Configurer un point d'accès multi-Régions pour utilisation avec AWS PrivateLink - Amazon Simple Storage Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer un point d'accès multi-Régions pour utilisation avec AWS PrivateLink

AWS PrivateLink vous fournit une connectivité privée à Amazon S3 à l'aide d'adresses IP privées dans votre cloud privé virtuel (VPC). Vous pouvez configurer un ou plusieurs points de terminaison d'interface à l'intérieur de votre ordinateur VPC pour vous connecter aux points d'accès multirégionaux Amazon S3.

Vous pouvez créer des points de terminaison com.amazonaws.s3-global.accesspoint pour les points d'accès multirégionaux via le, ou. AWS Management Console AWS CLI AWS SDKs Pour en savoir plus sur la configuration d'un point de terminaison d'interface pour un point d'accès multirégional, consultez la section VPCPoints de terminaison d'interface dans le guide de l'VPCutilisateur.

Pour envoyer des demandes à un point d'accès multirégional via les points de terminaison de l'interface, procédez comme suit pour configurer le point d'accès multirégional VPC et le point d'accès multirégional.

Pour configurer un point d'accès multirégional à utiliser avec AWS PrivateLink

  1. Créez ou disposez d'un point de VPC terminaison approprié capable de se connecter à des points d'accès multirégionaux. Pour plus d'informations sur la création de points de VPC terminaison, consultez la section Points de VPCterminaison d'interface dans le guide de l'VPCutilisateur.

    Important

    Veillez à créer un point de terminaison com.amazonaws.s3-global.accesspoint. Les autres types de points de terminaison ne peuvent pas accéder aux points d'accès multi-Régions.

    Une fois ce VPC point de terminaison créé, toutes les demandes de point d'accès multirégional transitent par VPC ce point de terminaison si le mode privé DNS est activé pour le point de terminaison. Cela est activé par défaut.

  2. Si la politique des points d'accès multirégionaux ne prend pas en charge les connexions à partir de VPC points de terminaison, vous devrez la mettre à jour.

  3. Vérifiez que les politiques de compartiment individuelles autorisent l'accès aux utilisateurs du point d'accès multi-Régions.

N'oubliez pas que les points d'accès multi-Régions fonctionnent en acheminant les demandes vers des compartiments, non en les exécutant eux-mêmes. Il est important de s'en souvenir, car l'expéditeur de la demande doit disposer des autorisations sur le point d'accès multi-Régions et être autorisé à accéder aux compartiments individuels dans le point d'accès multi-Régions. Sinon, la demande risque d'être acheminée vers un compartiment où l'expéditeur n'a pas les autorisations nécessaires pour répondre à la demande. Un point d'accès multirégional et les compartiments associés peuvent appartenir au même compte ou à un autre AWS compte. Cependant, vous pouvez utiliser un point d'accès multirégional à VPCs partir de différents comptes si les autorisations sont correctement configurées.

Pour cette raison, la politique du point de VPC terminaison doit autoriser l'accès à la fois au point d'accès multirégional et à chaque compartiment sous-jacent que vous souhaitez pouvoir traiter les demandes. Par exemple, supposons que vous ayez un point d'accès multi-Régions avec l'alias mfzwi23gnjvgw.mrap. Il est soutenu par des seaux amzn-s3-demo-bucket1 et amzn-s3-demo-bucket2 appartient tous à un AWS compte123456789012. Dans ce cas, la politique de point de VPC terminaison suivante autoriserait le traitement des GetObject demandes VPC émanant mfzwi23gnjvgw.mrap de l'un ou l'autre bucket de sauvegarde. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Comme indiqué précédemment, vous devez également vous assurer que la politique des points d'accès multirégionaux est configurée pour prendre en charge l'accès via un VPC point de terminaison. Il n'est pas nécessaire de spécifier le VPC point de terminaison qui demande l'accès. L'exemple de politique suivant accorderait l'accès à tout demandeur essayant d'utiliser le point d'accès multi-régions pour les demandes GetObject. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

Et bien entendu, les compartiments individuels auraient chacun besoin d'une politique pour prendre en charge l'accès à partir des demandes soumises via le point de VPC terminaison. L'exemple de politique suivant accorde un accès en lecture à tous les utilisateurs anonymes, ce qui inclut les demandes effectuées via le VPC point de terminaison. 

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}

Pour plus d'informations sur la modification d'une politique de point de VPC terminaison, voir Contrôler l'accès aux services avec des VPC points de terminaison dans le guide de VPC l'utilisateur.