# Configuración de un punto de acceso de varias regiones para usarlo con AWS PrivateLink
Puede utilizar puntos de acceso de varias regiones para dirigir el tráfico de solicitudes de Amazon S3 entre Regiones de AWS. Cada punto de acceso de varias regiones global dirige el tráfico de las solicitudes de datos de Amazon S3 desde múltiples orígenes sin que tenga que crear configuraciones de red complejas con puntos de conexión independientes. Estos orígenes del tráfico de solicitudes de datos incluyen:
+ Tráfico que se origina en una nube privada virtual (VPC)
+ Tráfico de los centros de datos en las instalaciones que viaja a través de AWS PrivateLink
+ Tráfico de la internet pública
Si establece una conexión AWS PrivateLink con un punto de acceso de varias regiones de S3, puede dirigir las solicitudes de S3 hacia AWS o entre varias Regiones de AWS a través de una conexión privada mediante una arquitectura y una configuración de red sencillas. Si usa AWS PrivateLink, no es necesario configurar una conexión de emparejamiento de VPC.
**Topics**
+ [Configuración de regiones de inclusión en puntos de acceso multirregionales](ConfiguringMrapOptInRegions.md)
+ [Configuración de un punto de acceso de varias regiones para su uso con AWS PrivateLink](MultiRegionAccessPointsPrivateLink.md)
+ [Eliminación del acceso a un punto de acceso de varias regiones desde un punto de enlace de VPC](RemovingMultiRegionAccessPointAccess.md)
# Configuración de regiones de inclusión en puntos de acceso multirregionales
Una región de inclusión de AWS es una región que no está habilitada de forma predeterminada en la cuenta de AWS. Por el contrario, las regiones que están habilitadas de forma predeterminada se conocen como Regiones de AWS o regiones comerciales.
Para empezar a utilizar puntos de acceso multirregionales en regiones de inclusión de AWS, debe habilitar manualmente la región de inclusión para la cuenta de AWS antes de crear el punto de acceso multirregional. Después de habilitar la región de inclusión, puede crear puntos de acceso multirregionales con buckets en la región de inclusión seleccionada. Para obtener instrucciones sobre cómo habilitar o deshabilitar una región de inclusión para la cuenta de AWS o la organización de AWS, consulte [Habilitación o deshabilitación de una región para cuentas independientes](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) o [Habilitación o deshabilitación de una región en la organización](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization).
**nota**
En estos momentos, las regiones de inclusión de puntos de acceso multirregionales solo se admiten a través de los SDK de AWS y AWS CLI.
Los puntos de acceso multirregionales de S3 admiten las siguientes regiones de inclusión de AWS:
+ `Africa (Cape Town)`
+ `Asia Pacific (Hong Kong)`
+ `Asia Pacific (Jakarta)`
+ `Asia Pacific (Melbourne)`
+ `Asia Pacific (Hyderabad)`
+ `Canada West (Calgary)`
+ `Europe (Zurich)`
+ `Europe (Milan)`
+ `Europe (Spain)`
+ `Israel (Tel Aviv)`
+ `Middle East (Bahrain)`
+ `Middle East (UAE)`
**nota**
No hay costos adicionales por habilitar una región de inclusión. Sin embargo, la creación o el uso de un recurso en un punto de acceso multirregional conlleva cargos de facturación.
## Uso de un punto de acceso multirregional en una región de inclusión de AWS
Para realizar una [operación de plano de datos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html) en el punto de acceso multirregional, todas las cuentas de AWS asociadas deben habilitar las regiones de inclusión que forman parte del punto de acceso multirregional. Este requisito se aplica a la cuenta solicitante, al propietario del punto de acceso multirregional, a los propietarios de buckets de S3 y al propietario del punto de conexión de VPC. Si alguna de estas cuentas no habilita las regiones de inclusión de AWS, no se realizarán las solicitudes del punto de acceso multirregional. Para obtener más información sobre los errores `InvalidToken` o `AllAccessDisabled`, consulte [Lista de códigos de error](https://docs.aws.amazon.com/AmazonS3/latest/API/ErrorResponses.html#ErrorCodeList).
**nota**
Las [operaciones del plano de control](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html), como la actualización de la política del punto de acceso multirregional o la actualización de la configuración de conmutación por error, no se ven afectadas por el estado de región de inclusión de ninguna región que forme parte del punto de acceso multirregional. Tampoco es necesario deshabilitar ninguna región de inclusión activa antes de eliminar un punto de acceso multirregional.
## Deshabilitación de una región de inclusión de AWS activa
Si deshabilita una región de inclusión que forma parte del punto de acceso multirregional, las solicitudes enrutadas a esta región generarán un error `403 AllAccessDisabled`. Para deshabilitar de forma segura una región de inclusión, le recomendamos que primero identifique una región alternativa en la configuración del punto de acceso multirregional para enrutar el tráfico. A continuación, puede utilizar los controles de conmutación por error del punto de acceso multirregional para marcar la región alternativa como activa y marcar la región que desea deshabilitar como pasiva. Después de cambiar los controles de conmutación por error, puede deshabilitar la región que desea excluir.
## Habilitación de una región de inclusión de AWS deshabilitada previamente
Para habilitar una región de inclusión de AWS que estaba deshabilitada previamente para el punto de acceso multirregional, asegúrese de actualizar la configuración de la cuenta de AWS. Después de volver a habilitar la región de inclusión, ejecute la operación de la API [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html) para aplicar la política de puntos de acceso multirregionales a la región de inclusión.
Si se accede al punto de acceso multirregional a través de un punto de conexión de VPC, le recomendamos que actualice la política de VPCE y utilice la operación de la API [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html) para aplicar la política de puntos de conexión de VPC actualizada a la región de inclusión reactivada.
## Política de puntos de acceso multirregionales y varias cuentas de AWS
Si la política de puntos de acceso multirregional concede acceso a varias cuentas de AWS, todas las cuentas solicitantes también deben habilitar las mismas regiones de inclusión en la configuración de cuenta. Si la cuenta solicitante envía una solicitud de punto de acceso multirregional sin habilitar las regiones de inclusión que forman parte del punto de acceso multirregional, se producirá un error `400 InvalidToken`.
## Consideraciones sobre la región de inclusión de AWS
Cuando acceda a un punto de acceso multirregional desde una región de inclusión, tenga en cuenta lo siguiente:
+ Cuando habilita una región de inclusión, puede crear un punto de acceso multirregional mediante los buckets de la región de inclusión. Cuando deshabilita una región de inclusión, el punto de acceso multirregional ya no se admite en dicha región. Si ya no desea que una región de inclusión esté habilitada para el punto de acceso multirregional, asegúrese de [deshabilitar primero la región para la cuenta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone). A continuación, cree un nuevo punto de acceso multirregional con la lista preferida de regiones de inclusión.
+ Si intenta crear el punto de acceso multirregional con una región de inclusión deshabilitada, recibirá un error `403 InvalidRegion`. Después de habilitar la región de inclusión, intente crear de nuevo el punto de acceso multirregional.
+ El número máximo de regiones admitidas para un punto de acceso multirregional es 17. Esto incluye tanto las regiones de inclusión como las regiones comerciales. Para obtener más información, consulte [Restricciones y limitaciones de puntos de acceso multirregionales](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html).
+ Las solicitudes del plano de control para puntos de acceso multirregionales funcionarán, aunque no haya ninguna región de inclusión.
+ Cuando intente crear un punto de acceso multirregional por primera vez, debe incluir todas las regiones que forman parte del punto de acceso multirregional.
+ Cualquier cuenta de AWS a la que se le conceda acceso a un punto de acceso multirregional de S3 a través de la política de puntos de acceso multirregionales también debe habilitar las mismas regiones de inclusión que forman parte del punto de acceso multirregional.
# Configuración de un punto de acceso de varias regiones para su uso con AWS PrivateLink
AWS PrivateLink le proporciona conectividad privada a Amazon S3 mediante direcciones IP privadas en su nube virtual privada (VPC). Puede aprovisionar uno o más puntos de enlace de interfaz dentro de su VPC para conectarse a los puntos de acceso de varias regiones de Amazon S3.
Puede crear puntos de enlace **com.amazonaws.s3-global.accesspoint** para los puntos de acceso de varias regiones a través de Consola de administración de AWS, AWS CLI o AWS SDK. Para obtener más información acerca de cómo configurar un punto de enlace de interfaz para el punto de acceso de varias regiones, consulte [Puntos de enlace de la VPC de tipo interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) en la *Guía del usuario de VPC*.
Para realizar solicitudes a un punto de acceso de varias regiones a través de puntos de enlace de interfaz, siga estos pasos para configurar la VPC y el punto de acceso de varias regiones.
**Para configurar un punto de acceso de varias regiones para utilizarlo con AWS PrivateLink**
1. Cree o tenga un punto de enlace de VPC adecuado que pueda conectarse a puntos de acceso de varias regiones. Para obtener más información sobre puntos de enlace de la VPC, consulte [Puntos de enlace de la VPC de tipo interfaz](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) en la *Guía del usuario de la VPC*.
**importante**
Asegúrese de crear un punto de enlace **com.amazonaws.s3-global.accesspoint**. Otros tipos de puntos de enlace no pueden acceder a los puntos de acceso de varias regiones.
Después de crear este punto de enlace de VPC, todas las solicitudes de Punto de acceso de varias regiones de la VPC se dirigen a través de este punto de enlace si tiene habilitado DNS privado para el punto de enlace. Esto está habilitado de forma predeterminada.
1. Si la política de punto de acceso de varias regiones no admite conexiones desde puntos de enlace de VPC, deberá actualizarla.
1. Compruebe que las políticas de bucket individuales permitirán el acceso a los usuarios del punto de acceso de varias regiones.
Recuerde que los puntos de acceso de varias regiones funcionan dirigiendo las solicitudes a los buckets, no cumpliendo las solicitudes por sí mismos. Es importante recordar esto porque el originador de la solicitud debe tener permisos para el punto de acceso de varias regiones y tener permiso para acceder a los buckets individuales en el punto de acceso de varias regiones. De lo contrario, la solicitud podría dirigierse a un bucket en el que el iniciador no tenga permisos para cumplir con la solicitud. Un punto de acceso de varias regiones y los buckets asociados pueden pertenecer a la misma cuenta o a otra cuenta de AWS. Sin embargo, las VPC de diferentes cuentas pueden utilizar un punto de acceso de varias regiones si los permisos están configurados correctamente.
Debido a esto, la política de punto de enlace de VPC debe permitir el acceso tanto al punto de acceso de varias regiones como a cada bucket subyacente que desee poder satisfacer las solicitudes. Por ejemplo, suponga que tiene un punto de acceso multirregional con el alias `mfzwi23gnjvgw.mrap`. Está respaldado por los buckets `amzn-s3-demo-bucket1` y `amzn-s3-demo-bucket2`, todos propiedad de la cuenta de AWS `123456789012`. En este caso, la siguiente política de punto de conexión de VPC permitiría solicitudes `GetObject` de la VPC hechas a `mfzwi23gnjvgw.mrap` para que cualquiera de los buckets de respaldo las responda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Read-buckets-and-MRAP-VPCE-policy",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*",
"arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
]
}]
}
```
------
Como se mencionó anteriormente, también debe asegurarse de que la política de punto de acceso de varias regiones esté configurada para admitir el acceso a través de un punto de enlace de VPC. No tiene que especificar el punto de enlace de VPC que solicita acceso. La siguiente política de ejemplo concedería acceso a cualquier solicitante que intente utilizar el punto de acceso multirregional para las solicitudes de `GetObject`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Open-read-MRAP-policy",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
}]
}
```
------
Y, por supuesto, cada uno de los buckets individuales necesitaría una política para admitir el acceso desde las solicitudes enviadas a través del punto de enlace de VPC. En el siguiente ejemplo de política se concede acceso de lectura a todos los usuarios anónimos, lo que incluye solicitudes realizadas a través del punto de enlace de VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Public-read",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"]
}]
}
```
------
Para obtener información acerca de cómo editar una política de punto de conexión de VPC, consulte [Control del acceso a los servicios con puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) en la *Guía del usuario de VPC*.
# Eliminación del acceso a un punto de acceso de varias regiones desde un punto de enlace de VPC
Si posee un punto de acceso de varias regiones y desea quitarle el acceso desde un punto de conexión de interfaz, debe proporcionar una nueva política de acceso al punto de acceso de varias regiones que impida el acceso a las solicitudes que lleguen a través de los puntos de conexión de VPC. Si los buckets de su punto de acceso de varias regiones admiten solicitudes a través de puntos de conexión de VPC, seguirán admitiendo estas solicitudes. Si desea evitar esa compatibilidad, también debe actualizar las políticas de los buckets. El suministro de una nueva política de acceso al punto de acceso de varias regiones solo impide el acceso al punto de acceso de varias regiones, no a los buckets subyacentes.
**nota**
No se puede eliminar una política de acceso para un punto de acceso de varias regiones. Para quitar el acceso a un punto de acceso de varias regiones, debe proporcionar una nueva política de acceso con el acceso modificado que desee.
En lugar de actualizar la política de acceso para el punto de acceso de varias regiones, puede actualizar las políticas de bucket para evitar solicitudes a través de puntos de conexión de VPC. En este caso, los usuarios aún podrían acceder al punto de acceso de varias regiones a través del punto de conexión de la VPC. Pero si la solicitud de punto de acceso de varias regiones se dirige a un bucket donde la política de buckets impide el acceso, esta solicitud generaría un mensaje de error.