

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configuration d'un point d'accès multirégional à utiliser avec AWS PrivateLink
<a name="MultiRegionAccessConfiguration"></a>

Vous pouvez utiliser les points d'accès multi-régions pour acheminer le trafic de demandes Amazon S3 entre plusieurs Régions AWS. Chaque point d'accès multi-régions achemine le trafic de demandes de données Amazon S3 depuis plusieurs sources sans que vous ayez à créer des configurations réseau complexes avec des points de terminaison distincts. Ces sources de trafic de demandes de données incluent :
+ Trafic provenant d'un cloud privé virtuel (VPC)
+ Trafic provenant des centres de données sur site transitant par AWS PrivateLink 
+ Trafic provenant de l'Internet public

Si vous établissez une AWS PrivateLink connexion à un point d'accès multirégional S3, vous pouvez acheminer les demandes S3 vers AWS, ou entre plusieurs Régions AWS, via une connexion privée en utilisant une architecture et une configuration réseau simples. Lorsque vous l'utilisez AWS PrivateLink, il n'est pas nécessaire de configurer une connexion d'appairage VPC.

**Topics**
+ [Configuration de régions d’adhésion de points d’accès multi-régions](ConfiguringMrapOptInRegions.md)
+ [Configuration d'un point d'accès multirégional à utiliser avec AWS PrivateLink](MultiRegionAccessPointsPrivateLink.md)
+ [Supprimer l'accès à un point d'accès multi-Régions à partir d'un point de terminaison d'un VPC](RemovingMultiRegionAccessPointAccess.md)

# Configuration de régions d’adhésion de points d’accès multi-régions
<a name="ConfiguringMrapOptInRegions"></a>

Une région AWS optionnelle est une région qui n'est pas activée par défaut dans votre AWS compte. En revanche, les régions activées par défaut sont appelées Régions AWS régions commerciales.

Pour commencer à utiliser les points d'accès multirégionaux dans les régions AWS optionnelles, vous devez activer manuellement la région optionnelle pour votre AWS compte avant de créer votre point d'accès multirégional. Après avoir activé la région d’adhésion, vous pouvez créer des points d’accès multi-régions avec des compartiments dans la région d’adhésion sélectionnée. Pour savoir comment activer ou désactiver une région optionnelle pour votre AWS compte ou votre AWS organisation, voir [Activer ou désactiver une région pour les comptes autonomes](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) ou [Activer ou désactiver une région dans votre](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) organisation.

**Note**  
Les régions optionnelles aux points d'accès multirégionaux ne sont actuellement prises en charge que via AWS SDKs et. AWS CLI

 Les points d'accès multirégionaux S3 prennent en charge les régions AWS optionnelles suivantes :
+ `Africa (Cape Town)`
+ `Asia Pacific (Hong Kong)`
+ `Asia Pacific (Jakarta)`
+ `Asia Pacific (Melbourne)`
+ `Asia Pacific (Hyderabad)`
+ `Canada West (Calgary)`
+ `Europe (Zurich)`
+ `Europe (Milan)`
+ `Europe (Spain)`
+ `Israel (Tel Aviv)`
+ `Middle East (Bahrain)`
+ `Middle East (UAE)`

**Note**  
L’activation d’une région d’adhésion est disponible sans frais supplémentaires. Cependant, la création ou l’utilisation d’une ressource dans un point d’accès multi-régions entraîne des frais de facturation.

## Utilisation d'un point d'accès multirégional dans une région AWS optionnelle
<a name="UsingMrapOptInRegions"></a>

Pour effectuer une [opération de plan de données](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html) sur votre point d'accès multirégional, tous les AWS comptes associés doivent activer les régions facultatives qui font partie du point d'accès multirégional. Cette exigence s’applique au compte du demandeur, au propriétaire du point d’accès multi-régions, aux propriétaires du compartiment S3 et au propriétaire du point de terminaison d’un VPC. Si l’un de ces comptes n’active pas les régions d’adhésion AWS , les demandes de point d’accès multi-régions échouent. Pour plus d’informations sur les erreurs `InvalidToken` ou `AllAccessDisabled`, consultez [Liste des codes d’erreur](https://docs.aws.amazon.com/AmazonS3/latest/API/ErrorResponses.html#ErrorCodeList).

**Note**  
Les [opérations du plan de contrôle](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html), telles que la mise à jour de votre politique de point d’accès multi-régions ou la mise à jour de votre configuration de basculement, ne sont pas affectées par le statut de région d’adhésion des régions faisant partie de votre point d’accès multi-régions. Il n’est pas non plus nécessaire de désactiver les régions d’adhésion actives avant de supprimer un point d’accès multi-régions.

## Désactiver une région AWS opt-in active
<a name="DisablingMrapOptInRegions"></a>

Si vous désactivez la région d’adhésion qui fait partie de votre point d’accès multi-régions, les demandes acheminées vers cette région génèrent une erreur `403 AllAccessDisabled`. Pour désactiver en toute sécurité une région d’adhésion, nous vous recommandons d’abord d’identifier une autre région dans la configuration de votre point d’accès multi-régions vers laquelle acheminer le trafic. Vous pouvez ensuite utiliser les commandes de basculement des points d’accès multi-régions pour marquer la région alternative comme active et marquer la région à désactiver comme passive. Après avoir modifié les commandes de basculement, vous pouvez désactiver la région dont vous souhaitez vous désinscrire.

## Activation d'une région AWS opt-in précédemment désactivée
<a name="EnablingDisabledMrapOptInRegions"></a>

Pour activer une AWS région optionnelle qui était précédemment désactivée pour votre point d'accès multirégional, assurez-vous de mettre à jour les paramètres de votre AWS compte. Après avoir réactivé la région d’adhésion, exécutez l’opération d’API [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html) pour appliquer la politique des points d’accès multi-régions à la région d’adhésion.

Si vous accédez à votre point d'accès multirégional via un point de terminaison VPC, nous vous recommandons de mettre à jour votre politique VPCE et d'utiliser l'opération d'API pour appliquer [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html)la politique de point de terminaison VPC mise à jour à la région optionnelle réactivée.

## Politique relative aux points d'accès multirégionaux et comptes multiples AWS
<a name="UsingMrapPolicyOptInRegions"></a>

Si votre politique de points d'accès multirégionaux accorde l'accès à plusieurs AWS comptes, tous les comptes demandeurs doivent également activer les mêmes régions optionnelles dans leurs paramètres de compte. Si le compte du demandeur soumet une demande de point d’accès multi-régions sans activer les régions d’adhésion qui font partie du point d’accès multi-régions, une erreur `400 InvalidToken` se produit.

## AWS Considérations relatives à la région d'adhésion
<a name="MrapOptInRegionsConsiderations"></a>

Lorsque vous accédez à un point d’accès multi-régions à partir d’une région d’adhésion, tenez compte des points suivants :
+ Après avoir activé la région d’adhésion, vous pouvez créer des points d’accès multi-régions avec des compartiments dans la région d’adhésion sélectionnée. Lorsque vous désactivez une région d’adhésion, le point d’accès multi-régions n’est plus pris en charge dans la région d’adhésion. Si vous ne souhaitez plus activer de région d’adhésion pour votre point d’accès multi-régions, assurez-vous d’abord de [désactiver la région pour votre compte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone). Créez ensuite un nouveau point d’accès multi-régions avec votre liste préférée de régions d’adhésion.
+ Si vous tentez de créer votre point d’accès multi-régions avec une région d’adhésion désactivée, vous recevrez un message d’erreur `403 InvalidRegion`. Après avoir activé la région d’adhésion, essayez de créer à nouveau le point d’accès multi-régions.
+ Le nombre maximum de régions prises en charge pour un point d’accès multi-régions est de 17. Cela inclut à la fois les régions d’adhésion et les régions commerciales. Pour plus d’informations, consultez [Restrictions et limites des points d’accès multi-régions](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html).
+ Les demandes de plan de contrôle pour les points d’accès multi-régions fonctionneront, même si vous n’avez adhéré à aucune région.
+ Lorsque vous essayez de créer un point d’accès multi-régions pour la première fois, vous devez adhérer à toutes les régions qui font partie du point d’accès multi-régions.
+ Tous les AWS comptes autorisés à accéder à un point d'accès multirégional S3 par le biais de la politique de point d'accès multirégional doivent également activer les mêmes régions optionnelles qui font partie du point d'accès multirégional.

# Configuration d'un point d'accès multirégional à utiliser avec AWS PrivateLink
<a name="MultiRegionAccessPointsPrivateLink"></a>

 AWS PrivateLink vous fournit une connectivité privée à Amazon S3 à l'aide d'adresses IP privées dans votre cloud privé virtuel (VPC). Vous pouvez provisionner un ou plusieurs points de terminaison d'interface dans votre VPC pour vous connecter aux points d'accès multi-Régions Amazon S3.

 Vous pouvez créer des points de terminaison **com.amazonaws.s3-global.accesspoint** pour les points d'accès multirégionaux via le, ou. AWS Management Console AWS CLI AWS SDKs Pour en savoir plus sur la configuration d'un point de terminaison d'interface pour un point d'accès multi-Régions, consultez [Points de terminaison d'un VPC d'interface ](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)dans le *guide de l'utilisateur VPC*. 

 Pour adresser des demandes à un point d'accès multi-Régions via des points de terminaison d'interface, procédez comme suit pour configurer le VPC et le point d'accès multi-Régions. 

**Pour configurer un point d'accès multirégional à utiliser avec AWS PrivateLink**

1. Créez ou disposez d'un point de terminaison d'un VPC approprié qui peut se connecter à des points d'accès multi-Régions. Pour en savoir plus sur les points de terminaison d'un VPC, consultez [Points de terminaison d'un VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) dans le *guide de l'utilisateur VPC*.
**Important**  
 Veillez à créer un point de terminaison **com.amazonaws.s3-global.accesspoint**. Les autres types de points de terminaison ne peuvent pas accéder aux points d'accès multi-Régions. 

   Après la création de ce point de terminaison d'un VPC, toutes les demandes de point d'accès multi-Régions dans le VPC seront acheminées via ce point de terminaison si vous disposez d'un DNS privé activé pour le point de terminaison. Cela est activé par défaut. 

1. Si la politique de point d'accès multi-Régions ne prend pas en charge les connexions à partir des points de terminaison d'un VPC, vous devrez la mettre à jour.

1. Vérifiez que les politiques de compartiment individuelles autorisent l'accès aux utilisateurs du point d'accès multi-Régions.

N'oubliez pas que les points d'accès multi-Régions fonctionnent en acheminant les demandes vers des compartiments, non en les exécutant eux-mêmes. Il est important de s'en souvenir, car l'expéditeur de la demande doit disposer des autorisations sur le point d'accès multi-Régions et être autorisé à accéder aux compartiments individuels dans le point d'accès multi-Régions. Sinon, la demande risque d'être acheminée vers un compartiment où l'expéditeur n'a pas les autorisations nécessaires pour répondre à la demande. Un point d'accès multirégional et les compartiments associés peuvent appartenir au même compte ou à un autre AWS compte. Cependant, VPCs des comptes différents peuvent utiliser un point d'accès multirégional si les autorisations sont correctement configurées. 

Pour cette raison, la politique de point de terminaison d'un VPC doit autoriser l'accès au point d'accès multi-Régions et à chaque compartiment sous-jacent qui doit être capable de traiter les demandes. Par exemple, supposons que vous ayez un point d'accès multi-Régions avec l'alias `mfzwi23gnjvgw.mrap`. Il est soutenu par des compartiments `amzn-s3-demo-bucket1` et `amzn-s3-demo-bucket2` qui appartiennent tous deux à un compte AWS`123456789012`. Dans ce cas, la politique de point de terminaison VPC suivante permettrait que les demandes `GetObject` du VPC faites à `mfzwi23gnjvgw.mrap` soient satisfaites par l'un ou l'autre des compartiments de sauvegarde. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}
```

------

Comme mentionné précédemment, vous devez également vous assurer que la politique de point d'accès multi-Régions est configurée de manière à prendre en charge l'accès via un point de terminaison d'un VPC. Il n'est pas nécessaire de préciser le point de terminaison d'un VPC qui demande l'accès. L'exemple de politique suivant accorderait l'accès à tout demandeur essayant d'utiliser le point d'accès multi-régions pour les demandes `GetObject`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}
```

------

Et, bien entendu, les compartiments individuels auraient chacun besoin d'une politique pour prendre en charge l'accès à partir des demandes soumises via le point de terminaison d'un VPC. L'exemple de politique suivant accorde l'accès en lecture à tous les utilisateurs anonymes, ce qui inclut les demandes effectuées via le point de terminaison VPC. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect": "Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}
```

------

 Pour en savoir plus sur la modification d'une politique de point de terminaison d'un VPC, consultez [Contrôle de l'accès aux services avec des points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le *guide de l'utilisateur VPC*. 

# Supprimer l'accès à un point d'accès multi-Régions à partir d'un point de terminaison d'un VPC
<a name="RemovingMultiRegionAccessPointAccess"></a>

Si vous possédez un point d'accès multi-régions et souhaitez en supprimer l'accès à partir d'un point de terminaison d'interface, vous devrez fournir une nouvelle stratégie d'accès au point d'accès multi-régions qui empêche l'accès aux demandes provenant des points de terminaison d'un VPC. Cependant, si les compartiments de votre point d'accès multi-régions prennent en charge les demandes via des points de terminaison d'un VPC, ils continueront à prendre en charge ces demandes. Si vous souhaitez empêcher cette prise en charge, vous devrez également mettre à jour les politiques des compartiments. La fourniture d'une nouvelle stratégie d'accès au point d'accès multi-régions empêche uniquement l'accès au point d'accès multi-régions, pas aux compartiments sous-jacents. 

**Note**  
Vous ne pouvez pas supprimer une politique d'accès pour un point d'accès multi-Régions. Pour supprimer l'accès à un point d'accès multi-Régions, vous devez fournir une nouvelle politique d'accès avec l'accès modifié souhaité. 

Au lieu de mettre à jour la stratégie d'accès pour le point d'accès multi-régions, vous pouvez mettre à jour les politiques de compartiment pour empêcher les demandes via les points de terminaison d'un VPC. Dans ce cas, les utilisateurs peuvent toujours accéder au point d'accès multi-régions via le point de terminaison d'un VPC. Mais si la demande de point d'accès multi-régions est acheminée vers un compartiment où la politique de compartiment empêche l'accès, elle générera un message d'erreur.