MultiRegionAccessPointBucketReplication.md)。
為了確保使用您想要的特定物件來滿足您的請求,也建議您開啟儲存貯體版本控制,並在請求中包含版本 ID。這個方式有助於確保您擁有所要尋找的物件的正確版本。啟用版本控制的儲存貯體也可讓您復原意外覆寫的物件。如需更多詳細資訊,請參閱[在 S3 儲存貯體中使用 S3 版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)。
+ 如果請求是建立一個資源 (例如,`PutObject` 或 `CreateMultipartUpload`),則 Amazon S3 會使用最接近的儲存貯體來滿足請求。例如,假設一家影片公司想要支援從世界各地的影片上傳到儲存貯體。當使用者對多區域存取點提出 `PUT` 請求時,物件會放入最接近的儲存貯體中。若要讓全球大眾皆能以最低延遲下載該上傳影片,您能搭配使用雙向複寫和 CRR。搭配使用 CRR 與雙向複寫的話,可以確保與多區域存取點相關聯的儲存貯體中,所有內容皆保持同步。如需有關搭配多區域存取點使用複寫的詳細資訊,請參閱 [設定複寫以搭配多區域存取點使用](MultiRegionAccessPointBucketReplication.md)。
# Amazon S3 多區域存取點容錯移轉控制
使用 Amazon S3 多區域存取點容錯移轉控制,您可以在區域流量中斷期間維持業務持續性,同時也為您的應用程式提供多區域架構以滿足合規和備援需求。如果您的區域流量中斷,您可以使用多區域存取點容錯移轉控制來選取 Amazon S3 多區域存取點 AWS 區域 背後的哪些 將處理資料存取和儲存請求。
若要支援容錯移轉,您可以在主動-被動組態中設定多區域存取點,流量在正常情況下流向主動區域,以及待命時流向被動區域進行容錯移轉。
例如,若要執行容錯移轉至 AWS 區域 您選擇的 ,請將流量從主要 (作用中) 區域轉移到次要 (被動) 區域。在這樣的主動-被動組態中,一個儲存貯體為主動儲存貯體並接受流量,而另一個儲存貯體則為被動儲存貯體且不接受流量。被動儲存貯體用於災難復原。當您啟動容錯移轉時,所有流量 (例如 `GET` 或 `PUT` 請求) 都會導向至處於主動狀態的儲存貯體 (位於某個區域),並遠離處於被動狀態的儲存貯體 (位於另一個區域)。
如果您已使用雙向複寫規則啟用 S3 跨區域複寫 (CRR),則可以在容錯移轉期間將您的儲存貯體保持同步。此外,如果您已在主動-主動組態中啟用 CRR,Amazon S3 多區域存取點也可以從最接近的儲存貯體位置擷取資料,進而改善應用程式效能。
## AWS 區域 支援
使用 Amazon S3 多區域存取點容錯移轉控制,您的 S3 儲存貯體可以位於支援多區域存取點的 [17 個區域](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html)中的任何一個區域。您可以一次跨任何兩個區域啟動容錯移轉。
**注意**
雖然一次只能在兩個區域之間啟動容錯移轉,但您可以在多區域存取點中同時個別更新多個區域的路由狀態。
下列主題示範如何使用和管理 Amazon S3 多存取存取點容錯移轉控制。
**Topics**
+ [AWS 區域 支援](#RegionSupport)
+ [Amazon S3 多區域存取點路由狀態](FailoverConfiguration.md)
+ [使用 Amazon S3 多區域存取點容錯移轉控制](UsingFailover.md)
+ [Amazon S3 多區域存取點容錯移轉控制錯誤](mrap-failover-errors.md)
# Amazon S3 多區域存取點路由狀態
您的 Amazon S3 多區域存取點容錯移轉組態會決定與多區域存取點搭配使用之 AWS 區域 的路由狀態。您可以將 Amazon S3 多區域存取點設定為處於主動-主動狀態或主動-被動狀態。
+ **主動-主動** - 在主動-主動組態中,所有要求都會自動傳送到多區域存取點中最接近的 AWS 區域 。在將多區域存取點設定為處於主動-主動狀態之後,所有區域都可以接收流量。如果主動-主動組態中發生流量中斷,網路流量會自動重新導向至其中一個主動區域。
+ **主動-被動** - 在主動-被動組態中,多區域存取點中的主動區域會接收流量,而被動區域則不會接收流量。如果您打算在發生災難時使用 S3 容錯移轉控制來啟動容錯移轉,請在測試和執行災難復原規劃時,於主動-被動組態中設定多區域存取點。
# 使用 Amazon S3 多區域存取點容錯移轉控制
本節說明如何使用 AWS 管理主控台,來管理和使用您的 Amazon S3 多區域存取點容錯移轉控制。
多區域存取點詳細資訊頁面上**的容錯移轉組態**區段中有兩個容錯移轉控制項 AWS 管理主控台:**編輯路由狀態**和**容錯移轉**。您可以如下使用這些控制項:
+ **編輯路由狀態** – 您可以選擇編輯路由狀態,在多區域存取點的單一請求 AWS 區域 中手動**編輯高達 17 的路由狀態**。您可以基於作下列用途使用 **Edit routing status** (編輯路由狀態):
+ 設定或編輯多區域存取點中一或多個區域的路由狀態
+ 將兩個區域設定為處於主動-被動狀態,來建立多區域存取點的容錯移轉組態
+ 手動容錯移轉您的區域
+ 在區域之間手動切換流量
+ **Failover** (容錯移轉) - 當您選擇 **Failover** (容錯移轉) 來啟動容錯移轉時,只會更新已設定為處於主動-被動狀態之兩個區域的路由狀態。在您透過選擇 **Failover** (容錯移轉) 所啟動的容錯移轉期間,會自動切換兩個區域之間的路由狀態。
## 設定多區域存取點中區域的路由狀態
您可以透過在多區域存取點詳細資訊頁面上的**容錯移轉組態**區段 AWS 區域 中選擇**編輯路由狀態,在多區域存取點的單一請求中手動更新最多 17 個路由狀態**。不過,當您選擇 **Failover** (容錯移轉) 來啟動容錯移轉時,只會更新已設定為處於主動-被動狀態之兩個區域的路由狀態。在您透過選擇 **Failover** (容錯移轉) 所啟動的容錯移轉期間,會自動切換兩個區域之間的路由狀態。
您可以基於下列用途使用 **Edit routing status** (編輯路由狀態) (如下列程序所述):
+ 設定或編輯多區域存取點中一或多個區域的路由狀態
+ 將兩個區域設定為處於主動-被動狀態,來建立多區域存取點的容錯移轉組態
+ 手動容錯移轉您的區域
+ 在區域之間手動切換流量
### 使用 S3 主控台
**更新多區域存取點中區域的路由狀態**
1. 登入 AWS 管理主控台。
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選擇您要更新的多區域存取點。
1. 選擇 **Replication and failover** (複寫和容錯移轉) 索引標籤。
1. 選取一或多個您要編輯其路由狀態的區域。
**注意**
若要啟動容錯移轉,必須至少 AWS 區域 將一個 指定為**作用中**,並且必須在多區域存取點中將一個區域指定為**被動**。
1. 選擇 **Edit routing status** (編輯路由狀態)。
1. 在出現的對話方塊中,針對每個區域的 **Routing status** (路由狀態) 選取 **Active** (主動) 或 **Passive** (被動)。
主動狀態允許將流量路由至該區域。被動狀態阻止任何流量導向至該地區。
如果您要為多區域存取點建立容錯移轉組態或啟動容錯移轉, AWS 區域 則必須至少將一個 指定為**作用中**,且多區域存取點中必須將一個區域指定為**被動**。
1. 選擇 **Save routing status** (儲存路由狀態)。重新導向流量大約需要 2 分鐘。
為多區域存取點提交 AWS 區域 的路由狀態後,您可以驗證路由狀態變更。若要驗證這些變更,請前往 Amazon CloudWatch (網址為 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)),來監控 Amazon S3 資料請求流量 (例如,`GET` 和 `PUT` 請求) 在主動區域與被動區域之間的轉移情況。在容錯移轉期間,任何現有的連線都不會終止。現有連線會繼續進行,直到其達到成功或失敗狀態為止。
### 使用 AWS CLI
**注意**
您可以對下列五個區域中的任何一個區域執行多區域存取點 AWS CLI 路由命令:
`ap-southeast-2`
`ap-northeast-1`
`us-east-1`
`us-west-2`
`eu-west-1`
下列範例命令會更新目前的多區域存取點路由組態。若要更新儲存貯體的主動或被動狀態,請將 `TrafficDialPercentage` 值設為 `100` 表示主動,以及設為 `0` 表示被動。在此範例中,`amzn-s3-demo-bucket1` 會設為主動,而 *amzn-s3-demo-bucket2* 會設為被動。若要使用此範例命令,請以您自己的資訊取代 `user input placeholders`。
```
aws s3control submit-multi-region-access-point-routes
--region ap-southeast-2
--account-id 123456789012
--mrap MultiRegionAccessPoint_ARN
--route-updates Bucket=amzn-s3-demo-bucket1,TrafficDialPercentage=100
Bucket=amzn-s3-demo-bucket2
,TrafficDialPercentage=0
```
下列範例命令會取得您更新的多區域存取點路由組態。若要使用此範例命令,請以您自己的資訊取代 `user input placeholders`。
```
aws s3control get-multi-region-access-point-routes
--region eu-west-1
--account-id 123456789012
--mrap MultiRegionAccessPoint_ARN
```
## 啟動容錯移轉
當您在多區域存取點詳細資料頁面的 **Failover configuration** 容錯移轉組態區段中選擇 **Failover** (容錯移轉) 來啟動容錯移轉時,Amazon S3 請求流量會自動轉移到替代 AWS 區域。容錯移轉程序會在 2 分鐘內完成。
您可以 AWS 區域 一次跨任兩個 (支援多區域存取點的 [17 個區域中](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html)) 啟動容錯移轉。然後,容錯移轉事件會記錄在 AWS CloudTrail中。容錯移轉完成後,您可以在 Amazon CloudWatch 中監控 Amazon S3 流量,以及新主動區域的任何流量路由更新。
**重要**
若要在資料複寫期間跨儲存貯體將所有中繼資料和物件保持同步,建議您建立雙向複寫規則,並啟用複本修改同步,然後再設定您的容錯移轉控制。
雙向複寫規則有助於確保將資料寫入流量容錯移轉至其中的 Amazon S3 儲存貯體時,該資料隨後會複寫回來源儲存貯體。複本修改同步有助於確保在雙向複寫期間,物件中繼資料也會在儲存貯體之間同步。
如需設定複寫以支援容錯移轉的詳細資訊,請參閱 [設定複寫以搭配多區域存取點使用](MultiRegionAccessPointBucketReplication.md)。
**在複寫的儲存貯體之間啟動容錯移轉**
1. 登入 AWS 管理主控台。
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選擇您要用來啟動容錯移轉的多區域存取點。
1. 選擇 **Replication and failover** (複寫和容錯移轉) 索引標籤。
1. 向下捲動至 **Failover configuration** (容錯移轉組態) 區段,然後選取兩個 AWS 區域。
**注意**
若要啟動容錯移轉,必須至少 AWS 區域 將一個 指定為**作用中**,且必須在多區域存取點中將一個區域指定為**被動**。主動狀態允許將流量導向至某個區域。被動狀態阻止任何流量導向至該地區。
1. 選擇 **Failover (容錯移轉)**。
1. 在對話方塊中,再次選擇 **Failover** (容錯移轉) 來啟動容錯移轉程序。在此過程中,會自動切換兩個區域的路由狀態。所有新流量都會導向到變成主動的區域,並且流量會阻止導向至變成被動的區域。重新導向流量大約需要 2 分鐘。
啟動容錯移轉程序之後,您可以驗證流量變更。若要驗證這些變更,請前往 Amazon CloudWatch (網址為 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)),來監控 Amazon S3 資料請求流量 (例如,`GET` 和 `PUT` 請求) 在主動區域與被動區域之間的轉移情況。在容錯移轉期間,任何現有的連線都不會終止。現有連線會繼續進行,直到其達到成功或失敗狀態為止。
## 檢視您的 Amazon S3 多區域存取點路由狀態
### 使用 S3 主控台
**檢視您的 Amazon S3 多區域存取點的路由狀態**
1. 登入 AWS 管理主控台。
1. 開啟位於 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/) 的 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選擇您要檢閱的多區域存取點。
1. 選擇 **Replication and failover** (複寫和容錯移轉) 索引標籤。此頁面顯示多區域存取點的路由組態詳細資訊和摘要、相關聯的複寫規則,以及複寫指標。您可以在 **Failover configuration** (容錯移轉組態) 區段中查看區域的路由狀態。
### 使用 AWS CLI
下列範例 AWS CLI 命令會取得指定區域的目前多區域存取點路由組態。若要使用此範例命令,請以您自己的資訊取代 `user input placeholders`。
```
aws s3control get-multi-region-access-point-routes
--region eu-west-1
--account-id 123456789012
--mrap MultiRegionAccessPoint_ARN
```
**注意**
此命令只能針對下列五個區域執行:
`ap-southeast-2`
`ap-northeast-1`
`us-east-1`
`us-west-2`
`eu-west-1`
# Amazon S3 多區域存取點容錯移轉控制錯誤
當更新多區域存取點的容錯移轉組態時,您可能會遇到下列其中一個錯誤:
+ HTTP 400 錯誤的請求如果您在更新容錯移轉組態時輸入無效的多區域存取點 ARN,就會發生這種錯誤。您可以檢閱多區域存取點政策,以確認您的多區域存取點 ARN。若要檢閱或更新您的多區域存取點政策,請參閱[編輯多區域存取點政策](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingFailover.html#editing-mrap-policy)。如果您在更新 Amazon S3 多區域存取點容錯移轉控制時使用空字串或隨機字串,也可能發生此錯誤。請確定使用多區域存取點 ARN 格式:
`arn:aws:s3::account-id:accesspoint/MultiRegionAccessPoint_alias`
+ HTTP 503 速度變慢:如果您在短時間內傳送太多請求,就會發生此錯誤。遭拒的請求會導致錯誤。
+ HTTP 409 衝突:當兩個以上並行路由組態更新請求將單一多區域存取點設為目標時,就會發生此錯誤。第一個請求成功,但任何其他請求都會失敗並顯示錯誤。
+ 不允許 HTTP 405 方法:當您在啟動容錯移轉時選取只有一個 的多區域存取點 AWS 區域 時,會發生此錯誤。您必須選取兩個區域,然後才能啟動容錯移轉。否則會傳回一個錯誤。
# 設定複寫以搭配多區域存取點使用
當您對多區域存取點端點提出請求時,Amazon S3 會自動將請求路由到最接近您的儲存貯體。在做出這個決策時,Amazon S3 不會考慮請求的內容。如果您向 `GET` 物件提出請求,則您的請求可能會被路由到沒有此物件複本的儲存貯體。如果發生這種情況,您會收到 HTTP 狀態碼 404 (找不到) 錯誤。如需有關多區域存取點請求路由的詳細資訊,請參閱 [多區域存取點請求路由](MultiRegionAccessPointRequestRouting.md)。
如果您希望多區域存取點能夠擷取物件,而不管哪個儲存貯體收到請求,則您必須設定 Amazon S3 跨區域複寫 (CRR)。
例如,請考慮具有三個儲存貯體的多區域存取點:
+ 區域 `US West (Oregon)` 中名為 `amzn-s3-demo-bucket1` 的儲存貯體,其中包含物件 `my-image.jpg`
+ 區域 `Asia Pacific (Mumbai)` 中名為 `amzn-s3-demo-bucket2` 的儲存貯體,其中包含物件 `my-image.jpg`
+ 區域 `Europe (Frankfurt)` 中名為 `amzn-s3-demo-bucket` 的儲存貯體,其中不包含物件 `my-image.jpg`
在此情況下,如果您對物件 `my-image.jpg` 提出 `GetObject` 請求,則該請求的成功與否取決於哪個儲存貯體會收到您的請求。由於 Amazon S3 不會考慮請求的內容,因此可能會將您的 `GetObject` 請求路由到 `amzn-s3-demo-bucket` 儲存貯體 (如果該儲存貯體回應最接近)。即使您的物件位於多區域存取點的儲存貯體中,您也會收到 404 (找不到) 錯誤,因為接收請求的個別儲存貯體沒有該物件。
啟用跨區域複寫 (CRR) 可協助避免此結果。使用適當的複製規則,`my-image.jpg` 物件便會複製到 `amzn-s3-demo-bucket` 儲存貯體。因此,如果 Amazon S3 將您的請求路由到該儲存貯體,您現在可以擷取物件。
對指派給多區域存取點的儲存貯體,複寫功能會正常運作。Amazon S3 不會對位於多區域存取點中的儲存貯體執行任何特殊複寫處理。如需有關在您的儲存貯體中設定複寫的詳細資訊,請參閱 [設定即時複寫概觀](replication-how-setup.md)。
**搭配多區域存取點使用複寫的建議**
如需在使用多區域存取點時取得最佳的複寫效能,建議您採取下列動作:
+ 設定 S3 複寫時間控制 (S3 RTC)。若要在可預測的時間範圍內跨不同區域複寫您的資料,您可以使用 S3 RTC。S3 RTC 會在 15 分鐘內,複寫 99.99% 在 Amazon S3 中存放的新物件 (由服務水準協議支援)。如需詳細資訊,請參閱[使用 S3 複寫時間控制來滿足合規要求](replication-time-control.md)。對於 S3 RTC 需另外付費。如需詳細資訊,請參閱 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)。
+ 使用雙向複寫,以支援在透過多區域存取點更新儲存貯體時,保持儲存貯體同步。如需詳細資訊,請參閱[針對您的多區域存取點建立雙向複寫規則](mrap-create-two-way-replication-rules.md)。
+ 建立跨帳戶多區域存取點,將資料複寫到個別 AWS 帳戶中的儲存貯體。此方法提供帳戶層級的分隔,因此可以從來源儲存貯體以外,不同區域的不同帳戶存取和複寫資料。設定跨帳戶多區域存取點無需額外費用。如果您是儲存貯體擁有者,但不擁有多區域存取點,則只需支付資料傳輸和請求費用。多區域存取點擁有者需支付資料路由和網際網路加速費用。如需詳細資訊,請參閱 [Simple Storage Service (Amazon S3) 定價](https://aws.amazon.com/s3/pricing/)。
+ 針對每個複寫規則啟用複本修改同步,也會將您物件的中繼資料變更保持同步。如需詳細資訊,請參閱[啟用複本修改同步](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-for-metadata-changes.html#enabling-replication-for-metadata-changes)。
+ 啟用 Amazon CloudWatch 指標來[監控複寫事件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-metrics.html)。CloudWatch 指標費用適用。如需詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。
**Topics**
+ [針對您的多區域存取點建立雙向複寫規則](mrap-create-one-way-replication-rules.md)
+ [針對您的多區域存取點建立雙向複寫規則](mrap-create-two-way-replication-rules.md)
+ [檢視您的多區域存取點複寫規則](mrap-view-replication-rules.md)
# 針對您的多區域存取點建立雙向複寫規則
複寫規則可讓物件跨區域進行自動和非同步複製。單向複寫規則有助於確保資料完全從一個來源儲存貯體複寫 AWS 區域 到另一個區域中的目的地儲存貯體。當設定單向複寫時,會建立從來源儲存貯體 (*amzn-s3-demo-bucket*) 複寫至目的地儲存貯體 (*amzn-s3-demo-bucket*) 的複寫規則。如同所有複寫規則,您可以將單向複寫規則套用至整個 Amazon S3 儲存貯體,也可以套用至由字首或物件索引標籤篩選的物件子集。
**重要**
如果您的使用者只會使用目的地儲存貯體中的物件,建議您使用單向複寫。如果您的使用者要上傳或修改目的地儲存貯體中的物件,請使用雙向複寫,保持所有儲存貯體同步。如果您打算將多區域存取點用於容錯移轉,建議您使用雙向複寫。若要設定雙向複寫,請參閱 [針對您的多區域存取點建立雙向複寫規則](mrap-create-two-way-replication-rules.md)。
**針對您的多區域存取點建立單向複寫規則**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選擇多區域存取點名稱。
1. 選擇 **Replication and failover** (複寫和容錯移轉) 索引標籤。
1. 向下捲動至 **Replication rules** (複寫規則),然後選擇 **Create replication rules** (建立複寫規則)。請確保您有足夠的權限建立複寫規則,否則版本控制將遭停用。
**注意**
您只能針對帳戶內的儲存貯體建立複寫規則。若要為外部儲存貯體建立複寫規則,儲存貯體擁有者必須為這些儲存貯體建立複寫規則。
1. 在**建立複寫規則**頁面上,選擇**將物件從一或多個來源儲存貯體複寫到一或多個目的地儲存貯體**範本。
**重要**
當您使用此範本建立複寫規則時,它們會取代任何已指派給儲存貯體的現有複寫規則。
若要新增或修改任何現有的複寫規則,而不是取代它們,請前往主控台中每個儲存貯體的 **Management** (管理) 索引標籤,然後在 **Replication rules** (複寫規則) 區段中編輯規則。您也可以使用 、 SDKs 或 REST API AWS CLI來新增或修改現有的複寫規則。如需詳細資訊,請參閱[複寫組態檔案元素](replication-add-config.md)。
1. 在**來源和目的地**區段中,請在**來源儲存貯體**下,選取一或多個您要從中複寫物件的儲存貯體。針對複寫選擇的所有儲存貯體 (來源和目的地) 都必須啟用 S3 版本控制,且每個儲存貯體必須位於不同的 AWS 區域中。如需 S3 版本控制的詳細資訊,請參閱[在 Amazon S3 儲存貯體中使用儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)。
在**目的地儲存貯體**下,選取一或多個您要複寫物件的目的地儲存貯體。
1. 在 **Replication rule configuration** (複寫規則組態) 區段中,選擇複寫規則在建立時將 **Enabled** (啟用) 還是 **Disabled** (停用)。
**注意**
您無法在 **Replication rule name** (複寫規則名稱) 方塊中輸入名稱。建立複寫規則時,會根據您的組態產生複寫規則名稱。
1. 在 **Scope** (範圍) 區段中,針對您的複寫選擇適當的範圍。
+ 若要複寫整個儲存貯體,請選擇 **Apply to all objects in the bucket** (套用至儲存貯體中的所有物件)。
+ 若要複寫儲存貯體中的物件子集,請選擇**Limit the scope of this rule using one or more filters** (使用一或多個篩選器限制此規則的範圍)。
您可以使用字首、物件索引標籤或兩者的組合來篩選物件。
+ 若要限制複寫名稱以相同字串 (例如,`pictures`) 開頭的所有物件,請在 **Prefix** (字首) 方塊中輸入字首。
如果您輸入的字首是資料夾名稱,請務必使用 `/` (正斜線) 等分隔符號來表示階層 (例如,`pictures/`)。如需詳細了解字首,請參閱[使用字首組織物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html)。
+ 若要複寫具有一個或多個物件索引標籤的所有物件,請選擇 **Add tag** (新增標籤),然後在方塊中輸入鍵/值對。若要新增另一個索引標籤,請重複此程序,。如需物件標籤的詳細資訊,請參閱 [使用標籤為物件分類](object-tagging.md)。
1. 向下捲動至 **Additional replication options** (其他複寫選項) 區段,然後選取您要套用的複寫選項。
**注意**
建議您套用下列選項:
**Replication time control (RTC)** (複寫時間控制 (RTC)) - 若要在可預測的時間範圍內跨不同區域複寫您的資料,您可以使用 S3 複寫時間控制 (S3 RTC)。S3 RTC 會在 15 分鐘內,複寫 99.99% 在 Amazon S3 中存放的新物件 (由服務水準協議支援)。如需詳細資訊,請參閱[使用 S3 複寫時間控制來滿足合規要求](replication-time-control.md)。
**Replication metrics and notifications** (複寫指標和通知) - 啟用 Amazon CloudWatch 指標,以監控複寫事件。
**刪除標記複寫** — 複寫由 S3 刪除操作建立的刪除標記。由生命週期規則建立的刪除標記不會複寫。如需詳細資訊,請參閱[在儲存貯體間複寫刪除標記](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-marker-replication.html)。
對於 S3 RTC 和 CloudWatch 複寫指標和通知需支付額外費用。如需詳細資訊,請參閱 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)和 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。
1. 如果您正在撰寫新的複寫規則,取代現有複寫規則,請選取 **I acknowledge that by choosing Create replication rules, these existing replication rules will be overwritten ** (我確認藉由選擇 Create replication rules (建立複寫規則),這些現有的複寫規則將遭到覆寫)。
1. 選擇**建立複寫規則**,以建立並儲存新的單向複寫規則。
# 針對您的多區域存取點建立雙向複寫規則
複寫規則可讓物件跨區域進行自動和非同步複製。雙向複寫規則可確保資料在不同 AWS 區域的兩個以上儲存貯體之間完全同步。當設定雙向複寫時,會建立從來源儲存貯體 (DOC-EXAMPLE-BUCKET-1) 複寫至包含複本之儲存貯體 (DOC-EXAMPLE-BUCKET-2) 的複寫規則。然後,建立從包含複本 (DOC-EXAMPLE-BUCKET-2) 的儲存貯體複寫至來源儲存貯體 (DOC-EXAMPLE-BUCKET-1) 的第二個複寫規則。
如同所有複寫規則,您可以將雙向複寫規則套用至整個 Amazon S3 儲存貯體,也可以套用至由字首或物件索引標籤篩選的物件子集。您也可以針對每個複寫規則[啟用複本修改同步](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-for-metadata-changes.html#enabling-replication-for-metadata-changes),將您物件的中繼資料變更保持同步。您可以透過 Amazon S3 主控台、 AWS CLI、 AWS SDKs、Amazon S3 REST API 或 啟用複本修改同步 AWS CloudFormation。
若要監控 Amazon CloudWatch 中物件和物件中繼資料的複寫進度,請啟用 S3 複寫指標和通知。如需詳細資訊,請參閱[使用複寫指標和 Amazon S3 事件通知監控進度](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-metrics.html)。
**針對您的多區域存取點建立雙向複寫規則**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選擇您要更新的多區域存取點名稱。
1. 選擇 **Replication and failover** (複寫和容錯移轉) 索引標籤。
1. 向下捲動至 **Replication rules** (複寫規則),然後選擇 **Create replication rules** (建立複寫規則)。
1. 在 **Create replication rules** (建立複製規則) 頁面上,選擇 **Replicate objects among all specified buckets** (在所有指定儲存貯體之間複製物件) 範本。**Replicate objects among all specified buckets** (在所有指定儲存貯體之間複製物件) 範本會針對您的儲存貯體設定雙向複寫 (具有容錯移轉功能)。
**重要**
當您使用此範本建立複寫規則時,它們會取代任何已指派給儲存貯體的現有複寫規則。
若要新增或修改任何現有的複寫規則,而不是取代它們,請前往主控台中每個儲存貯體的 **Management** (管理) 索引標籤,然後在 **Replication rules** (複寫規則) 區段中編輯規則。您也可以使用、 AWS SDKs或 Amazon S3 REST API AWS CLI來新增或修改現有的複寫規則。如需詳細資訊,請參閱[複寫組態檔案元素](replication-add-config.md)。
1. 在 **Buckets** (儲存貯體) 區段中,至少選取兩個您要從中複寫物件的儲存貯體。針對複寫選擇的所有儲存貯體都必須啟用 S3 版本控制,且每個儲存貯體必須位於不同的 AWS 區域中。如需 S3 版本控制的詳細資訊,請參閱[在 Amazon S3 儲存貯體中使用儲存貯體](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)。
**注意**
請確認您具有建立複寫所需的讀取和複寫權限,否則將出現錯誤。如需更多詳細資訊,請參閱[建立 IAM 角色](https://docs.aws.amazon.com/AmazonS3/latest/userguide/setting-repl-config-perm-overview.html)。
1. 在 **Replication rule configuration** (複寫規則組態) 區段中,選擇複寫規則在建立時將 **Enabled** (啟用) 還是 **Disabled** (停用)。
**注意**
您無法在 **Replication rule name** (複寫規則名稱) 方塊中輸入名稱。建立複寫規則時,會根據您的組態產生複寫規則名稱。
1. 在 **Scope** (範圍) 區段中,針對您的複寫選擇適當的範圍。
+ 若要複寫整個儲存貯體,請選擇 **Apply to all objects in the bucket** (套用至儲存貯體中的所有物件)。
+ 若要複寫儲存貯體中的物件子集,請選擇**Limit the scope of this rule using one or more filters** (使用一或多個篩選器限制此規則的範圍)。
您可以使用字首、物件索引標籤或兩者的組合來篩選物件。
+ 若要限制複寫名稱以相同字串 (例如,`pictures`) 開頭的所有物件,請在 **Prefix** (字首) 方塊中輸入字首。
如果您輸入的字首是資料夾名稱,您必須使用 `/` (正斜線) 作為最後一個字元 (例如,`pictures/`)。
+ 若要複寫具有一個或多個物件索引標籤的所有物件,請選擇 **Add tag** (新增標籤),然後在方塊中輸入鍵/值對。若要新增另一個索引標籤,請重複此程序,。如需物件標籤的詳細資訊,請參閱 [使用標籤為物件分類](object-tagging.md)。
1. 向下捲動至 **Additional replication options** (其他複寫選項) 區段,然後選取您要套用的複寫選項。
**注意**
建議您套用下列選項,尤其是當您打算將多區域存取點設定為支援容錯移轉時:
**Replication time control (RTC)** (複寫時間控制 (RTC)) - 若要在可預測的時間範圍內跨不同區域複寫您的資料,您可以使用 S3 複寫時間控制 (S3 RTC)。S3 RTC 會在 15 分鐘內,複寫 99.99% 在 Amazon S3 中存放的新物件 (由服務水準協議支援)。如需詳細資訊,請參閱[使用 S3 複寫時間控制來滿足合規要求](replication-time-control.md)。
**Replication metrics and notifications** (複寫指標和通知) - 啟用 Amazon CloudWatch 指標,以監控複寫事件。
**刪除標記複寫** — 複寫由 S3 刪除操作建立的刪除標記。由生命週期規則建立的刪除標記不會複寫。如需詳細資訊,請參閱[在儲存貯體間複寫刪除標記](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-marker-replication.html)。
**Replica modification sync** (複本修改同步) - 針對每個複寫規則啟用複本修改同步,也會將您物件的中繼資料變更保持同步。如需詳細資訊,請參閱[啟用複本修改同步](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-for-metadata-changes.html#enabling-replication-for-metadata-changes)。
對於 S3 RTC 和 CloudWatch 複寫指標和通知需支付額外費用。如需詳細資訊,請參閱 [Amazon S3 定價](https://aws.amazon.com/s3/pricing/)和 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。
1. 如果您正在撰寫新的複寫規則,取代現有複寫規則,請選取 **I acknowledge that by choosing Create replication rules, these existing replication rules will be overwritten ** (我確認藉由選擇 Create replication rules (建立複寫規則),這些現有的複寫規則將遭到覆寫)。
1. 選擇 **Create replication rules** (建立複寫規則),以建立並儲存新的雙向複寫規則。
# 檢視您的多區域存取點複寫規則
透過多區域存取點,您便可以設定單向或雙向複寫規則。如需詳細了解如何管理複寫規則,請參閱[使用 Amazon S3 主控台管理複寫規則](https://docs.aws.amazon.com/AmazonS3/latest/userguide/disable-replication.html)。
**檢視您的多區域存取點複寫規則**
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/):// 開啟 Amazon S3 主控台。
1. 在左導覽窗格中,選擇 **Multi-Region Access Points** (多區域存取點)。
1. 選擇多區域存取點名稱。
1. 選擇 **Replication and failover** (複寫和容錯移轉) 索引標籤。
1. 向下捲動至**複寫規則**區段。本節列出所有針對您的多區域存取點,所建立的複寫規則。
**注意**
若您已從其他帳戶新增儲存貯體至此多區域存取點,則必須具有儲存貯體擁有者的 `s3:GetBucketReplication` 權限,才能檢視該儲存貯體的複寫規則。
# 搭配支援的 API 操作使用多區域存取點
Amazon S3 提供一組可管理多區域存取點的操作。Amazon S3 會同步處理其中一些操作,也會非同步處理另一些操作。當您叫用非同步操作時,Amazon S3 會先同步授權請求的操作。如果授權成功,Amazon S3 會傳回一個字符,而您可以用它來追蹤請求的操作的進度和結果。
**注意**
透過 Amazon S3 主控台提出的請求始終同步。主控台會等到請求完成後,才會允許您提交其他請求。
您可以使用 主控台檢視非同步操作的目前狀態和結果,也可以`DescribeMultiRegionAccessPointOperation`在 、 AWS CLI AWS SDKs或 REST API 中使用 。Amazon S3 會在回應非同步操作時提供追蹤字符。您可以將該追蹤字符作為 `DescribeMultiRegionAccessPointOperation` 的參數。當您包括追蹤字符時,Amazon S3 接著會傳回指定操作的目前狀態和結果,包括任何錯誤或相關的資源資訊。Amazon S3 會同步執行 `DescribeMultiRegionAccessPointOperation` 操作。
所有建立或維護多區域存取點的控制平面請求,都必須路由至 `US West (Oregon)` 區域。對於多區域存取點資料平面請求,不需要指定區域。對於多區域存取點容錯移轉控制平面,請求必須路由至五個受支援區域的其中一個。如需多區域存取點支援區域的詳細資訊,請參閱[多區域存取點約束與限制](MultiRegionAccessPointRestrictions.md)。
此外,您必須將 `s3:ListAllMyBuckets`許可授予提出管理多區域存取點請求的使用者、角色或其他 AWS Identity and Access Management (IAM) 實體。
下列範例示範如何在 Amazon S3 中搭配相容操作使用多區域存取點。
**Topics**
+ [多區域存取點與 AWS 服務 和 AWS SDKs相容性](#mrap-api-support)
+ [多區域存取點與 S3 操作的相容性](#mrap-operations-support)
+ [檢視您的多區域存取點路由狀態](#query-mrap-routing-configuration)
+ [更新您的基礎 Amazon S3 儲存貯體政策](#update-underlying-bucket-policy)
+ [更新多區域存取點路由組態](#update-mrap-route-configuration)
+ [在您的多區域存取點中將物件新增至儲存貯體](#add-bucket-mrap)
+ [從您的多區域存取點中擷取物件](#get-object-mrap)
+ [列出存放在以多區域存取點為基礎之儲存貯體的物件](#list-objects-mrap)
+ [搭配多區域存取點使用預先簽章的 URL](#use-presigned-url-mrap)
+ [使用以多區域存取點設定為請求者付款的儲存貯體](#use-requester-pays-mrap)
## 多區域存取點與 AWS 服務 和 AWS SDKs相容性
若要將多區域存取點與需要 Amazon S3 儲存貯體名稱的應用程式搭配使用,請在使用 AWS SDK 提出請求時使用多區域存取點的 Amazon Resource Name (ARN)。若要檢查哪些 AWS SDKs 與多區域存取點相容,請參閱與 [AWS SDKs的相容性](https://docs.aws.amazon.com/sdkref/latest/guide/feature-s3-mrap.html#s3-mrap-sdk-compat)。
## 多區域存取點與 S3 操作的相容性
您可以使用下列 Amazon S3 資料平面 API 操作,對儲存貯體中與多區域存取點相關聯的物件執行動作。下列 S3 操作可以接受多區域存取點 ARN:
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)
**注意**
多區域存取點僅在使用多區域存取點 ARN 時,才支援使用多區域存取點作為目的地的複製操作。
您可以使用下列 Amazon S3 控制平面操作,來建立和管理您的多區域存取點:
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateMultiRegionAccessPoint.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DescribeMultiRegionAccessPointOperation.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPoint.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointPolicyStatus.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetMultiRegionAccessPointRoutes.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListMultiRegionAccessPoints.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html)
+ [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_SubmitMultiRegionAccessPointRoutes.html)
## 檢視您的多區域存取點路由狀態
------
#### [ AWS CLI ]
下列範例命令會擷取您的多區域存取點路由組態,以便您可以查看儲存貯體目前的路由狀態。若要使用此範例命令,請以您自己的資訊取代 `user input placeholders`。
```
aws s3control get-multi-region-access-point-routes
--region eu-west-1
--account-id 111122223333
--mrap arn:aws:s3::111122223333:accesspoint/abcdef0123456.mrap
```
------
#### [ SDK for Java ]
下列適用於 Java 的 SDK 程式碼會擷取您的多區域存取點路由組態,以便您可以查看儲存貯體目前的路由狀態。若要使用此範例語法,請以您自己的資訊取代 `user input placeholders`。
```
S3ControlClient s3ControlClient = S3ControlClient.builder()
.region(Region.US_EAST_1)
.credentialsProvider(credentialsProvider)
.build();
GetMultiRegionAccessPointRoutesRequest request = GetMultiRegionAccessPointRoutesRequest.builder()
.accountId("111122223333")
.mrap("arn:aws:s3::111122223333:accesspoint/abcdef0123456.mrap")
.build();
GetMultiRegionAccessPointRoutesResponse response = s3ControlClient.getMultiRegionAccessPointRoutes(request);
```
------
#### [ SDK for JavaScript ]
下列適用於 JavaScript 的 SDK 程式碼會擷取您的多區域存取點路由組態,以便您可以查看儲存貯體目前的路由狀態。若要使用此範例語法,請以您自己的資訊取代 `user input placeholders`。
```
const REGION = 'us-east-1'
const s3ControlClient = new S3ControlClient({
region: REGION
})
export const run = async () => {
try {
const data = await s3ControlClient.send(
new GetMultiRegionAccessPointRoutesCommand({
AccountId: '111122223333',
Mrap: 'arn:aws:s3::111122223333:accesspoint/abcdef0123456.mrap',
})
)
console.log('Success', data)
return data
} catch (err) {
console.log('Error', err)
}
}
run()
```
------
#### [ SDK for Python ]
下列適用於 Python 的 SDK 程式碼會擷取您的多區域存取點路由組態,以便您可以查看儲存貯體目前的路由狀態。若要使用此範例語法,請以您自己的資訊取代 `user input placeholders`。
```
s3.get_multi_region_access_point_routes(
AccountId=111122223333,
Mrap=arn:aws:s3::111122223333:accesspoint/abcdef0123456.mrap)['Routes']
```
------
## 更新您的基礎 Amazon S3 儲存貯體政策
若要授予適當的存取權,您也必須更新基礎 Amazon S3 儲存貯體政策。下列範例將存取控制委派給多區域存取點政策。將存取控制委派給多區域存取點政策後,當透過多區域存取點進行請求時,系統不會再使用該儲存貯體政策來存取控制。
以下是範例儲存貯體政策,可將存取控制委派給多區域存取點政策。若要使用此範例儲存貯體政策,請以您自己的資訊取代 `user input placeholders`。若要透過 AWS CLI `put-bucket-policy`命令套用此政策,如下例所示,請將政策儲存在檔案中,例如 `policy.json`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::444455556666:root"
},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
],
"Condition": {
"StringEquals": {
"s3:DataAccessPointAccount": "444455556666"
}
}
}
]
}
```
------
下列 `put-bucket-policy` 範例命令會將更新的 S3 儲存貯體政策與您的 S3 儲存貯體建立關聯:
```
aws s3api put-bucket-policy
--bucket amzn-s3-demo-bucket
--policy file:///tmp/policy.json
```
## 更新多區域存取點路由組態
下列範例命令會更新多區域存取點路由組態。可以針對下列五個區域執行多區域存取點路由命令:
+ `ap-southeast-2`
+ `ap-northeast-1`
+ `us-east-1`
+ `us-west-2`
+ `eu-west-1`
在多區域存取點路由組態中,您可以將儲存貯體設為主動或被動路由狀態。主動儲存貯體會接收流量,而被動儲存貯體則不會接收流量。您可以將儲存貯體的 `TrafficDialPercentage` 值設為 `100` 表示主動或 `0` 表示被動,來設定儲存貯體的路由狀態。
------
#### [ AWS CLI ]
下列範例命令會更新您的多區域存取點路由組態。在此範例中,`amzn-s3-demo-bucket1` 會設為主動狀態,而 `amzn-s3-demo-bucket2` 會設為被動狀態。若要使用此範例命令,請以您自己的資訊取代 `user input placeholders`。
```
aws s3control submit-multi-region-access-point-routes
--region ap-southeast-2
--account-id 111122223333
--mrap arn:aws:s3::111122223333:accesspoint/abcdef0123456.mrap
--route-updates Bucket=amzn-s3-demo-bucket1,TrafficDialPercentage=100
Bucket=amzn-s3-demo-bucket2,TrafficDialPercentage=0
```
------
#### [ SDK for Java ]
下列適用於 Java 的 SDK 程式碼會更新您的多區域存取點路由組態。若要使用此範例語法,請以您自己的資訊取代 `user input placeholders`。
```
S3ControlClient s3ControlClient = S3ControlClient.builder()
.region(Region.ap-southeast-2)
.credentialsProvider(credentialsProvider)
.build();
SubmitMultiRegionAccessPointRoutesRequest request = SubmitMultiRegionAccessPointRoutesRequest.builder()
.accountId("111122223333")
.mrap("arn:aws:s3::111122223333:accesspoint/abcdef0123456.mrap")
.routeUpdates(
MultiRegionAccessPointRoute.builder()
.region("eu-west-1")
.trafficDialPercentage(100)
.build(),
MultiRegionAccessPointRoute.builder()
.region("ca-central-1")
.bucket("111122223333")
.trafficDialPercentage(0)
.build()
)
.build();
SubmitMultiRegionAccessPointRoutesResponse response = s3ControlClient.submitMultiRegionAccessPointRoutes(request);
```
------
#### [ SDK for JavaScript ]
下列適用於 JavaScript 的 SDK 程式碼會更新您的多區域存取點路由組態。若要使用此範例語法,請以您自己的資訊取代 `user input placeholders`。
```
const REGION = 'ap-southeast-2'
const s3ControlClient = new S3ControlClient({
region: REGION
})
export const run = async () => {
try {
const data = await s3ControlClient.send(
new SubmitMultiRegionAccessPointRoutesCommand({
AccountId: '111122223333',
Mrap: 'arn:aws:s3::111122223333:accesspoint/abcdef0123456.mrap',
RouteUpdates: [
{
Region: 'eu-west-1',
TrafficDialPercentage: 100,
},
{
Region: 'ca-central-1',
Bucket: 'amzn-s3-demo-bucket1',
TrafficDialPercentage: 0,
},
],
})
)
console.log('Success', data)
return data
} catch (err) {
console.log('Error', err)
}
}
run()
```
------
#### [ SDK for Python ]
下列適用於 Python 的 SDK 程式碼會更新您的多區域存取點路由組態。若要使用此範例語法,請以您自己的資訊取代 `user input placeholders`。
```
s3.submit_multi_region_access_point_routes(
AccountId=111122223333,
Mrap=arn:aws:s3::111122223333:accesspoint/abcdef0123456.mrap,
RouteUpdates= [{
'Bucket': amzn-s3-demo-bucket,
'Region': ap-southeast-2,
'TrafficDialPercentage': 10
}])
```
------
## 在您的多區域存取點中將物件新增至儲存貯體
若要將與多區域存取點相關聯的物件新增至儲存貯體,您可以使用 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) 操作。若要將多區域存取點中的所有儲存貯體保持同步,請啟用[跨區域複寫](MultiRegionAccessPointBucketReplication.md)。
**注意**
若要使用這項操作,您必須具有多區域存取點的 `s3:PutObject` 許可。如需多區域存取點許可需求的詳細資訊,請參閱 [許可](MultiRegionAccessPointPermissions.md)。
------
#### [ AWS CLI ]
下列範例資料平面請求會將 *`example.txt`* 上傳至指定的多區域存取點。若要使用此範例,請以您自己的資訊取代 *`user input placeholders`*。
```
aws s3api put-object --bucket arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap --key example.txt --body example.txt
```
------
#### [ SDK for Java ]
```
S3Client s3Client = S3Client.builder()
.build();
PutObjectRequest objectRequest = PutObjectRequest.builder()
.bucket("arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap")
.key("example.txt")
.build();
s3Client.putObject(objectRequest, RequestBody.fromString("Hello S3!"));
```
------
#### [ SDK for JavaScript ]
```
const client = new S3Client({});
async function putObjectExample() {
const command = new PutObjectCommand({
Bucket: "arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap",
Key: "example.txt",
Body: "Hello S3!",
});
try {
const response = await client.send(command);
console.log(response);
} catch (err) {
console.error(err);
}
}
```
------
#### [ SDK for Python ]
```
import boto3
client = boto3.client('s3')
client.put_object(
Bucket='arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap',
Key='example.txt',
Body='Hello S3!'
)
```
------
## 從您的多區域存取點中擷取物件
若要從多區域存取點中擷取物件,您可以使用 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) 操作。
**注意**
若要使用這項 API 操作,您必須具有多區域存取點的 `s3:GetObject` 許可。如需多區域存取點許可需求的詳細資訊,請參閱 [許可](MultiRegionAccessPointPermissions.md)。
------
#### [ AWS CLI ]
下列範例資料平面請求會從指定的多區域存取點中擷取 *`example.txt`*,並將其下載為 *`downloaded_example.txt`*。若要使用此範例,請以您自己的資訊取代 *`user input placeholders`*。
```
aws s3api get-object --bucket arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap --key example.txt downloaded_example.txt
```
------
#### [ SDK for Java ]
```
S3Client s3 = S3Client
.builder()
.build();
GetObjectRequest getObjectRequest = GetObjectRequest.builder()
.bucket("arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap")
.key("example.txt")
.build();
s3Client.getObject(getObjectRequest);
```
------
#### [ SDK for JavaScript ]
```
const client = new S3Client({})
async function getObjectExample() {
const command = new GetObjectCommand({
Bucket: "arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap",
Key: "example.txt"
});
try {
const response = await client.send(command);
console.log(response);
} catch (err) {
console.error(err);
}
}
```
------
#### [ SDK for Python ]
```
import boto3
client = boto3.client('s3')
client.get_object(
Bucket='arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap',
Key='example.txt'
)
```
------
## 列出存放在以多區域存取點為基礎之儲存貯體的物件
若要傳回存放在以多區域存取點為基礎之儲存貯體的物件清單,請使用 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) 操作。在下列範例命令中,使用多區域存取點的 ARN,列出指定多區域存取點的所有物件。在此情況下,多區域存取點 ARN 為:
`arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap`
**注意**
若要使用這項 API 操作,您必須具有多區域存取點的 `s3:ListBucket` 許可和基礎儲存貯體。如需多區域存取點許可需求的詳細資訊,請參閱 [許可](MultiRegionAccessPointPermissions.md)。
------
#### [ AWS CLI ]
下列範例資料平面請求會列出以 ARN 所指定多區域存取點為基礎之儲存貯體中的物件。若要使用此範例,請以您自己的資訊取代 *`user input placeholders`*。
```
aws s3api list-objects-v2 --bucket arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap
```
------
#### [ SDK for Java ]
```
S3Client s3Client = S3Client.builder()
.build();
String bucketName = "arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap";
ListObjectsV2Request listObjectsRequest = ListObjectsV2Request
.builder()
.bucket(bucketName)
.build();
s3Client.listObjectsV2(listObjectsRequest);
```
------
#### [ SDK for JavaScript ]
```
const client = new S3Client({});
async function listObjectsExample() {
const command = new ListObjectsV2Command({
Bucket: "arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap",
});
try {
const response = await client.send(command);
console.log(response);
} catch (err) {
console.error(err);
}
}
```
------
#### [ SDK for Python ]
```
import boto3
client = boto3.client('s3')
client.list_objects_v2(
Bucket='arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap'
)
```
------
## 搭配多區域存取點使用預先簽章的 URL
您可以使用預先簽章的 URL 來產生一個 URL,允許其他人透過 Amazon S3 多區域存取點存取 Amazon S3 儲存貯體。當建立預先簽章的 URL 時,您會將其與 S3 上傳 (`PutObject`) 或 S3 下載 (`GetObject`) 等特定物件動作建立關聯。您可以共用預先簽章的 URL,且擁有存取權的任何人都可以執行嵌入 URL 中的動作,如同原始簽章使用者一樣。
預先簽章的 URL 具有到期日。過了到期時間,URL 將不再運作起作用。
在您搭配預先簽章的 URL 使用 S3 多區域存取點之前,請先檢查 [AWS SDK](https://docs.aws.amazon.com/sdkref/latest/guide/feature-s3-mrap.html#s3-mrap-sdk-compat) 與 SigV4a 演算法的相容性。驗證您的 SDK 版本是否支援 SigV4a 作為簽署實作,用來簽署全域 AWS 區域 請求。如需搭配 Amazon S3 使用預先簽章 URL 的詳細資訊,請參閱[使用預先簽章的 URL 共用物件](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ShareObjectPreSignedURL.html)。
下列範例示範如何搭配預先簽章的 URL 使用多區域存取點。若要使用這些範例,請以您自己的資訊取代 *`user input placeholders`*。
------
#### [ AWS CLI ]
```
aws s3 presign arn:aws:s3::123456789012:accesspoint/MultiRegionAccessPoint_alias/example-file.txt
```
------
#### [ SDK for Python ]
```
import logging
import boto3
from botocore.exceptions import ClientError
s3_client = boto3.client('s3',aws_access_key_id='xxx',aws_secret_access_key='xxx')
s3_client.generate_presigned_url(HttpMethod='PUT',ClientMethod="put_object", Params={'Bucket':'arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap','Key':'example-file'})
```
------
#### [ SDK for Java ]
```
S3Presigner s3Presigner = S3Presigner.builder()
.credentialsProvider(StsAssumeRoleCredentialsProvider.builder()
.refreshRequest(assumeRole)
.stsClient(stsClient)
.build())
.build();
GetObjectRequest getObjectRequest = GetObjectRequest.builder()
.bucket("arn:aws:s3::123456789012:accesspoint/abcdef0123456.mrap")
.key("example-file")
.build();
GetObjectPresignRequest preSignedReq = GetObjectPresignRequest.builder()
.getObjectRequest(getObjectRequest)
.signatureDuration(Duration.ofMinutes(10))
.build();
PresignedGetObjectRequest presignedGetObjectRequest = s3Presigner.presignGetObject(preSignedReq);
```
------
**注意**
若要搭配臨時安全登入資料使用 SigV4A,例如使用 IAM 角色時,請確定您向 in AWS Security Token Service (AWS STS) 的區域端點請求臨時登入資料,而不是全域端點。如果您使用全域端點 for AWS STS (`sts.amazonaws.com`), AWS STS 會從全域端點產生臨時登入資料,Sig4A 不支援。因此,您會收到錯誤。若要解決此問題,請使用任何列出的[區域端點 AWS STS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html#id_credentials_region-endpoints)。
## 使用以多區域存取點設定為請求者付款的儲存貯體
若與多區域存取點相關聯的 S3 儲存貯體[設定為使用請求者付款](https://docs.aws.amazon.com/AmazonS3/latest/userguide/RequesterPaysExamples.html),請求者將支付儲存貯體請求、下載和任何多區域存取點的相關費用。如需詳細資訊,請參閱 [Simple Storage Service (Amazon S3) 定價](https://aws.amazon.com/s3/pricing/)。
以下範例是多區域存取點的資料平面請求,該多區域存取點連接至請求者付款儲存貯體。
------
#### [ AWS CLI ]
若要從連接至請求者付款儲存貯體的多區域存取點下載物件,您必須將 `--request-payer requester` 指定為 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html) 請求的一部分。您也必須指定儲存貯體中檔案的名稱,以及應存放下載檔案的位置。
```
aws s3api get-object --bucket MultiRegionAccessPoint_ARN --request-payer requester --key example-file-in-bucket.txt example-location-of-downloaded-file.txt
```
------
#### [ SDK for Java ]
若要從連接至請求者付款儲存貯體的多區域存取點下載物件,您必須將 `RequestPayer.REQUESTER` 指定為 `GetObject` 請求的一部分。您也必須指定儲存貯體中檔案的名稱,以及儲存檔案的位置。
```
GetObjectResponse getObjectResponse = s3Client.getObject(GetObjectRequest.builder()
.key("example-file.txt")
.bucket("arn:aws:s3::
123456789012:accesspoint/abcdef0123456.mrap")
.requestPayer(RequestPayer.REQUESTER)
.build()
).response();
```
------
# 監控與記錄透過多區域存取點對基礎資源提出的請求
Amazon S3 會記錄透過多區域存取點和對管理它們的 API 操作提出的請求,例如 `CreateMultiRegionAccessPoint` 和 `GetMultiRegionAccessPointPolicy`。透過多區域存取點向 Amazon S3 提出的請求會顯示在您的 Amazon S3 伺服器存取日誌和具有多區域存取點主機名稱的 AWS CloudTrail 日誌中。存取點的主機名稱採用此格式 `MRAP_alias.accesspoint.s3-global.amazonaws.com`。例如,假設您有下列儲存貯體和多區域存取點組態:
+ 區域 `us-west-2` 中名為 `my-bucket-usw2` 的儲存貯體,其中包含物件 `my-image.jpg`。
+ 區域 `ap-south-1` 中名為 `my-bucket-aps1` 的儲存貯體,其中包含物件 `my-image.jpg`。
+ 區域 `eu-central-1` 中名為 `my-bucket-euc1` 的儲存貯體,其中不包含名為 `my-image.jpg` 的物件。
+ 名為 `my-mrap` 且別名為 `mfzwi23gnjvgw.mrap` 的多區域存取點被設定為可滿足來自所有三個儲存貯體的請求。
+ AWS 您的帳戶 ID 為 `123456789012`。
透過任何儲存貯體直接擷取 `my-image.jpg` 的請求會顯示在您的日誌中,其主機名稱為 `bucket_name.s3.Region.amazonaws.com`。
如果您改為透過多區域存取點提出請求,Amazon S3 會先判定不同區域中的哪個儲存貯體最接近。在 Amazon S3 判定要使用哪個儲存貯體來完成請求後,它會將請求傳送到該儲存貯體,並使用多區域存取點主機名稱記錄操作。在此範例中,如果 Amazon S3 將請求轉送到 `my-bucket-aps1`,您的日誌會反映來自 `my-bucket-aps1` 且針對 `my-image.jpg` 的成功 `GET` 請求,其中使用了 `mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com` 的主機名稱。
**重要**
多區域存取點不知道基礎儲存貯體的資料內容。因此,取得請求的儲存貯體可能不包含請求的資料。例如,如果 Amazon S3 判定 `my-bucket-euc1` 儲存貯體最接近,您的日誌將反映來自 `my-bucket-euc1` 且針對 `my-image.jpg` 的失敗 `GET` 請求,其中使用了 `mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com` 的主機名稱。如果請求被路由到 `my-bucket-usw2`,您的日誌將表示一個成功的 `GET` 請求。
如需 Amazon S3 伺服器存取日誌的詳細資訊,請參閱「[使用伺服器存取記錄記錄要求](ServerLogs.md)」。如需詳細資訊 AWS CloudTrail,請參閱*AWS CloudTrail 《 使用者指南*》中的[什麼是 AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。
## 監控與記錄對多區域存取點管理 API 操作提出的請求
Amazon S3 提供數個可管理多區域存取點的 API 操作,例如 `CreateMultiRegionAccessPoint` 和 `GetMultiRegionAccessPointPolicy`。當您使用 AWS Command Line Interface (AWS CLI)、 AWS SDKs或 Amazon S3 REST API 向這些 API 操作提出請求時,Amazon S3 會以非同步方式處理這些請求。如果您擁有請求的適當許可,Amazon S3 會傳回這些請求的字符。您可以搭配使用此字符與 `DescribeAsyncOperation`,從而協助您檢視正在進行的非同步操作狀態。Amazon S3 會同步處理 `DescribeAsyncOperation` 請求。若要檢視非同步請求的狀態,您可以使用 Amazon S3 主控台、 AWS CLI SDK SDKs 或 REST API。
**注意**
主控台只會顯示過去 14 天內提出的非同步請求的狀態。若要檢視較舊請求的狀態,請使用 AWS CLI、 SDKs或 REST API。
非同步管理操作可能處於以下幾種狀態的其中一種:
NEW
Amazon S3 已收到請求並正準備執行操作。
IN\$1PROGRESS
Amazon S3 目前正在執行操作。
SUCCESS
操作成功。回應包含相關資訊,例如 `CreateMultiRegionAccessPoint` 請求的多區域存取點別名。
FAILED
操作失敗。回應包含錯誤訊息,其中會表示請求失敗的原因。
## AWS CloudTrail 搭配多區域存取點使用
您可以使用 AWS CloudTrail 來檢視、搜尋、下載、封存、分析和回應整個 AWS 基礎設施的帳戶活動。透過多區域存取點和 CloudTrail 日誌記錄,您可以識別下列項目:
+ 誰採取了哪些行動
+ 針對哪些資源採取行動
+ 事件發生時間
+ 有關事件的其他詳細資訊
您可以使用此日誌記錄資訊,協助分析和回應透過多區域存取點發生的活動。
### 如何設定 AWS CloudTrail 多區域存取點
若要針對建立或維護多區域存取點的任何操作啟用 CloudTrail 記錄,您必須設定 CloudTrail 記錄,以便記錄美國西部 (奧勒岡) 區域中的事件。無論您在提出請求時位於哪個區域,或多區域存取點支援哪些區域,您皆必須以此方式設定日誌紀錄組態。建立或維護多區域存取點的所有請求皆會透過美國西部 (奧勒岡) 區域路由。建議您將此區域新增至現有線索,或建立一個包含此區域和與多區域存取點關聯的所有區域的新線索。
Amazon S3 會記錄透過多區域存取點提出的請求以及對管理存取點的 API 操作提出的請求,例如 `CreateMultiRegionAccessPoint` 和 `GetMultiRegionAccessPointPolicy`。當您透過多區域存取點記錄這些請求時,它們會出現在具有多區域存取點主機名稱的 AWS CloudTrail 日誌中。例如,如果您透過具有別名 `mfzwi23gnjvgw.mrap` 的多區域存取點對儲存貯體提出請求,則 CloudTrail 日誌中的項目將具有 `mfzwi23gnjvgw.mrap.accesspoint.s3-global.amazonaws.com` 的主機名稱。
多區域存取點會將請求路由至最近的儲存貯體,因此,當您查看多區域存取點的 CloudTrail 日誌時,您會看到基礎儲存貯體提出的請求。其中一些請求可能是直接向儲存貯體提出的請求,而不是透過多區域存取點路由的請求。檢視流量時,請務必牢記這點。當儲存貯體位於多區域存取點時,仍然可以直接對該儲存貯體提出請求,而無需透過多區域存取點。
建立和管理多區域存取點時涉及非同步事件。非同步請求在 CloudTrail 日誌中沒有完成事件。如需非同步請求的詳細資訊,請參閱 [監控與記錄對多區域存取點管理 API 操作提出的請求](#MonitoringMultiRegionAccessPointAPIs)。
如需詳細資訊 AWS CloudTrail,請參閱*AWS CloudTrail 《 使用者指南*》中的[什麼是 AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)。