# Creación de puntos de acceso de varias regiones
<a name="CreatingMultiRegionAccessPoints"></a>

Para crear un punto de acceso de varias regiones en Amazon S3, haga lo siguiente: 
+ Especifique el nombre del punto de acceso de varias regiones.
+ Elija un bucket en cada Región de AWS a la que quiere dirigir solicitudes para el punto de acceso de varias regiones.
+ Configure el bloqueo de acceso público de Amazon S3 para el punto de acceso de varias regiones.

Usted proporciona toda esta información en una solicitud de creación, que Amazon S3 procesa de forma asíncrona. Amazon S3 proporciona un token que puede utilizar para monitorear el estado de la solicitud de creación asíncrona. 

Asegúrese de resolver advertencias de seguridad, errores, advertencias generales y sugerencias de AWS Identity and Access Management Access Analyzer antes de guardar la política. IAM Access Analyzer ejecuta verificaciones de política para validarla contra la [Gramática de la política](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) de IAM y las [prácticas recomendadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html). Estas verificaciones generan hallazgos y proporcionan recomendaciones procesables para ayudarlo a crear políticas funcionales y que se ajustan a las prácticas recomendadas de seguridad. Para obtener más información sobre la validación de políticas mediante IAM Access Analyzer, consulte [Validación de políticas de IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*. Para ver una lista de advertencias, errores y sugerencias que devuelve IAM Access Analyzer, consulte [Referencia de verificación de políticas de IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).

Cuando se utiliza la API, la solicitud para crear un punto de acceso de varias regiones es asincrónica. Cuando envía una solicitud para crear un punto de acceso de varias regiones, Amazon S3 autoriza la solicitud de forma sincrónica. Luego, devuelve inmediatamente un token que puede utilizar para realizar un seguimiento del progreso de la solicitud de creación. Para obtener más información sobre el seguimiento de solicitudes asincrónicas para crear y administrar puntos de acceso de varias regiones, consulte [Uso de puntos de acceso de varias regiones con operaciones API admitidas](MrapOperations.md). 

Después de crear el punto de acceso de varias regiones, puede crear una política de control de acceso para él. Cada punto de acceso de varias regiones puede tener una política asociada. Una política de punto de acceso de varias regiones es una política basada en recursos que permite limitar el uso del punto de acceso de varias regiones en función del recurso, del usuario o de otras condiciones.

**nota**  
Para que una aplicación o un usuario puedan acceder a un objeto a través de un punto de acceso de varias regiones, las dos políticas siguientes deben permitir la solicitud:   
La política de acceso para el punto de acceso de varias regiones
La política de acceso para el bucket subyacente que contiene el objeto
Cuando las dos políticas son diferentes, la política más restrictiva tiene prioridad.   
Para simplificar la administración de permisos para los puntos de acceso de varias regiones, puede delegar el control de acceso del bucket al punto de acceso de varias regiones. Para obtener más información, consulte [Ejemplos de política de punto de acceso multirregional](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples).

El uso de un bucket con un punto de acceso de varias regiones no cambia el comportamiento del bucket cuando se accede al él a través del nombre del bucket existente o del nombre de recurso de Amazon (ARN). Todas las operaciones existentes respecto al bucket continuarán funcionando como antes. Las restricciones que se incluyen en una política de punto de acceso de varias regiones solo se aplican a las solicitudes realizadas a través de ese punto de acceso de varias regiones. 

Puede actualizar la política para un punto de acceso de varias regiones después de crearla, pero no puede eliminarla. Sin embargo, puede actualizar la política de punto de acceso de varias regiones para denegar todos los permisos. 

**Topics**
+ [Reglas para asignar nombres a los puntos de acceso de varias regiones de Amazon S3](multi-region-access-point-naming.md)
+ [Reglas para elegir buckets para puntos de acceso de varias regiones de Amazon S3](multi-region-access-point-buckets.md)
+ [Crear un punto de acceso de varias regiones de Amazon S3](multi-region-access-point-create-examples.md)
+ [Bloqueo del acceso público con puntos de acceso de varias regiones de Amazon S3](multi-region-access-point-block-public-access.md)
+ [Visualización de los de talles de configuración de los puntos de acceso de varias regiones de Amazon S3](multi-region-access-point-view-examples.md)
+ [Eliminación de un punto de acceso de varias regiones](multi-region-access-point-delete-examples.md)

# Reglas para asignar nombres a los puntos de acceso de varias regiones de Amazon S3
<a name="multi-region-access-point-naming"></a>

Cuando crea un punto de acceso de varias regiones, le asigna un nombre, que es una cadena que elige. Después de crearlo, no se puede cambiar el nombre del punto de acceso de varias regiones. El nombre debe ser único en su Cuenta de AWS y debe cumplir con los requisitos para la designación de nombres enumerados en [Restricciones y limitaciones de puntos de acceso de varias regiones](MultiRegionAccessPointRestrictions.md). Para ayudarle a identificar el punto de acceso de varias regiones, utilice un nombre que sea significativo para usted, para la organización o que refleje el escenario. 

Este nombre se utiliza cuando se invocan operaciones de administración de puntos de acceso de varias regiones, como `GetMultiRegionAccessPoint` y `PutMultiRegionAccessPointPolicy`. El nombre no se utiliza para enviar solicitudes al punto de acceso de varias regiones y no necesita estar expuesto a clientes que realizan solicitudes mediante el punto de acceso de varias regiones. 

Cuando Amazon S3 crea un punto de acceso de varias regiones, le asigna automáticamente un alias. Este alias es una cadena alfanumérica única que termina en `.mrap`. El alias se utiliza para construir el nombre de host y el nombre de recurso de Amazon (ARN) para un punto de acceso de varias regiones. El nombre completo también se basa en el alias del punto de acceso de varias regiones.

No se puede determinar el nombre de un punto de acceso de varias regiones a partir de su alias, por lo que puede revelar un alias sin riesgo de exponer el nombre, el propósito o el propietario del punto de acceso de varias regiones. Amazon S3 selecciona el alias para cada nuevo punto de acceso de varias regiones y el alias no se puede cambiar. Para obtener más información acerca de la dirección de un punto de acceso de varias regiones, consulte [Realización de solicitudes mediante un punto de acceso multirregional](MultiRegionAccessPointRequests.md). 

Los alias de punto de acceso de varias regiones son únicos a lo largo del tiempo y no se basan en el nombre o la configuración de un punto de acceso de varias regiones. Si crea un punto de acceso de varias regiones y, a continuación, lo elimina y crea otro con el mismo nombre y configuración, el segundo punto de acceso de varias regiones tendrá un alias diferente al primero. Los nuevos puntos deacceso de varias regiones nunca pueden tener el mismo alias que un punto de acceso de varias regiones anterior.

# Reglas para elegir buckets para puntos de acceso de varias regiones de Amazon S3
<a name="multi-region-access-point-buckets"></a>

Cada punto de acceso de varias regiones está asociado a las regiones en las que desea satisfacer las solicitudes. El punto de acceso de varias regiones debe estar asociado a exactamente un bucket en cada una de esas regiones. Especifique el nombre de cada bucket en la solicitud para crear el punto de acceso de varias regiones. Los buckets que admiten el punto de acceso de varias regiones pueden estar en la misma Cuenta de AWS que posee el punto de acceso de varias regiones o pueden estar en otra Cuentas de AWS.

 Un solo bucket puede ser utilizado por varios puntos de acceso de varias regiones. 

**importante**  
Puede especificar los buckets asociados a un punto de acceso de varias regiones solo en el momento en que lo cree. Después de crearlo, no puede agregar, modificar ni eliminar buckets de la configuración del punto de acceso de varias regiones. Para cambiar los buckets, debe eliminar todo el punto de acceso de varias regiones y crear uno nuevo. 
No se puede eliminar un bucket que forme parte de un punto de acceso de varias regiones. Si desea eliminar un bucket vinculado a un punto de acceso de varias regiones, elimine primero el punto de acceso de varias regiones. 
Si agrega un bucket que pertenece a otra cuenta a un punto de acceso de varias regiones, el propietario del bucket también debe actualizar la política de bucket para conceder permisos de acceso al punto de acceso de varias regiones. De lo contrario, el punto de acceso de varias regiones no podrá recuperar los datos de ese bucket. Para ver políticas que muestran cómo conceder dicho acceso, consulte [Ejemplos de política de punto de acceso multirregional](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples). 
 No todas las regiones admiten puntos de acceso de varias regiones. Para ver las lista de regiones admitidas, consulte [Restricciones y limitaciones de puntos de acceso de varias regiones](MultiRegionAccessPointRestrictions.md). 

Puede crear reglas de replicación para sincronizar datos entre buckets. Estas reglas le permiten copiar automáticamente los datos de los buckets de origen a los buckets de destino. Tener buckets conectados a un punto de acceso de varias regiones no afecta el funcionamiento de la replicación. La configuración de replicación con puntos de acceso de varias regiones se describe en una sección posterior.

**importante**  
Cuando realiza una solicitud a un punto de acceso de varias regiones, este no conoce el contenido de datos de los buckets del punto de acceso de varias regiones. Por lo tanto, es posible que el bucket que reciba la solicitud no contenga los datos solicitados. Para crear conjuntos de datos coherentes en los buckets de Amazon S3 asociados con un punto de acceso de varias regiones, le recomendamos que configure la replicación entre regiones (CRR) de S3. Para obtener más información, consulte [Configuración de la replicación de bucket para utilizarla con puntos de acceso multirregionales](MultiRegionAccessPointBucketReplication.md).

# Crear un punto de acceso de varias regiones de Amazon S3
<a name="multi-region-access-point-create-examples"></a>

En los siguientes ejemplos se muestra cómo crear un punto de acceso de varias regiones mediante la consola de Amazon S3.

## Uso de la consola de S3
<a name="multi-region-access-point-create-console"></a>

**Para crear un punto de acceso de varias regiones**
**nota**  
Las regiones de inclusión del punto de acceso multirregional no se admiten actualmente en la consola de Amazon S3.

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. En el panel de navegación izquierdo, elija **Puntos de acceso de varias regiones**.

1. Elija **Crear puntos de acceso de varias regiones** para empezar a crear el punto de acceso de varias regiones.

1. En la página **Punto de acceso de varias regiones**, proporcione un nombre para el punto de acceso de varias regiones en el campo **Nombre del punto de acceso de varias regiones**.

1. Seleccione los buckets que se asociarán a este punto de acceso de varias regiones. Puede elegir los buckets que están en su cuenta o los buckets de otras cuentas.
**nota**  
Debe añadir al menos un bucket de su cuenta o de otras cuentas. Además, debe tener en cuenta que los puntos de acceso de varias regiones solo admiten un bucket por Región de AWS. Por lo tanto, no puede añadir dos buckets de la misma región. [No se admiten Regiones de AWS deshabilitadas de forma predeterminada](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html).
   + Para añadir un bucket de su cuenta, seleccione **Agregar buckets**. Se muestra una lista de los buckets de la cuenta. Puede buscar el bucket por nombre o clasificar los nombres de los buckets por orden alfabético.
   + Para agregar un bucket de otra cuenta, seleccione **Agregar bucket desde otras cuentas**. Debe saber el nombre del bucket y el ID de Cuenta de AWS exactos, pues no puede buscar buckets en otras cuentas.
**nota**  
Debes introducir un ID Cuenta de AWS y un nombre de bucket válidos. El bucket también debe estar en una región compatible; de lo contrario, se producirá un error al intentar crear el punto de acceso de varias regiones. Para ver la lista de regiones que admiten puntos de acceso de varias regiones, consulte [Restricciones y limitaciones de puntos de acceso de varias regiones](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html).

1. (Opcional) Si tiene que eliminar un bucket que ha añadido, seleccione **Eliminar**.
**nota**  
No puede agregar ni eliminar buckets a este punto de acceso de varias regiones después de crearlo.

1. En **Configuración de bloqueo del acceso público a este punto de acceso de varias regiones**, seleccione la configuración de bloqueo de acceso público que desee aplicar al punto de acceso de varias regiones. Todas las configuraciones de bloqueo de acceso público están habilitadas de forma predeterminada para los nuevos puntos de acceso de varias regiones. Le recomendamos que deje todas las configuraciones habilitadas a menos que sepa que tiene una necesidad específica de desactivar cualquiera de ellas.
**nota**  
No puede cambiar la configuración de Bloquear acceso público para un punto de acceso de varias regiones una vez creado. Por lo tanto, si va a bloquear el acceso público, asegúrese de que las aplicaciones funcionen correctamente sin acceso público antes de crear un punto de acceso multirregional.

1. Seleccione **Crear punto de acceso de varias regiones**.

**importante**  
Si agrega un bucket que pertenece a otra cuenta a un punto de acceso de varias regiones, el propietario del bucket también debe actualizar la política de bucket para conceder permisos de acceso al punto de acceso de varias regiones. De lo contrario, el punto de acceso de varias regiones no podrá recuperar los datos de ese bucket. Para ver políticas que muestran cómo conceder dicho acceso, consulte [Ejemplos de política de punto de acceso multirregional](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples).

## Uso de AWS CLI
<a name="multi-region-access-point-create-cli"></a>

Puede utilizar AWS CLI para crear un punto de acceso de varias regiones. Cuando cree el punto de acceso de varias regiones, debe proporcionar todos los buckets que admitirá. No ouede agregar buckets al punto de acceso de varias regiones una vez creado. 

 En el ejemplo siguiente se crea un punto de acceso de varias regiones con dos buckets mediante AWS CLI. Para utilizar este comando de ejemplo, sustituya `user input placeholders` por su propia información.

**nota**  
Para crear un punto de acceso multirregional mediante buckets en una región de inclusión, asegúrese de [habilitar primero todas las regiones de inclusión](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html). De lo contrario, aparecerá un error `403 InvalidRegion` cuando intente crear un punto de acceso multirregional mediante buckets para una región de inclusión que no haya activado realmente.

```
aws s3control create-multi-region-access-point --account-id 111122223333 --details '{
        "Name": "simple-multiregionaccesspoint-with-two-regions",
        "PublicAccessBlock": {
            "BlockPublicAcls": true,
            "IgnorePublicAcls": true,
            "BlockPublicPolicy": true,
            "RestrictPublicBuckets": true
        },
        "Regions": [
            { "Bucket": "amzn-s3-demo-bucket1" }, 
            { "Bucket": "amzn-s3-demo-bucket2" } 
        ]
    }' --region us-west-2
```

# Bloqueo del acceso público con puntos de acceso de varias regiones de Amazon S3
<a name="multi-region-access-point-block-public-access"></a>

Cada punto de acceso de varias regiones tiene configuraciones distintas para Bloquear acceso público de Amazon S3. Esta configuración funciona junto con la configuración de Bloquear acceso público para la Cuenta de AWS que posee tanto el punto de acceso de varias regiones como los buckets subyacentes. 

Cuando Amazon S3 autoriza una solicitud, aplica la combinación más restrictiva de esta configuración. Si la configuración de Bloquear acceso público de cualquiera de estos recursos (el punto de acceso de varias regiones, el bucket subyacente o la cuenta del propietario del bucket) bloquea el acceso a la acción o recurso solicitados, Amazon S3 rechaza la solicitud.

Recomendamos dejar todas estas configuraciones de Bloquear acceso público habilitadas, a menos que sepa que tiene una necesidad específica de desactivar cualquiera de ellas. Todas las configuraciones de bloqueo de acceso público están habilitadas de forma predeterminada para los puntos de acceso de varias regiones. Si Bloquear acceso público está habilitado, el punto de acceso de varias regiones no podrá aceptar solicitudes basadas en internet.

**importante**  
No puede cambiar la configuración de Bloquear acceso público después de que se cree el punto de acceso de varias regiones. 

 Para obtener más información sobre el bloqueo de acceso público de Amazon S3, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](access-control-block-public-access.md). 

# Visualización de los de talles de configuración de los puntos de acceso de varias regiones de Amazon S3
<a name="multi-region-access-point-view-examples"></a>

En los siguientes ejemplos se muestra cómo visualizar los detalles de configuración de un punto de acceso de varias regiones mediante la consola de Amazon S3. 

## Uso de la consola de S3
<a name="multi-region-access-point-view-console"></a>

**Para crear un punto de acceso de varias regiones**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. En el panel de navegación izquierdo, elija **Puntos de acceso de varias regiones**.

1. Elija el nombre del punto de acceso de varias regiones del que quiere ver los detalles de configuración.
   + La pestaña **Propiedades** muestra todos los buckets que están asociados a su punto de acceso de varias regiones, la fecha de creación, el nombre de recurso de Amazon (ARN) y el alias. La columna ID Cuenta de AWS también muestra los buckets que pertenecen a cuentas externas asociadas a su punto de acceso de varias regiones.
   + La pestaña **Permisos** muestra la configuración de Bloquear acceso público que se aplica a los buckets asociados con este punto de acceso de varias regiones. También puede ver la política de punto de acceso de varias regiones para su punto de acceso de varias regiones, si ha creado uno. La alerta **Información** de la página **Permisos** también muestra todos los buckets (en su cuenta y en otras cuentas) de este punto de acceso de varias regiones que tienen habilitada la configuración **El acceso público está bloqueado**.
   + La pestaña **Replicación y conmutación por error** proporciona un mapa visual de los buckets asociados a su punto de acceso de varias regiones y las regiones en las que residen los buckets. Si hay buckets de otra cuenta de los que no tiene permiso para extraer datos, la región estará marcada en rojo en el mapa **Resumen de replicación**, lo que indica que se trata de una **Región de AWS con errores al obtener el estado de replicación**.
**nota**  
Para recuperar la información del estado de la replicación de un bucket en una cuenta externa, el propietario del bucket debe concederle el permiso `s3:GetBucketReplication` en su política de bucket.

     Esta pestaña también proporciona las métricas de replicación, las reglas de replicación y los estados de conmutación por error para las regiones que se utilizan con su punto de acceso de varias regiones.

## Uso de AWS CLI
<a name="multi-region-access-point-view-cli"></a>

 Puede utilizar la AWS CLI para ver los detalles de configuración de un punto de acceso de varias regiones.

El siguiente ejemplo de la AWS CLI recibe la configuración actual del punto de acceso de varias regiones. Para utilizar este comando de ejemplo, sustituya `user input placeholders` por su propia información.

```
aws s3control get-multi-region-access-point --account-id 111122223333 --name amzn-s3-demo-bucket
```

# Eliminación de un punto de acceso de varias regiones
<a name="multi-region-access-point-delete-examples"></a>

En el siguiente procedimiento se explica cómo eliminar un punto de acceso de varias regiones mediante la consola de Amazon S3. Tenga en cuenta que al eliminar un punto de acceso multirregional no se eliminan los buckets asociados a ese punto de acceso. En su lugar, solo se elimina el punto de acceso multirregional.

**nota**  
En estos momentos, los puntos de acceso multirregionales de S3 que utilizan buckets en regiones de inclusión de AWS solo se admiten a través de los SDK de AWS y la CLI de AWS. Para eliminar un punto de acceso multirregional que utiliza buckets en una región de inclusión, asegúrese de especificar primero qué regiones de inclusión de AWS puede utilizar la cuenta. De lo contrario, si intenta eliminar un punto de acceso multirregional que utilice buckets en regiones de inclusión de AWS deshabilitadas, recibirá un error.

## Uso de la consola de S3
<a name="multi-region-access-point-delete-console"></a>

**Para eliminar un punto de acceso de varias regiones**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. En el panel de navegación izquierdo, elija **Puntos de acceso de varias regiones**.

1. Seleccione el botón de opción situado junto al nombre de su punto de acceso de varias regiones.

1. Elija **Eliminar**.

1. En el cuadro de diálogo **Eliminar punto de acceso de varias regiones**, introduzca el nombre del bucket AWS que desea eliminar.
**nota**  
Asegúrese de introducir un nombre de bucket válido. De lo contrario, se desactivará el botón **Eliminar**.

1. Elija **Eliminar** para confirmar la eliminación de un punto de acceso de varias regiones.

## Uso de AWS CLI
<a name="multi-region-access-point-delete-cli"></a>

Puede utilizar la AWS CLI para eliminar un punto de acceso de varias regiones. Esta acción no elimina los buckets asociados con el punto de acceso de varias regiones, solo el punto de acceso de varias regiones en sí. Para utilizar este comando de ejemplo, sustituya `user input placeholders` por su propia información.

```
aws s3control delete-multi-region-access-point --account-id 123456789012 --details Name=example-multi-region-access-point-name
```