Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Konfiguration eines Access Points mit mehreren Regionen für die Verwendung mit AWS PrivateLink
Sie können Multi-Region Access Points verwenden, um Amazon-S3-Anforderungsdatenverkehr zwischen AWS-Regionen weiterzuleiten. Jeder globale Endpunkt von Multi-Region Access Points leitet den Amazon-S3-Datenanforderungsverkehr aus mehreren Quellen weiter, ohne dass Sie komplexe Netzwerkkonfigurationen mit separaten Endpunkten erstellen müssen. Zu diesen Quellen des Datenanforderungsverkehrs gehören:
+ Datenverkehr aus einer Virtual Private Cloud (VPC)
+ Datenverkehr von lokalen Rechenzentren wird über AWS PrivateLink
+ Datenverkehr aus dem öffentlichen Internet
Wenn Sie eine AWS PrivateLink Verbindung zu einem S3-Zugriffspunkt mit mehreren Regionen herstellen, können Sie mithilfe einer einfachen Netzwerkarchitektur und -konfiguration S3-Anfragen über eine private Verbindung an oder über mehrere AWS-Regionen Verbindungen weiterleiten. AWS Wenn Sie verwenden AWS PrivateLink, müssen Sie keine VPC-Peering-Verbindung konfigurieren.
**Topics**
+ [Konfigurieren der Opt-in-Regionen für multiregionale Zugangspunkte](ConfiguringMrapOptInRegions.md)
+ [Konfiguration eines Access Points mit mehreren Regionen für die Verwendung mit AWS PrivateLink](MultiRegionAccessPointsPrivateLink.md)
+ [Entfernen des Zugriffs auf einen Multi-Region Access Point von einem VPC-Endpunkt](RemovingMultiRegionAccessPointAccess.md)
# Konfigurieren der Opt-in-Regionen für multiregionale Zugangspunkte
Eine AWS Opt-in-Region ist eine Region, die in Ihrem AWS Konto standardmäßig nicht aktiviert ist. Im Gegensatz dazu werden Regionen, die standardmäßig aktiviert sind, als AWS-Regionen kommerzielle Regionen bezeichnet.
Um mit der Nutzung von Multi-Region-Access Points in AWS Opt-in-Regionen zu beginnen, müssen Sie die Opt-in-Region für Ihr AWS Konto manuell aktivieren, bevor Sie Ihren Multi-Region-Access Point erstellen. Nachdem Sie die Opt-in-Region aktiviert haben, können Sie multiregionale Zugangspunkte mit Buckets in der ausgewählten Opt-in-Region erstellen. Anweisungen zum Aktivieren oder Deaktivieren einer Opt-in-Region für Ihr AWS Konto oder Ihre AWS Organisation finden Sie unter [Aktivieren oder Deaktivieren einer Region für eigenständige Konten](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) oder [Aktivieren oder Deaktivieren einer](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) Region in Ihrer Organisation.
**Anmerkung**
Opt-in-Regionen für Access Points mit mehreren Regionen werden derzeit nur über und unterstützt. AWS SDKs AWS CLI
S3-Access Points mit mehreren Regionen unterstützen die folgenden AWS Opt-in-Regionen:
+ `Africa (Cape Town)`
+ `Asia Pacific (Hong Kong)`
+ `Asia Pacific (Jakarta)`
+ `Asia Pacific (Melbourne)`
+ `Asia Pacific (Hyderabad)`
+ `Canada West (Calgary)`
+ `Europe (Zurich)`
+ `Europe (Milan)`
+ `Europe (Spain)`
+ `Israel (Tel Aviv)`
+ `Middle East (Bahrain)`
+ `Middle East (UAE)`
**Anmerkung**
Für die Aktivierung einer Opt-In-Region fallen keine zusätzlichen Kosten an. Bei der Erstellung oder Nutzung einer Ressource in einem multiregionalen Zugangspunkt fallen jedoch Abrechnungsgebühren an.
## Verwendung eines Access Points mit mehreren Regionen in einer Opt-in-Region AWS
Um einen [Datenebenenvorgang](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html) auf Ihrem Multi-Region-Access Point durchzuführen, müssen alle zugehörigen AWS Konten die Opt-in-Regionen aktivieren, die Teil des Multi-Region-Access Points sind. Diese Anforderung gilt für das Konto des Anforderers, den Besitzer des multiregionale Zugangspunkts, Besitzer von S3-Buckets und den Besitzer des VPC-Endpunkts. Wenn eines dieser Konten keine Opt-in-Regionen für AWS aktiviert, schlagen die Anfragen für multiregionale Zugangspunkte fehl. Weitere Informationen zu den `InvalidToken`- oder `AllAccessDisabled`-Fehlern finden Sie unter [Liste der Fehlercodes](https://docs.aws.amazon.com/AmazonS3/latest/API/ErrorResponses.html#ErrorCodeList).
**Anmerkung**
[Vorgänge auf Steuerebene](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html), wie z. B. die Aktualisierung Ihrer Richtlinie für multiregionale Zugangspunkte oder die Aktualisierung Ihrer Failover-Konfiguration, werden nicht durch den Status einer Region beeinflusst, die Teil Ihres multiregionalen Zugangspunkts ist. Sie müssen auch keine aktiven Opt-in-Regionen deaktivieren, bevor Sie einen multiregionalen Zugangspunkt löschen.
## Deaktivierung einer aktiven Opt-In-Region AWS
Wenn Sie die Opt-in-Region deaktivieren, die Teil Ihres multiregionalen Zugangspunkts ist, führen Anfragen, die an diese Region weitergeleitet werden, zu einem `403 AllAccessDisabled`-Fehler. Um eine Opt-in-Region sicher zu deaktivieren, empfehlen wir Ihnen, zunächst eine alternative Region in Ihrer Konfiguration für multiregionale Zugangspunkte zu identifizieren, in die der Datenverkehr weitergeleitet werden soll. Anschließend können Sie die Failover-Steuerung für mehrere Regionen verwenden, um die alternative Region als aktiv und die Region, die deaktiviert werden soll, als passiv zu markieren. Nachdem Sie die Failover-Steuerelemente geändert haben, können Sie die Region deaktivieren, für die Sie sich abmelden möchten.
## Aktivierung einer zuvor deaktivierten AWS Opt-In-Region
Um eine AWS Opt-in-Region zu aktivieren, die zuvor für Ihren Multi-Region-Access Point deaktiviert war, müssen Sie Ihre AWS Kontoeinstellungen aktualisieren. Nachdem Sie die Opt-in-Region wieder aktiviert haben, führen Sie den [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html)-API-Vorgang aus, um die Richtlinie für multiregionale Zugangspunkte auf die Opt-in-Region anzuwenden.
Wenn auf Ihren Multiregion Access Point über einen VPC-Endpunkt zugegriffen wird, empfehlen wir Ihnen, Ihre VPCE-Richtlinie zu aktualisieren und den [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html)API-Vorgang zu verwenden, um die aktualisierte VPC-Endpunktrichtlinie auf die erneut aktivierte Opt-in-Region anzuwenden.
## Richtlinie für Access Points für mehrere Regionen und mehrere Konten AWS
Wenn Ihre Richtlinie für multiregionale Access Points den Zugriff auf mehrere AWS Konten gewährt, müssen alle Konten von Anfragenden in ihren Kontoeinstellungen dieselben Opt-in-Regionen aktivieren. Wenn das Konto des Anforderers eine Anforderung für multiregionale Zugangspunkte stellt, ohne die Opt-In-Regionen zu aktivieren, die Teil des multiregionalen Zugangspunkts sind, führt dies zu einem `400 InvalidToken`-Fehler.
## AWS Überlegungen zur Opt-in-Region
Wenn Sie von einer Opt-in-Region aus auf einen multiregionalen Zugangspunkt zugreifen, sollten Sie Folgendes beachten:
+ Wenn Sie eine Opt-in-Region aktivieren, können Sie mithilfe der Buckets aus der Opt-in-Region einen multiregionalen Zugangspunkt erstellen. Wenn Sie eine Opt-in-Region deaktivieren, wird der multiregionale Zugangspunkt in der Opt-in-Region nicht mehr unterstützt. Wenn Sie nicht mehr möchten, dass eine Opt-in-Region für Ihren multiregionalen Zugangspunkt aktiviert ist, stellen Sie sicher, dass Sie zuerst [die Region für Ihr Konto deaktivieren](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone). Erstellen Sie anschließend einen neuen multiregionale Zugangspunkt mit Ihrer bevorzugten Liste von Opt-In-Regionen.
+ Wenn Sie versuchen, Ihren multiregionalen Zugangspunkt mit einer deaktivierten Opt-in-Region zu erstellen, erhalten Sie eine `403 InvalidRegion`-Fehlermeldung. Nachdem Sie die Opt-in-Region aktiviert haben, versuchen Sie erneut, den multiregionalen Zugangspunkt zu erstellen.
+ Die maximale Anzahl unterstützter Regionen für einen multiregionalen Zugangspunkt beträgt 17 Regionen. Dies umfasst sowohl Opt-in-Regionen als auch kommerzielle Regionen. Weitere Informationen finden Sie unter [Einschränkungen und Einschränkungen für multiregionale Zugangspunkte](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html).
+ Anfragen auf Steuerebene für multiregionale Zugangspunkte funktionieren auch dann, wenn Sie sich für keine Region angemeldet haben.
+ Wenn Sie zum ersten Mal versuchen, einen multiregionalen Zugangspunkt zu erstellen, müssen Sie sich für alle Regionen entscheiden, die Teil des multiregionalen Zugangspunkts sind.
+ Alle AWS Konten, denen im Rahmen der Richtlinie für multiregionale Access Points Zugriff auf einen S3-Zugriffspunkt mit mehreren Regionen gewährt wird, müssen auch dieselben Opt-in-Regionen aktivieren, die Teil des Multi-Region-Access Points sind.
# Konfiguration eines Access Points mit mehreren Regionen für die Verwendung mit AWS PrivateLink
AWS PrivateLink bietet Ihnen private Konnektivität zu Amazon S3 mithilfe von privaten IP-Adressen in Ihrer Virtual Private Cloud (VPC). Sie können einen oder mehrere Schnittstellenendpunkte in Ihrer VPC bereitstellen, um eine Verbindung zu Amazon S3-Multi-Regions-Zugriffspunkten herzustellen.
Sie können **com.amazonaws.s3-global.accesspoint-Endpunkte für Access Points** mit mehreren Regionen über, oder erstellen. AWS-Managementkonsole AWS CLI AWS SDKs Weitere Informationen zum Konfigurieren eines Schnittstellenendpunkts für Multi-Regions-Zugriffspunkte finden Sie unter [Schnittstellen-VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) im *VPC-Benutzerhandbuch*.
Gehen Sie folgendermaßen vor, um Anforderungen an einen Multi-Regions-Zugriffspunkt über Schnittstellenendpunkte zu senden, um die VPC und den Multi-Regions-Zugriffspunkt zu konfigurieren.
**So konfigurieren Sie einen Access Point mit mehreren Regionen zur Verwendung mit AWS PrivateLink**
1. Erstellen oder verfügen Sie über einen geeigneten VPC-Endpunkt, der eine Verbindung zu Multi-Regions-Zugriffspunkten herstellen kann. Weitere Informationen zum Erstellen von VPC-Endpunkten finden Sie unter [Schnittstelle-VPC-Endpunkte](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) im *VPC-Benutzerhandbuch*.
**Wichtig**
Stellen Sie sicher, dass Sie einen **com.amazonaws.s3-global.accesspoint**-Endpunkt erstellen. Andere Endpunkttypen können nicht auf Multi-RegionsZugriffspunkte zugreifen.
Nachdem dieser VPC-Endpunkt erstellt wurde, leiten alle Multi-Regions-Zugriffspunkt-Anforderungen in der VPC durch diesen Endpunkt, wenn Sie private DNS für den Endpunkt aktiviert haben. Dies ist standardmäßig aktiviert.
1. Wenn die Multi-Regions-Zugriffspunkt-Richtlinie keine Verbindungen von VPC-Endpunkten unterstützt, müssen Sie sie aktualisieren.
1. Stellen Sie sicher, dass die einzelnen Bucket-Richtlinien den Zugriff auf die Benutzer des Multi-Regions-Zugriffspunkts ermöglichen.
Denken Sie daran, dass Multi-Regions-Zugriffspunkte funktionieren, indem sie Anforderungen an Buckets weiterleiten, nicht indem sie selbst Anforderungen erfüllen. Dies ist wichtig, da der Absender der Anforderung über Berechtigungen für den Multi-Regions-Zugriffspunkt verfügen muss und auf die einzelnen Buckets im Multi-Regions-Zugriffspunkt zugreifen kann. Andernfalls wird die Anforderung möglicherweise an einen Bucket weitergeleitet, in dem der Originator keine Berechtigungen hat, um die Anforderung zu erfüllen. Ein Access Point mit mehreren Regionen und die zugehörigen Buckets können demselben oder einem anderen Konto gehören. AWS Ein Multi-Region-Access Point kann jedoch VPCs von unterschiedlichen Konten aus verwendet werden, sofern die Berechtigungen korrekt konfiguriert sind.
Aus diesem Grund muss die VPC-Endpunktrichtlinie sowohl Zugriff auf den Multi-Regions-Zugriffspunkt als auch auf jeden zugrunde liegenden Bucket gewähren, der Anforderungen erfüllen soll. Angenommen, Sie haben einen Multi-Region Access Point mit dem Alias `mfzwi23gnjvgw.mrap`. Es wird von Buckets `amzn-s3-demo-bucket1` und `amzn-s3-demo-bucket2` gesichert, die alle im Besitz von AWS-Konto `123456789012` sind. In diesem Fall würde die folgende VPCE-Endpunktrichtlinie zulassen, dass `GetObject`-Anforderungen von der VPC an `mfzwi23gnjvgw.mrap` von einem der beiden Backing-Buckets erfüllt werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Read-buckets-and-MRAP-VPCE-policy",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*",
"arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
]
}]
}
```
------
Wie bereits erwähnt, müssen Sie auch sicherstellen, dass die Multi-Regions-Zugriffspunkt-Richtlinie so konfiguriert ist, dass der Zugriff über einen VPC-Endpunkt unterstützt wird. Sie müssen den VPC-Endpunkt, der den Zugriff anfordert, nicht angeben. Die folgende Beispielrichtlinie würde jedem Anforderer Zugriff gewähren, der versucht, den Multi-Region Access Point für die `GetObject`-Anforderungen zu nutzen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Open-read-MRAP-policy",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
}]
}
```
------
Und natürlich würden die einzelnen Buckets jeweils eine Richtlinie benötigen, um den Zugriff von Anforderungen zu unterstützen, die über den VPC-Endpunkt gesendet werden. Die folgende Beispielrichtlinie gewährt Lesezugriff auf alle anonymen Benutzer, einschließlich Anforderungen, die über den VPC-Endpunkt gestellt werden.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Public-read",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"]
}]
}
```
------
Weitere Informationen zur Bearbeitung einer VPC-Endpunktrichtlinie finden Sie unter [Steuerung des Zugriffs auf Services mit VPC-Endpunkten](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) im *VPC-Benutzerhandbuch*.
# Entfernen des Zugriffs auf einen Multi-Region Access Point von einem VPC-Endpunkt
Wenn Sie einen Multi-Region Access Point besitzen und den Zugriff darauf von einem Schnittstellenendpunkt entfernen möchten, müssen Sie eine neue Zugriffsrichtlinie für den Multi-Region Access Point bereitstellen, die den Zugriff für Anforderungen über VPC-Endpunkte verhindert. Wenn die Buckets in Ihrem Multi-Region Access Point Anforderungen über VPC-Endpunkte unterstützen, werden sie diese Anforderungen allerdings weiterhin unterstützen. Wenn Sie diesen Support verhindern möchten, müssen Sie auch die Richtlinien für die Buckets aktualisieren. Durch die Bereitstellung einer neuen Zugriffsrichtlinie für den Multi-Region Access Point wird nur der Zugriff auf den Multi-Region Access Point verhindert, nicht auf die zugrunde liegenden Buckets.
**Anmerkung**
Sie können eine Zugriffsrichtlinie für einen Multi-Regions-Zugriffspunkt nicht löschen. Um den Zugriff auf einen Multi-Regions-Zugriffspunkt zu entfernen, müssen Sie eine neue Zugriffsrichtlinie mit dem gewünschten geänderten Zugriff bereitstellen.
Anstatt die Zugriffsrichtlinie für den Multi-Region Access Point zu aktualisieren, können Sie die Bucket-Richtlinien aktualisieren, um Anforderungen über VPC-Endpunkte zu verhindern. In diesem Fall können Benutzer weiterhin über den VPC-Endpunkt auf den Multi-Region Access Point zugreifen. Wenn der Multi-Region Access Point jedoch an einen Bucket weitergeleitet wird, in dem die Bucket-Richtlinie den Zugriff verhindert, wird eine Fehlermeldung generiert.