AWS PrivateLink für S3 auf Outposts - Amazon S3 in Outposts
Beschränkungen und EinschränkungenZugriff auf S3-on-Outposts-SchnittstellenendpunkteAktualisierung einer lokalen Konfiguration DNSEinen Endpunkt erstellen VPCVPCEndpunktrichtlinien und Bucket-Richtlinien erstellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS PrivateLink für S3 auf Outposts

S3 on Outposts unterstützt AWS PrivateLink, was direkten Verwaltungszugriff auf Ihren S3 on Outposts-Speicher über einen privaten Endpunkt in Ihrem virtuellen privaten Netzwerk ermöglicht. Auf diese Weise können Sie Ihre interne Netzwerkarchitektur vereinfachen und Verwaltungsvorgänge auf Ihrem Outposts-Objektspeicher durchführen, indem Sie private IP-Adressen in Ihrer Virtual Private Cloud (VPC) verwenden. Durch die Verwendung AWS PrivateLink entfällt die Notwendigkeit, öffentliche IP-Adressen oder Proxyserver zu verwenden.

Mit AWS PrivateLink for Amazon S3 on Outposts können Sie VPCSchnittstellenendpunkte in Ihrer virtuellen privaten Cloud (VPC) bereitstellen, um auf Ihr S3 auf Outposts Bucket Management und Endpoint Management zuzugreifen. APIs Auf VPC Schnittstellen-Endpunkte kann direkt von Anwendungen aus zugegriffen werden, die bei Ihnen VPC oder vor Ort über Ihr virtuelles privates Netzwerk () oder bereitgestellt werden. VPN AWS Direct Connect Sie können über auf das Bucket- und Endpunktmanagement APIs zugreifen AWS PrivateLink. AWS PrivateLink unterstützt keine APIDatenübertragungsvorgänge wie GETPUT, und ähnlichesAPIs. Diese Vorgänge werden bereits privat über die Konfiguration des S3-on-Outposts-Endpunkts und des Zugriffspunkts übertragen. Weitere Informationen finden Sie unter Vernetzung für S3 on Outposts.

Schnittstellenendpunkte werden durch eine oder mehrere elastische Netzwerkschnittstellen (ENIs) repräsentiert, denen private IP-Adressen aus Subnetzen in Ihrem zugewiesen werden. VPC Anfragen an Schnittstellenendpunkte für S3 on Outposts werden automatisch an S3 on Outposts Bucket und Endpoint Management APIs im Netzwerk weitergeleitet. AWS Sie können auch über oder () auf Schnittstellenendpunkte in Ihren lokalen Anwendungen VPC zugreifen. AWS Direct Connect AWS Virtual Private Network AWS VPNWeitere Informationen dazu, wie Sie Ihr Netzwerk VPC mit Ihrem lokalen Netzwerk verbinden, finden Sie im AWS Direct Connect Benutzerhandbuch und im AWS Site-to-Site VPNBenutzerhandbuch.

Schnittstellenendpunkte leiten Anfragen für S3 im Outposts-Bucket und Endpoint Management APIs über das AWS Netzwerk und durch das Netzwerk weiter AWS PrivateLink, wie in der folgenden Abbildung dargestellt.

Das Datenflussdiagramm zeigt, wie Schnittstellenendpunkte Anfragen für S3 an Outposts Bucket und Endpoint Management weiterleiten. APIs

Allgemeine Informationen zu Schnittstellenendpunkten finden Sie im Handbuch unter VPCSchnittstellenendpunkte (AWS PrivateLink).AWS PrivateLink

Wenn Sie über Outposts Bucket und Endpoint Management auf S3 APIs zugreifen AWS PrivateLink, gelten VPC Einschränkungen. Weitere Informationen finden Sie unter Interface endpoint properties and limitations (Eigenschaften und Beschränkungen von Schnittstellen-Endpunkten) und AWS PrivateLink quotas (PrivateLink-Kontingente) im AWS PrivateLink -Leitfaden.

Darüber hinaus unterstützt es Folgendes AWS PrivateLink nicht:

Zugriff auf S3-on-Outposts-Schnittstellenendpunkte

Um APIs mithilfe von Outposts Bucket und Endpoint Management auf S3 zuzugreifen AWS PrivateLink, müssen Sie Ihre Anwendungen so aktualisieren, dass sie endpunktspezifische Namen DNS verwenden. Wenn Sie einen Schnittstellenendpunkt erstellen, werden zwei Typen von endpunktspezifischen S3-Namen für Outposts AWS PrivateLink generiert: Regional und Zonal.

  • Regionale DNS Namen — beinhalten eine eindeutige VPC Endpunkt-ID, eine Service-ID, die und AWS-Regionvpce.amazonaws.com, zum Beispiel. vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com

  • Zonale DNS Namen — beinhalten eine eindeutige VPC Endpunkt-ID, die Availability Zone, eine Service-ID, die AWS-Region, undvpce.amazonaws.com, zum Beispiel. vpce-1a2b3c4d-5e6f-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com Sie können diese Option verwenden, wenn Ihre Architektur Availability Zones isoliert. Beispielsweise könnten Sie zonale DNS Namen zur Fehlereindämmung oder zur Senkung der regionalen Datenübertragungskosten verwenden.

Wichtig

Die Endpunkte der Schnittstelle S3 auf Outposts werden DNS gemeinfrei aufgelöst. S3 on Outposts unterstützt Private DNS nicht. Verwenden Sie den --endpoint-url Parameter für das gesamte Bucket- und EndpunktmanagementAPIs.

Verwenden Sie die --endpoint-url Parameter --region und, um APIs über S3 auf Endpunkten der Outposts-Schnittstelle auf Bucket Management und Endpoint Management zuzugreifen.

Beispiel : Verwenden Sie den EndpunktURL, um Buckets mit dem S3-Steuerelement aufzulisten API

Ersetzen Sie im folgenden Beispiel die Regionus-east-1, den VPC Endpunkt URL vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com und die Konto-ID 111122223333 durch die entsprechenden Informationen.

aws s3control list-regional-buckets --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com --account-id 111122223333

Aktualisieren Sie Ihre Version SDKs auf die neueste Version und konfigurieren Sie Ihre Clients so, dass sie einen Endpunkt URL für den Zugriff auf die S3-Steuerung API für S3 auf den Endpunkten Outposts Outposts-Schnittstelle verwenden.

SDK for Python (Boto3)
Beispiel : Verwenden Sie einen EndpunktURL, um auf die S3-Steuerung zuzugreifen API

Ersetzen Sie im folgenden Beispiel die Region us-east-1 und den VPC Endpunkt URL vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com durch die entsprechenden Informationen. 

control_client = session.client(
service_name='s3control',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com'
)

Weitere Informationen finden Sie unter AWS PrivateLink für Amazon S3 im Boto3-Entwicklerhandbuch.

SDK for Java 2.x
Beispiel : Verwenden Sie einen EndpunktURL, um auf das S3-Steuerelement zuzugreifen API

Ersetzen Sie im folgenden Beispiel den VPC Endpunkt URL vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com und die Region Region.US_EAST_1 durch die entsprechenden Informationen.

// control client
Region region = Region.US_EAST_1;
s3ControlClient = S3ControlClient.builder().region(region)
                                 .endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com"))
                                 .build()

Weitere Informationen finden Sie S3ControlClientin der AWS SDK for Java APIReferenz.

Aktualisierung einer lokalen Konfiguration DNS

Wenn Sie endpunktspezifische DNS Namen für den Zugriff auf die Schnittstellenendpunkte für S3 auf Outposts Bucket Management und Endpoint Management verwendenAPIs, müssen Sie Ihren lokalen Resolver nicht aktualisieren. DNS Sie können den endpunktspezifischen DNS Namen mit der privaten IP-Adresse des Schnittstellenendpunkts aus der öffentlichen Domäne S3 on DNS Outposts auflösen.

Einen VPC Endpunkt für S3 auf Outposts erstellen

Informationen zum Erstellen eines VPC Schnittstellenendpunkts für S3 auf Outposts finden Sie unter Erstellen eines VPC Endpunkts im AWS PrivateLink Handbuch.

Bucket-Richtlinien und VPC Endpunktrichtlinien für S3 auf Outposts erstellen

Sie können Ihrem VPC Endpunkt eine Endpunktrichtlinie hinzufügen, die den Zugriff auf S3 auf Outposts steuert. Sie können die aws:sourceVpce Bedingung in den Bucket-Richtlinien von S3 on Outposts auch verwenden, um den Zugriff auf bestimmte Buckets von einem bestimmten VPC Endpunkt aus zu beschränken. Mit VPC Endpunktrichtlinien können Sie den Zugriff auf S3 über Outposts Bucket Management APIs und Endpoint Management APIs kontrollieren. Mit Bucket-Richtlinien können Sie den Zugriff auf das S3 im Bucket-Management APIs von Outposts kontrollieren. Sie können jedoch den Zugriff auf Objektaktionen für S3 on Outposts nicht mit aws:sourceVpce verwalten.

Zugriffsrichtlinien für S3 on Outposts enthalten die folgenden Informationen:

  • Der Prinzipal AWS Identity and Access Management (IAM), für den Aktionen erlaubt oder verweigert werden.

  • Die S3-Steuerungsaktionen, die erlaubt oder verweigert werden.

  • Die S3-on-Outposts-Ressourcen, für die Aktionen erlaubt oder verweigert werden.

Die folgenden Beispiele zeigen Richtlinien, die den Zugriff auf einen Bucket oder einen Endpunkt einschränken. Weitere Informationen zur VPC Konnektivität finden Sie unter Network-to-VPC Konnektivitätsoptionen im AWS Whitepaper Amazon Virtual Private Cloud Connectivity Options.

Wichtig

  • Wenn Sie die in diesem Abschnitt beschriebenen Beispielrichtlinien für VPC Endgeräte anwenden, können Sie Ihren Zugriff auf den Bucket blockieren, ohne dies zu beabsichtigen. Bucket-Berechtigungen, die den Bucket-Zugriff auf Verbindungen beschränken, die von Ihrem VPC Endpunkt ausgehen, können alle Verbindungen zum Bucket blockieren. Informationen zur Behebung dieses Problems finden Sie unter Meine Bucket-Richtlinie hat die falsche VPC oder die VPC Endpunkt-ID. Wie kann ich die Richtlinie so ändern, dass ich auf den Bucket zugreifen kann? im AWS Support Knowledge Center.

  • Bevor Sie die folgenden Beispiel-Bucket-Richtlinien verwenden, ersetzen Sie die VPC Endpunkt-ID durch einen Wert, der Ihrem Anwendungsfall entspricht. Andernfalls können Sie nicht auf Ihren Bucket zugreifen.

  • Wenn Ihre Richtlinie den Zugriff auf einen S3 on Outposts-Bucket nur von einem bestimmten VPC Endpunkt aus erlaubt, deaktiviert sie den Konsolenzugriff für diesen Bucket, da Konsolenanfragen nicht vom angegebenen VPC Endpunkt stammen.

Sie können eine Endpunktrichtlinie erstellen, die den Zugriff auf bestimmte S3-on-Outposts-Buckets beschränkt. Die folgende Richtlinie beschränkt den Zugriff für die GetBucketPolicy Aktion nur auf die. example-outpost-bucket Zum Verwenden dieses Beispiels ersetzen Sie die Beispielwerte durch Ihre eigenen. 

{
  "Version": "2012-10-17",
  "Id": "Policy1415115909151",
  "Statement": [
    { "Sid": "Access-to-specific-bucket-only",
      "Principal": {"AWS":"111122223333"},
      "Action": "s3-outposts:GetBucketPolicy",
      "Effect": "Allow",
      "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket"
    }
  ]
}

Die folgende Bucket-Richtlinie für S3 on Outposts verweigert den Zugriff GetBucketPolicy auf den example-outpost-bucket Bucket über den vpce-1a2b3c4d VPC Endpunkt.

Die aws:sourceVpce Bedingung spezifiziert den Endpunkt und erfordert keinen Amazon-Ressourcennamen (ARN) für die VPC Endpunktressource, sondern nur die Endpunkt-ID. Zum Verwenden dieses Beispiels ersetzen Sie die Beispielwerte durch Ihre eigenen.

{
    "Version": "2012-10-17",
    "Id": "Policy1415115909152",
    "Statement": [
        {
            "Sid": "Deny-access-to-specific-VPCE",
            "Principal": {"AWS":"111122223333"},
            "Action": "s3-outposts:GetBucketPolicy",
            "Effect": "Deny",
            "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket",
            "Condition": {
                "StringEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"}
            }
        }
    ]
}