Configuración de un punto de acceso de varias regiones para su uso con AWS PrivateLink

AWS PrivateLink le proporciona conectividad privada a Amazon S3 mediante direcciones IP privadas en su nube virtual privada (VPC). Puede aprovisionar uno o más puntos de enlace de interfaz dentro de su VPC para conectarse a los puntos de acceso de varias regiones de Amazon S3.

Puede crear puntos de enlace com.amazonaws.s3-global.accesspoint para los puntos de acceso de varias regiones a través de AWS Management Console, AWS CLI o AWS SDK. Para obtener más información acerca de cómo configurar un punto de enlace de interfaz para el punto de acceso de varias regiones, consulte Puntos de enlace de la VPC de tipo interfaz en la Guía del usuario de VPC.

Para realizar solicitudes a un punto de acceso de varias regiones a través de puntos de enlace de interfaz, siga estos pasos para configurar la VPC y el punto de acceso de varias regiones.

Para configurar un punto de acceso de varias regiones para utilizarlo con AWS PrivateLink

Cree o tenga un punto de enlace de VPC adecuado que pueda conectarse a puntos de acceso de varias regiones. Para obtener más información sobre puntos de enlace de la VPC, consulte Puntos de enlace de la VPC de tipo interfaz en la Guía del usuario de la VPC.

importante
Asegúrese de crear un punto de enlace com.amazonaws.s3-global.accesspoint. Otros tipos de puntos de enlace no pueden acceder a los puntos de acceso de varias regiones.

Después de crear este punto de enlace de VPC, todas las solicitudes de Punto de acceso de varias regiones de la VPC se dirigen a través de este punto de enlace si tiene habilitado DNS privado para el punto de enlace. Esto está habilitado de forma predeterminada.
Si la política de punto de acceso de varias regiones no admite conexiones desde puntos de enlace de VPC, deberá actualizarla.
Compruebe que las políticas de bucket individuales permitirán el acceso a los usuarios del punto de acceso de varias regiones.

Recuerde que los puntos de acceso de varias regiones funcionan dirigiendo las solicitudes a los buckets, no cumpliendo las solicitudes por sí mismos. Es importante recordar esto porque el originador de la solicitud debe tener permisos para el punto de acceso de varias regiones y tener permiso para acceder a los buckets individuales en el punto de acceso de varias regiones. De lo contrario, la solicitud podría dirigierse a un bucket en el que el iniciador no tenga permisos para cumplir con la solicitud. Un punto de acceso de varias regiones y los buckets asociados pueden pertenecer a la misma cuenta o a otra cuenta de AWS. Sin embargo, las VPC de diferentes cuentas pueden utilizar un punto de acceso de varias regiones si los permisos están configurados correctamente.

Debido a esto, la política de punto de enlace de VPC debe permitir el acceso tanto al punto de acceso de varias regiones como a cada bucket subyacente que desee poder satisfacer las solicitudes. Por ejemplo, suponga que tiene un punto de acceso multirregional con el alias mfzwi23gnjvgw.mrap. Está respaldado por los buckets amzn-s3-demo-bucket1 y amzn-s3-demo-bucket2, todos propiedad de la cuenta de AWS 123456789012. En este caso, la siguiente política de punto de conexión de VPC permitiría solicitudes GetObject de la VPC hechas a mfzwi23gnjvgw.mrap para que cualquiera de los buckets de respaldo las responda.


{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Como se mencionó anteriormente, también debe asegurarse de que la política de punto de acceso de varias regiones esté configurada para admitir el acceso a través de un punto de enlace de VPC. No tiene que especificar el punto de enlace de VPC que solicita acceso. La siguiente política de ejemplo concedería acceso a cualquier solicitante que intente utilizar el punto de acceso multirregional para las solicitudes de GetObject.


{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

Y, por supuesto, cada uno de los buckets individuales necesitaría una política para admitir el acceso desde las solicitudes enviadas a través del punto de enlace de VPC. En el siguiente ejemplo de política se concede acceso de lectura a todos los usuarios anónimos, lo que incluye solicitudes realizadas a través del punto de enlace de VPC.


{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}

Para obtener información acerca de cómo editar una política de punto de conexión de VPC, consulte Control del acceso a los servicios con puntos de conexión de VPC en la Guía del usuario de VPC.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de puntos de acceso de varias regiones

Eliminación del acceso a un punto de acceso de varias regiones desde un punto de enlace de VPC