Mengonfigurasi Titik Akses Multi-Wilayah untuk digunakan denganAWS PrivateLink - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengonfigurasi Titik Akses Multi-Wilayah untuk digunakan denganAWS PrivateLink

AWS PrivateLinkmemberi Anda konektivitas pribadi ke Amazon S3 menggunakan alamat IP pribadi di cloud pribadi virtual (VPC) Anda. Anda dapat menyediakan satu atau beberapa titik akhir antarmuka di dalam VPC Anda untuk terhubung ke Titik Akses Multi-Wilayah Amazon S3.

Anda dapat membuat titik akhir com.amazonaws.s3-global.accesspoint untuk Titik Akses Multi-Wilayah melaluiAWS Management Console,AWS CLI, atauAWS SDK. Untuk mempelajari selengkapnya tentang cara mengkonfigurasi titik akhir antarmuka untuk Titik Akses Multi-Wilayah, lihat Endpoint Antarmuka VPC di Panduan Pengguna VPC.

Untuk membuat permintaan ke Titik Akses Multi-Wilayah melalui titik akhir antarmuka, ikuti langkah-langkah ini untuk mengonfigurasi VPC dan Titik Akses Multi-Wilayah.

Untuk mengonfigurasi Titik Akses Multi-Wilayah yang akan digunakanAWS PrivateLink

  1. Buat atau miliki endpoint VPC yang sesuai yang dapat terhubung ke Titik Akses Multi-Wilayah. Untuk informasi selengkapnya tentang membuat titik akhir VPC, lihat Endpoint Antarmuka VPC di Panduan Pengguna VPC.

    penting

    Pastikan untuk membuat endpoint com.amazonaws.s3-global.accesspoint. Tipe endpoint lainnya tidak dapat mengakses Titik Akses Multi-Wilayah.

    Setelah titik akhir VPC ini dibuat, semua permintaan Titik Akses Multi-Wilayah di rute VPC melalui titik akhir ini jika Anda mengaktifkan DNS pribadi untuk titik akhir. Ini tidak diaktifkan secara default.

  2. Jika kebijakan Multi-Region Access Point tidak mendukung koneksi dari titik akhir VPC, Anda harus memperbaruinya.

  3. Verifikasi bahwa kebijakan bucket individual akan memungkinkan akses ke pengguna Titik Akses Multi-Wilayah.

Ingatlah bahwa Titik Akses Multi-Wilayah berfungsi dengan merutekan permintaan ke bucket, bukan dengan memenuhi permintaan itu sendiri. Hal ini penting untuk diingat karena pencetus permintaan harus memiliki izin ke Multi-Region Access Point dan diizinkan untuk mengakses bucket individu di Multi-Region Access Point. Jika tidak, permintaan mungkin dialihkan ke bucket di mana pencetus tidak memiliki izin untuk memenuhi permintaan. Titik Akses Multi-Wilayah dan bucket yang terkait dapat dimiliki olehAWS akun yang sama atau lainnya. Namun, VPC dari akun yang berbeda dapat menggunakan Titik Akses Multi-Wilayah jika izin dikonfigurasi dengan benar.

Karena itu, kebijakan endpoint VPC harus mengizinkan akses ke Titik Akses Multi-Wilayah dan ke setiap bucket dasar yang Anda inginkan untuk dapat memenuhi permintaan. Sebagai contoh, anggaplah Anda memiliki Multi-Region Access Point dengan aliasmfzwi23gnjvgw.mrap. Ini didukung oleh bucketDOC-EXAMPLE-BUCKET1 danDOC-EXAMPLE-BUCKET2, semuanya dimiliki oleh akun AWS123456789012. Dalam hal ini, kebijakan endpoint VPC berikut akan memungkinkanGetObject permintaan dari VPC yang dibuatmfzwi23gnjvgw.mrap untuk dipenuhi oleh backing bucket. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Seperti disebutkan sebelumnya, Anda juga harus memastikan bahwa kebijakan Multi-Region Access Point dikonfigurasi untuk mendukung akses melalui titik akhir VPC. Anda tidak perlu menentukan titik akhir VPC yang meminta akses. Kebijakan contoh berikut akan memberikan akses ke pemohon yang mencoba menggunakan Titik Akses Multi-Wilayah untukGetObject permintaan tersebut. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

Dan tentu saja, masing-masing bucket akan membutuhkan kebijakan untuk mendukung akses dari permintaan yang dikirimkan melalui endpoint VPC. Kebijakan contoh berikut memberikan akses baca ke setiap pengguna anonim, yang akan mencakup permintaan yang dibuat melalui titik akhir VPC. 

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"]
    }]
}

Untuk informasi selengkapnya tentang mengedit kebijakan endpoint VPC, lihat Mengontrol akses ke layanan dengan titik akhir VPC di Panduan Pengguna VPC.