Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS PrivateLink pour S3 sur Outposts
S3 sur Outposts prend en charge AWS PrivateLink, qui fournit un accès de gestion direct à votre stockage S3 sur Outposts via un point de terminaison privé au sein de votre réseau privé virtuel. Cela vous permet de simplifier l’architecture de votre réseau interne et d’effectuer des opérations de gestion sur votre stockage d’objets Outposts en utilisant des adresses IP privées dans votre cloud privé virtuel (VPC). L’utilisation de AWS PrivateLink élimine le besoin d’utiliser des adresses IP publiques ou des serveurs proxy.
Avec AWS PrivateLink pour Amazon S3 sur Outposts, vous pouvez provisionner des points de terminaison de VPC d’interface dans votre cloud privé virtuel (VPC) pour accéder à vos API de gestion des compartiments et de gestion des points de terminaison de S3 sur Outposts. Les points de terminaison d’un VPC d’interface sont directement accessibles depuis des applications déployées dans votre VPC ou sur site par l’intermédiaire de votre réseau privé virtuel (VPN) ou d’AWS Direct Connect. Vous pouvez accéder aux API de gestion des compartiments et des points de terminaison via AWS PrivateLink. AWS PrivateLink ne prend pas en charge les opérations d’API de transfert de données, telles que GET, PUT et des API similaires. Ces opérations sont déjà transférées en privé via la configuration du point de terminaison et du point d’accès S3 sur Outposts. Pour en savoir plus, consultez Mise en réseau pour S3 on Outposts.
Les points de terminaison d’interface sont représentés par une ou plusieurs interfaces réseau Elastic (ENI) auxquelles des adresses IP privées sont attribuées à partir de sous-réseaux VPC. Les demandes envoyées à des points de terminaison d’interface pour S3 sur Outposts sont automatiquement acheminées vers des API de gestion de compartiment et des points de terminaison S3 sur Outposts sur le réseau AWS. Vous pouvez également accéder aux points de terminaison d’interface dans votre VPC à partir d’applications sur site via AWS Direct Connect ou AWS Virtual Private Network (AWS VPN). Pour plus d’informations sur la façon de connecter votre VPC à votre réseau sur site, consultez le Guide de l’utilisateur AWS Direct Connect et le Guide de l’utilisateur AWS Site-to-Site VPN.
Les points de terminaison d’interface acheminent les demandes pour les API de gestion des compartiments et des points de terminaison S3 sur Outposts sur le réseau AWS et via AWS PrivateLink, comme illustré dans le schéma suivant.
Pour des informations générales sur les points de terminaison d’interface, consultez Points de terminaison de VPC d’interface (AWS PrivateLink) dans le Guide AWS PrivateLink.
Rubriques
Restrictions et limitations
Lorsque vous accédez aux API de gestion des compartiments et des points de terminaison S3 sur Outposts via AWS PrivateLink, des limites de VPC s’appliquent. Pour plus d’informations, consultez les sections Propriétés et limitations des points de terminaison d’interface et Quotas AWS PrivateLink du Guide AWS PrivateLink.
En outre, AWS PrivateLink ne prend pas en charge ce qui suit :
-
Points de terminaison FIPS (Federal Information Processing Standard)
-
API de transfert de données S3 sur Outposts, par exemple, GET, PUT et des opérations d’API d’objets similaires.
-
DNS privé
Accès aux points de terminaison d’interface S3 sur Outposts
Pour accéder aux API de gestion des compartiments et des points de terminaison S3 sur Outposts via AWS PrivateLink, vous devez mettre à jour vos applications pour utiliser des noms DNS spécifiques aux points de terminaison. Lorsque vous créez un point de terminaison d’interface, AWS PrivateLink génère deux types de nom S3 sur Outposts spécifiques au point de terminaison : des noms de région et des noms de zone.
-
Noms DNS de région : incluent un ID de point de terminaison de VPC unique, un identifiant de service, la Région AWS et
vpce.amazonaws.com, par exemple,vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com -
Noms DNS de zone : incluent un ID de point de terminaison de VPC unique, la zone de disponibilité, un identifiant de service, la Région AWS et
vpce.amazonaws.com, par exemple,vpce-1a2b3c4d-5e6f-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com
Important
Les points de terminaison de l’interface S3 sur Outposts sont résolus depuis le domaine DNS public. S3 sur Outposts ne prend pas en charge le DNS privé. Utilisez le paramètre --endpoint-url pour toutes les API de gestion des compartiments et des points de terminaison.
Exemples AWS CLI
Utilisez les paramètres --region et --endpoint-url pour accéder aux API de gestion des compartiments et de gestion des points de terminaison via les points de terminaison d’interface S3 sur Outposts.
Exemple : utiliser l’URL du point de terminaison pour répertorier les compartiments avec l’API de contrôle S3
Dans l’exemple suivant, remplacez la région us-east-1vpce-1a2b3c4d-5e6f---s3---us-east-1---vpce.amazonaws.com.rproxy.goskope.com111122223333
aws s3control list-regional-buckets --regionus-east-1--endpoint-url https://vpce-1a2b3c4d-5e6f---s3-outposts---us-east-1---vpce.amazonaws.com.rproxy.goskope.com--account-id111122223333
Exemples de kit AWS SDK
Mettez à jour vos kits SDK vers la dernière version et configurez vos clients pour qu’ils utilisent une URL de point de terminaison afin d’accéder à l’API de contrôle S3 pour les points de terminaison d’interface S3 sur Outposts.
Mise à jour d’une configuration DNS sur site
Lorsque vous utilisez des noms DNS spécifiques aux points de terminaison pour accéder aux points de terminaison d’interface pour les API de gestion de compartiments et de gestion de points de terminaison S3 sur Outposts, vous n’avez pas besoin de mettre à jour votre résolveur DNS sur site. Vous pouvez résoudre le nom DNS spécifique au point de terminaison avec l’adresse IP privée du point de terminaison d’interface depuis le domaine DNS public S3 sur Outposts.
Création d’un point de terminaison de VPC pour S3 sur Outposts
Pour créer un point de terminaison d’interface de VPC pour S3 sur Outposts, consultez Création d’un point de terminaison de VPC dans le Guide AWS PrivateLink.
Création de stratégies de compartiment et de stratégies de point de terminaison de VPC pour S3 sur Outposts
Vous pouvez attacher une stratégie de point de terminaison à votre point de terminaison de VPC qui contrôle l’accès à S3 sur Outposts. Vous pouvez également utiliser la condition aws:sourceVpce dans les stratégies de compartiment S3 sur Outposts pour restreindre l’accès à des compartiments spécifiques depuis un point de terminaison de VPC spécifique. Avec les stratégies de point de terminaison de VPC, vous pouvez contrôler l’accès aux API de gestion des compartiments et aux API de gestion des points de terminaison S3 sur Outposts. Avec les stratégies de compartiment, vous pouvez contrôler l’accès aux API de gestion des compartiments S3 sur Outposts. Toutefois, vous ne pouvez pas gérer l’accès aux actions d’objet pour S3 sur Outposts à l’aide de aws:sourceVpce.
Les stratégies d’accès pour S3 sur Outposts spécifient les informations suivantes :
-
Le principal AWS Identity and Access Management (IAM) pour lequel des actions sont autorisées ou refusées.
-
Les actions de contrôle S3 qui sont autorisées ou refusées.
-
Les ressources S3 sur Outposts pour lesquelles des actions sont autorisées ou refusées.
Les exemples suivants montrent les stratégies qui restreignent l’accès à un compartiment ou à un point de terminaison. Pour plus d’informations sur la connectivité VPC, consultez Options de connectivité réseau vers VPC dans le livre blanc AWS Options de connectivité du cloud privé virtuel Amazon.
Important
-
Lors de l’application des exemples de stratégie pour les points de terminaison de VPC décrits dans cette section, vous pouvez bloquer involontairement votre accès au compartiment. Les autorisations attribuées à un compartiment qui restreignent l’accès aux connexions issues du point de terminaison de votre VPC peuvent bloquer toutes les connexions à ce compartiment. Pour des informations sur la correction de ce problème, consultez Ma politique de compartiment n’a pas le bon VPC ou ID de point de terminaison d’un VPC. Comment puis-je corriger la politique de façon à pouvoir accéder au compartiment ?
que vous trouverez dans le SupportCentre de connaissances. -
Avant d’utiliser l’exemple de politique de compartiment suivant, remplacez l’ID de point de terminaison de VPC par une valeur appropriée pour votre cas d’utilisation. Dans le cas contraire, vous ne parviendrez pas à accéder à votre compartiment.
-
Si votre stratégie n’autorise l’accès à un compartiment S3 sur Outposts qu’à partir d’un point de terminaison de VPC spécifique, elle désactive l’accès à la console pour ce compartiment car les demandes de console ne proviennent pas du point de terminaison de VPC spécifié.
Rubriques
Exemple : restriction de l’accès à un compartiment spécifique depuis le point de terminaison d’un VPC
Vous pouvez créer une stratégie de point de terminaison qui restreint l’accès à des compartiments S3 sur Outposts spécifiques uniquement. La stratégie suivante restreint l’accès à l’action GetBucketPolicy uniquement au example-outpost-bucket
{ "Version": "2012-10-17", "Id": "Policy1415115909151", "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:GetBucketPolicy", "Effect": "Allow", "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket" } ] }
Exemple : refus d’accès depuis un point de terminaison de VPC spécifique dans une politique de compartiment S3 sur Outposts
La politique de compartiment S3 sur Outposts suivante refuse l’accès à GetBucketPolicy sur le compartiment example-outpost-bucketvpce-1a2b3c4d
La condition aws:sourceVpce spécifie le point de terminaison et ne requiert pas d’Amazon Resource Name (ARN) pour la ressource de point de terminaison de VPC, mais uniquement l’ID du point de terminaison. Pour utiliser cette stratégie, remplacez les exemples de valeur par vos propres valeurs.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Deny-access-to-specific-VPCE", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:GetBucketPolicy", "Effect": "Deny", "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket", "Condition": { "StringEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"} } } ] }
