AWS PrivateLink para S3 en Outposts
S3 en Outposts admite AWS PrivateLink, que proporciona acceso de administración directo a su almacenamiento de S3 en Outposts a través de un punto de conexión privado dentro de su red privada virtual. Esto le permite simplificar la arquitectura de su red interna y realizar operaciones de administración en el almacenamiento de objetos de Outpost mediante el uso de direcciones IP privadas en su nube privada virtual (VPC). El uso de AWS PrivateLink elimina la necesidad de utilizar direcciones IP públicas o servidores proxy.
Con AWS PrivateLink para Amazon S3 en Outposts, puede aprovisionar puntos de conexión de VPC de interfaz en la nube privada virtual (VPC) para acceder a sus API de administración de bucket y administración de puntos de conexión de S3 en Outposts. A los puntos de conexión de VPC de interfaz se puede acceder directamente desde las aplicaciones que se implementan en la VPC o en las instalaciones a través de la red privada virtual (VPN) o AWS Direct Connect. Puede acceder a las API de administración de buckets y de puntos de conexión a través de AWS PrivateLink. AWS PrivateLink no admite operaciones de API de transferencia de datos, como GET, PUT y API similares. Estas operaciones ya se transfieren de forma privada a través de la configuración de punto de acceso y punto de conexión de S3 en Outposts. Para obtener más información, consulte Redes para S3 en Outposts.
Los puntos de enlace de la interfaz se representan mediante una o más interfaces de red elásticas (elastic network interfaces, ENI) a las que se asignan direcciones IP privadas desde subredes de la VPC. Las solicitudes que se realizan a los puntos de conexión de interfaz para S3 en Outposts se enrutan automáticamente a las API de administración de buckets y de punto de conexión de S3 en Outposts en la red de AWS. Asimismo, puede acceder a los puntos de conexión de la interfaz en su VPC desde aplicaciones en las instalaciones a través de AWS Direct Connect oAWS Virtual Private Network (AWS VPN). Para obtener más información sobre cómo conectar la VPC a la red en las instalaciones, consulte la Guía del usuario de AWS Direct Connect y la Guía del usuario de AWS Site-to-Site VPN.
Los puntos de conexión de la interfaz enrutan solicitudes para las API de administración de buckets y de puntos de conexión de S3 en Outposts a través de la red de AWS y a través de AWS PrivateLink, como se ilustra en el siguiente diagrama.
Para obtener más información sobre los puntos de enlace de la interfaz, consulte Puntos de enlace de la VPC de la interfaz (AWS PrivateLink) en la Guía de AWS PrivateLink.
Temas
Restricciones y limitaciones
Cuando accede a las API de administración de buckets y de puntos de conexión de S3 en Outposts a través de AWS PrivateLink, la VPC tiene una serie de limitaciones. Para obtener más información, consulte Propiedades y limitaciones de los puntos de enlace de interfaz y Cuotas de AWS PrivateLink en la Guía de AWS PrivateLink.
Además, AWS PrivateLink no admite lo siguiente:
-
Puntos de conexión del estándar federal de procesamiento de información (FIPS)
-
API de transferencia de datos de S3 en Outposts, por ejemplo, operaciones de API de objetos GET, PUT y similares.
-
DNS privado
Acceso a los puntos de conexión de la interfaz de S3 en Outposts
Para acceder a las API de administración de buckets y de puntos de conexión de S3 en Outposts mediante AWS PrivateLink, debe actualizar las aplicaciones para utilizar nombres de DNS específicos de cada punto de conexión. Cuando se crea un punto de conexión de interfaz, AWS PrivateLink genera dos tipos de nombres de S3 en Outposts específicos del punto de conexión: regional y zonal.
-
Nombres DNS regionales: incluyen un ID único de punto de conexión de VPC, un identificador de servicio, la Región de AWS y
vpce.amazonaws.com, por ejemplo,vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com -
Nombres DNS zonales: incluya un ID de punto de conexión de VPC único, la zona de disponibilidad, un identificador de servicio, Región de AWS y
vpce.amazonaws.com, por ejemplo,vpce-1a2b3c4d-5e6f-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com
importante
Los puntos de conexión de la interfaz de S3 en Outposts se resuelven desde el dominio de DNS público. S3 en Outposts no admite DNS privados. Utilice el parámetro --endpoint-url para todas las API de administración de buckets y puntos de conexión.
Ejemplos de AWS CLI
Use los parámetros --region y --endpoint-url para acceder a las API de administración de bucket y administración de punto de conexión a través de puntos de conexión de interfaz de S3 en Outposts.
ejemplo : Utilice la URL del punto de conexión para mostrar buckets con la API de control S3
En el siguiente ejemplo, sustituya la región us-east-1vpce-1a2b3c4d-5e6f---s3---us-east-1---vpce.amazonaws.com.rproxy.goskope.com111122223333
aws s3control list-regional-buckets --regionus-east-1--endpoint-url https://vpce-1a2b3c4d-5e6f---s3-outposts---us-east-1---vpce.amazonaws.com.rproxy.goskope.com--account-id111122223333
Ejemplos del SDK de AWS
Actualice los SDK a la versión más reciente y configure los clientes para que utilicen una URL de punto de conexión para acceder a la API de control de S3 para puntos de conexión de interfaz de S3 en Outposts.
Actualización de una configuración DNS en las instalaciones
Al utilizar nombres DNS específicos de punto de conexión para acceder a los puntos de conexión de la interfaz de las API de administración de bucket y administración de punto de conexión de S3 en Outposts, no es necesario actualizar la resolución DNS local. Puede resolver el nombre DNS específico del punto de conexión con la dirección IP privada del punto de conexión de la interfaz desde el dominio DNS público de S3 en Outposts.
Creación de un punto de conexión de VPC para S3 en Outposts
Para crear un punto de conexión de interfaz de VPC para S3 en Outposts, consulte Crear un punto de conexión de VPC en la Guía de AWS PrivateLink.
Creación de políticas de bucket y políticas de punto de conexión de VPC para S3 en Outposts
Puede asociar una política de punto de conexión con el punto de conexión de VPC que controla el acceso a S3 en Outposts. También puede utilizar la condición aws:sourceVpce en las políticas de bucket de S3 en Outposts para restringir el acceso a buckets específicos desde un punto de conexión de VPC específico. Con las políticas de punto de conexión de VPC, puede controlar el acceso a las API de administración de bucket y las API de administración de punto de conexión de S3 en Outposts. Con las políticas de bucket, puede controlar el acceso a las API de administración de bucket de S3 en Outposts. Sin embargo, no puede administrar el acceso a las acciones de objeto para S3 en Outposts mediante aws:sourceVpce.
Las políticas de acceso para S3 en Outposts especifican la siguiente información:
-
La entidad principal de AWS Identity and Access Management (IAM) para la que se permiten o deniegan acciones.
-
Las acciones de control de S3 permitidas o denegadas.
-
Los recursos de S3 en Outposts en los cuales se permiten o deniegan acciones.
En los siguientes ejemplos se muestran políticas que restringen el acceso a un bucket o a un punto de conexión. Para obtener más información acerca de la conectividad de VPC, consulte Opciones de conectividad de red a VPC en el documento técnico de AWSOpciones de conectividad de Amazon Virtual Private Cloud.
importante
-
Al aplicar las políticas de ejemplo de puntos de conexión de VPC descritos en esta sección, es posible que bloquee el acceso al bucket sin querer. Los permisos de bucket que limitan el acceso del bucket a las conexiones procedentes del punto de conexión de VPC pueden bloquear todas las conexiones al bucket. Para obtener información acerca de cómo corregir este problema, consulte Mi política de bucket tiene una VPC o un ID de punto de conexión de la VPC incorrectos. ¿Cómo puedo corregir la política de modo que pueda tener acceso al bucket? en el
Centro de conocimientos de Soporte. -
Antes de utilizar las siguientes políticas de bucket de ejemplo, sustituya el ID del punto de conexión de VPC por un valor adecuado para su caso de uso. De lo contrario, no podrá acceder a su bucket.
-
Si la política solo permite acceder a un bucket de S3 en Outposts desde un punto de conexión de VPC específico, desactiva el acceso a la consola para ese bucket porque las solicitudes de consola no se originan en el punto de conexión de VPC especificado.
Temas
Ejemplo: restringir el acceso a un bucket específico desde un punto de conexión de la VPC
Puede crear una política de punto de conexión que restrinja el acceso solo a buckets específicos de S3 en Outposts. La siguiente política restringe el acceso de la acción GetBucketPolicy solo a example-outpost-bucket
{ "Version": "2012-10-17", "Id": "Policy1415115909151", "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:GetBucketPolicy", "Effect": "Allow", "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket" } ] }
Ejemplo: Denegación de acceso desde un punto de conexión de VPC específico en una política de bucket de S3 en Outposts
La siguiente política de bucket de S3 en Outposts niega el acceso a GetBucketPolicy en el bucket de example-outpost-bucketvpce-1a2b3c4d
La condición aws:sourceVpce especifica el punto de conexión y no requiere un nombre de recurso de Amazon (ARN) para el recurso de punto de conexión de VPC, solo el ID de punto de conexión. Para utilizar esta política, sustituya los valores de ejemplo por los suyos.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Deny-access-to-specific-VPCE", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:GetBucketPolicy", "Effect": "Deny", "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket", "Condition": { "StringEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"} } } ] }
