Konfigurieren eines Multi-Regions-Zugriffspunkts zur Verwendung mit AWS PrivateLink - Amazon Simple Storage Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren eines Multi-Regions-Zugriffspunkts zur Verwendung mit AWS PrivateLink

AWS PrivateLink bietet Ihnen eine private Konnektivität mit Amazon S3 über private IP-Adressen in Ihrer Virtual Private Cloud (VPC). Sie können einen oder mehrere Schnittstellenendpunkte in Ihrer VPC bereitstellen, um eine Verbindung zu Amazon S3-Multi-Regions-Zugriffspunkten herzustellen.

Sie können com.amazonaws.s3-global.accesspoint-Endpunkte für Multi-Regions-Zugriffspunkte über die AWS Management Console, AWS CLI, oder AWS-SDKs. erstellen. Weitere Informationen zum Konfigurieren eines Schnittstellenendpunkts für Multi-Regions-Zugriffspunkte finden Sie unter Schnittstellen-VPC-Endpunkte im VPC-Benutzerhandbuch.

Gehen Sie folgendermaßen vor, um Anforderungen an einen Multi-Regions-Zugriffspunkt über Schnittstellenendpunkte zu senden, um die VPC und den Multi-Regions-Zugriffspunkt zu konfigurieren.

Konfigurieren eines Multi-Regions-Zugriffspunkts zur Verwendung mit AWS PrivateLink

  1. Erstellen oder verfügen Sie über einen geeigneten VPC-Endpunkt, der eine Verbindung zu Multi-Regions-Zugriffspunkten herstellen kann. Weitere Informationen zum Erstellen von VPC-Endpunkten finden Sie unter Schnittstelle-VPC-Endpunkte im VPC-Benutzerhandbuch.

    Wichtig

    Stellen Sie sicher, dass Sie einen com.amazonaws.s3-global.accesspoint-Endpunkt erstellen. Andere Endpunkttypen können nicht auf Multi-RegionsZugriffspunkte zugreifen.

    Nachdem dieser VPC-Endpunkt erstellt wurde, leiten alle Multi-Regions-Zugriffspunkt-Anforderungen in der VPC durch diesen Endpunkt, wenn Sie private DNS für den Endpunkt aktiviert haben. Dies ist standardmäßig aktiviert.

  2. Wenn die Multi-Regions-Zugriffspunkt-Richtlinie keine Verbindungen von VPC-Endpunkten unterstützt, müssen Sie sie aktualisieren.

  3. Stellen Sie sicher, dass die einzelnen Bucket-Richtlinien den Zugriff auf die Benutzer des Multi-Regions-Zugriffspunkts ermöglichen.

Denken Sie daran, dass Multi-Regions-Zugriffspunkte funktionieren, indem sie Anforderungen an Buckets weiterleiten, nicht indem sie selbst Anforderungen erfüllen. Dies ist wichtig, da der Absender der Anforderung über Berechtigungen für den Multi-Regions-Zugriffspunkt verfügen muss und auf die einzelnen Buckets im Multi-Regions-Zugriffspunkt zugreifen kann. Andernfalls wird die Anforderung möglicherweise an einen Bucket weitergeleitet, in dem der Originator keine Berechtigungen hat, um die Anforderung zu erfüllen. Ein Multi-Region Access Point und die zugeordneten Buckets können im Besitz desselben oder eines anderen AWS-Kontos sein. VPCs aus verschiedenen Konten können jedoch einen Multi-Regions-Zugriffspunkt verwenden, wenn die Berechtigungen korrekt konfiguriert sind.

Aus diesem Grund muss die VPC-Endpunktrichtlinie sowohl Zugriff auf den Multi-Regions-Zugriffspunkt als auch auf jeden zugrunde liegenden Bucket gewähren, der Anforderungen erfüllen soll. Angenommen, Sie haben einen Multi-Region Access Point mit dem Alias mfzwi23gnjvgw.mrap. Es wird von Buckets DOC-EXAMPLE-BUCKET1 und DOC-EXAMPLE-BUCKET2 gesichert, die alle im Besitz von AWS-Konto 123456789012 sind. In diesem Fall würde die folgende VPCE-Endpunktrichtlinie zulassen, dass GetObject-Anforderungen von der VPC an mfzwi23gnjvgw.mrap von einem der beiden Backing-Buckets erfüllt werden. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Wie bereits erwähnt, müssen Sie auch sicherstellen, dass die Multi-Regions-Zugriffspunkt-Richtlinie so konfiguriert ist, dass der Zugriff über einen VPC-Endpunkt unterstützt wird. Sie müssen den VPC-Endpunkt, der den Zugriff anfordert, nicht angeben. Die folgende Beispielrichtlinie würde jedem Anforderer Zugriff gewähren, der versucht, den Multi-Region Access Point für die GetObject-Anforderungen zu nutzen. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

Und natürlich würden die einzelnen Buckets jeweils eine Richtlinie benötigen, um den Zugriff von Anforderungen zu unterstützen, die über den VPC-Endpunkt gesendet werden. Die folgende Beispielrichtlinie gewährt Lesezugriff auf alle anonymen Benutzer, einschließlich Anforderungen, die über den VPC-Endpunkt gestellt werden. 

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"]
    }]
}

Weitere Informationen zur Bearbeitung einer VPC-Endpunktrichtlinie finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im VPC-Benutzerhandbuch.