Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS PrivateLink pour S3 sur Outposts
S3 on Outposts prend en charge AWS PrivateLink, ce qui fournit un accès de gestion direct à votre stockage S3 on Outposts via un point de terminaison privé au sein de votre réseau privé virtuel. Cela vous permet de simplifier l'architecture de votre réseau interne et d'effectuer des opérations de gestion sur votre stockage d'objets Outposts en utilisant des adresses IP privées dans votre cloud privé virtuel (VPC). L'utilisation AWS PrivateLink élimine le besoin d'utiliser des adresses IP publiques ou des serveurs proxy.
Avec AWS PrivateLink Amazon S3 on Outposts, vous pouvez configurer des points de terminaison VPC d'interface dans votre cloud privé virtuel (VPC) pour accéder à vos API de gestion des compartiments et de gestion des points de terminaison S3 on Outposts. Les points de terminaison d'un VPC d'interface sont directement accessibles depuis des applications déployées dans votre VPC ou sur site par l'intermédiaire de votre réseau privé virtuel (VPN) ou d' AWS Direct Connect. Vous pouvez accéder aux API de gestion des compartiments et des terminaux via AWS PrivateLink. AWS PrivateLink ne prend pas en charge les opérations d'API de transfert de données, telles que GET, PUT et autres API similaires. Ces opérations sont déjà transférées en privé via la configuration du point de terminaison et du point d'accès S3 on Outposts. Pour plus d’informations, consultez Mise en réseau pour S3 on Outposts.
Les points de terminaison d'interface sont représentés par une ou plusieurs interfaces réseau Elastic (ENI) auxquelles des adresses IP privées sont attribuées à partir de sous-réseaux VPC. Les demandes envoyées à des points de terminaison d'interface pour S3 on Outposts sont automatiquement acheminées vers des API de gestion de compartiment et des points de terminaison S3 on Outposts sur le réseau AWS. Vous pouvez également accéder aux points de terminaison d'interface de votre VPC à partir d'applications sur site AWS Direct Connect via AWS Virtual Private Network ou ().AWS VPN Pour plus d'informations sur la façon de connecter votre VPC à votre réseau sur site, consultez le Guide de l'utilisateur AWS Direct Connect et le Guide de l'utilisateur AWS Site-to-Site VPN .
Les points de terminaison d'interface acheminent les demandes pour S3 sur le bucket Outposts et les API de gestion des points de terminaison via AWS le réseau et AWS PrivateLink via le réseau, comme illustré dans le schéma suivant.
Pour des informations générales sur les points de terminaison d'interface, consultez Points de terminaison de VPC d'interface (AWS PrivateLink) dans le Guide AWS PrivateLink .
Rubriques
Restrictions et limitations
Lorsque vous accédez à S3 on Outposts via le bucket et les API de gestion des terminaux, les limites des AWS PrivateLink VPC s'appliquent. Pour plus d'informations, consultez les sections Propriétés et limitations des points de terminaison d'interface et Quotas AWS PrivateLink du Guide AWS PrivateLink .
En outre, AWS PrivateLink ne prend pas en charge les éléments suivants :
-
Points de terminaison FIPS (Federal Information Processing Standard)
-
API de transfert de données S3 on Outposts, par exemple, GET, PUT et des opérations d'API d'objets similaires.
-
DNS privé
Accès aux points de terminaison d'interface S3 on Outposts
Pour accéder au bucket S3 on Outposts et aux API de gestion des terminaux à l'aide des API de gestion des terminaux AWS PrivateLink, vous devez mettre à jour vos applications afin d'utiliser des noms DNS spécifiques aux points de terminaison. Lorsque vous créez un point de terminaison d'interface, deux types de S3 spécifiques au point de terminaison sont AWS PrivateLink générés sous les noms d'Outposts : régional et zonal.
-
Noms DNS régionaux : incluez un ID de point de terminaison VPC unique, un identifiant de service, le Région AWS, et
vpce.amazonaws.com, par exemple,.vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com -
Noms DNS zonaux : incluez un ID de point de terminaison VPC unique, la zone de disponibilité, un identifiant de service, Région AWS le,
vpce.amazonaws.com.rproxy.goskope.comet, par exemple,.vpce-1a2b3c4d-5e6f-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com
Important
Les points de terminaison de l'interface S3 on Outposts sont résolus depuis le domaine DNS public. S3 on Outposts ne prend pas en charge le DNS privé. Utilisez le paramètre --endpoint-url pour toutes les API de gestion des compartiments et des points de terminaison.
AWS CLI exemples
Utilisez les paramètres --region et --endpoint-url pour accéder aux API de gestion des compartiments et de gestion des points de terminaison via les points de terminaison d'interface S3 on Outposts.
Exemple : utiliser l'URL du point de terminaison pour répertorier les compartiments avec l'API de contrôle S3
Dans l'exemple suivant, remplacez la région us-east-1vpce-1a2b3c4d-5e6f---s3---us-east-1---vpce.amazonaws.com.rproxy.goskope.com111122223333
aws s3control list-regional-buckets --regionus-east-1--endpoint-url https://vpce-1a2b3c4d-5e6f---s3-outposts---us-east-1---vpce.amazonaws.com.rproxy.goskope.com--account-id111122223333
AWS Exemples de SDK
Mettez à jour vos kits SDK vers la dernière version et configurez vos clients pour qu'ils utilisent une URL de point de terminaison afin d'accéder à l'API de contrôle S3 pour les points de terminaison d'interface S3 on Outposts. Pour de plus amples informations, veuillez consulter Exemples de kit SDK AWS pour AWS PrivateLink.
Mise à jour d'une configuration DNS sur site
Lorsque vous utilisez des noms DNS spécifiques aux points de terminaison pour accéder aux points de terminaison d'interface pour les API de gestion de compartiments et de gestion de points de terminaison S3 on Outposts, vous n'avez pas besoin de mettre à jour votre résolveur DNS sur site. Vous pouvez résoudre le nom DNS spécifique au point de terminaison avec l'adresse IP privée du point de terminaison d'interface depuis le domaine DNS public S3 on Outposts.
Création d'un point de terminaison de VPC pour S3 on Outposts
Pour créer un point de terminaison d'interface de VPC pour S3 on Outposts, veuillez consulter Création d'un point de terminaison de VPC dans le Guide AWS PrivateLink .
Création de stratégies de compartiment et de stratégies de point de terminaison de VPC pour S3 on Outposts
Vous pouvez attacher une stratégie de point de terminaison à votre point de terminaison de VPC qui contrôle l'accès à S3 on Outposts. Vous pouvez également utiliser la condition aws:sourceVpce dans les stratégies de compartiment S3 on Outposts pour restreindre l'accès à des compartiments spécifiques depuis un point de terminaison de VPC spécifique. Avec les stratégies de point de terminaison de VPC, vous pouvez contrôler l'accès aux API de gestion des compartiments et aux API de gestion des points de terminaison S3 on Outposts. Avec les stratégies de compartiment, vous pouvez contrôler l'accès aux API de gestion des compartiments S3 on Outposts. Toutefois, vous ne pouvez pas gérer l'accès aux actions d'objet pour S3 on Outposts à l'aide de aws:sourceVpce.
Les stratégies d'accès pour S3 on Outposts spécifient les informations suivantes :
-
Le principal AWS Identity and Access Management (IAM) pour lequel les actions sont autorisées ou refusées.
-
Les actions de contrôle S3 qui sont autorisées ou refusées.
-
Les ressources S3 on Outposts pour lesquelles des actions sont autorisées ou refusées.
Les exemples suivants montrent les stratégies qui restreignent l'accès à un compartiment ou à un point de terminaison. Pour plus d'informations sur la connectivité VPC, consultez la section Options de connectivité réseau à VPC dans le livre blanc Amazon AWS Virtual Private Cloud Connectivity Options.
Important
-
Lors de l'application des exemples de stratégie pour les points de terminaison de VPC décrits dans cette section, vous pouvez bloquer involontairement votre accès au compartiment. Les autorisations attribuées à un compartiment qui restreignent l'accès aux connexions issues du point de terminaison de votre VPC peuvent bloquer toutes les connexions à ce compartiment. Pour des informations sur la correction de ce problème, veuillez consulter Ma politique de compartiment n'a pas le bon VPC ou ID de point de terminaison d'un VPC. Comment puis-je corriger la politique de façon à pouvoir accéder au compartiment ?
que vous trouverez dans le AWS Support Centre de connaissances. -
Avant d'utiliser l'exemple de stratégie de compartiment suivant, remplacez l'ID de point de terminaison de VPC par une valeur appropriée pour votre cas d'utilisation. Dans le cas contraire, vous ne parviendrez pas à accéder à votre compartiment.
-
Si votre stratégie n'autorise l'accès à un compartiment S3 on Outposts qu'à partir d'un point de terminaison de VPC spécifique, elle désactive l'accès à la console pour ce compartiment car les demandes de console ne proviennent pas du point de terminaison de VPC spécifié.
Rubriques
Exemple : restriction de l'accès à un compartiment spécifique depuis le point de terminaison d'un VPC
Vous pouvez créer une stratégie de point de terminaison qui restreint l'accès à des compartiments S3 on Outposts spécifiques uniquement. La politique suivante restreint l'accès à l' GetBucketPolicy action uniquement auexample-outpost-bucket
{ "Version": "2012-10-17", "Id": "Policy1415115909151", "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:GetBucketPolicy", "Effect": "Allow", "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket" } ] }
Exemple : refus d'accès depuis un point de terminaison de VPC spécifique dans une stratégie de compartiment S3 on Outposts
La politique de compartiment S3 on Outposts suivante refuse l'accès au example-outpost-bucketvpce-1a2b3c4d
La condition aws:sourceVpce spécifie le point de terminaison et ne requiert pas d'Amazon Resource Name (ARN) pour la ressource de point de terminaison de VPC, mais uniquement l'ID du point de terminaison. Pour utiliser cette stratégie, remplacez les exemples de valeur par vos propres valeurs.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Deny-access-to-specific-VPCE", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:GetBucketPolicy", "Effect": "Deny", "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket", "Condition": { "StringEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"} } } ] }
