AWS PrivateLink untuk S3 di Outposts - Amazon Simple Storage Service
Pembatasan dan batasanMengakses S3 di OutpostsMemperbarui konfigurasi DNS on-premiseMembuat titik akhir VPCMembuat kebijakan titik akhir VPC dan kebijakan bucket

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS PrivateLink untuk S3 di Outposts

S3 on Outposts AWS PrivateLink mendukung, yang menyediakan akses manajemen langsung ke S3 Anda pada penyimpanan Outposts melalui titik akhir pribadi dalam jaringan pribadi virtual Anda. Ini memungkinkan Anda untuk menyederhanakan arsitektur jaringan internal Anda dan melakukan operasi manajemen pada penyimpanan objek Outposts Anda dengan menggunakan alamat IP pribadi di Virtual Private Cloud (VPC) Anda. Menggunakan AWS PrivateLink menghilangkan kebutuhan untuk menggunakan alamat IP publik atau server proxy.

Dengan AWS PrivateLink Amazon S3 di Outposts, Anda dapat menyediakan endpoint VPC antarmuka di virtual private cloud (VPC) Anda untuk mengakses S3 Anda di Outposts bucket management dan endpoint management API. Titik akhir VPC antarmuka dapat diakses langsung dari aplikasi yang digunakan di VPC Anda atau di tempat melalui jaringan privat virtual (VPN) Anda atau. AWS Direct Connect Anda dapat mengakses bucket dan endpoint management API melalui AWS PrivateLink. AWS PrivateLink tidak mendukung operasi API transfer data, seperti GET, PUT, dan API serupa. Operasi ini sudah ditransfer secara pribadi melalui titik akhir S3 pada Outposts dan konfigurasi titik akses. Untuk informasi selengkapnya, lihat Jaringan untuk S3 di Outposts.

Titik akhir antarmuka diwakili oleh satu atau lebih antarmuka jaringan elastis (ENI) yang ditugaskan alamat IP privat dari subnet di VPC Anda. Permintaan yang dibuat ke titik akhir antarmuka untuk S3 di Outposts secara otomatis dirutekan ke S3 pada bucket Outposts dan API manajemen titik akhir di jaringan. AWS Anda juga dapat mengakses titik akhir antarmuka di VPC Anda dari aplikasi lokal AWS Direct Connect melalui AWS Virtual Private Network atau ().AWS VPN Untuk informasi selengkapnya tentang cara menghubungkan VPC dengan jaringan on-premise Anda, lihat AWS Direct Connect Panduan Pengguna dan AWS Site-to-Site VPN Panduan Pengguna.

Permintaan rute titik akhir antarmuka untuk S3 pada bucket Outposts dan API manajemen endpoint melalui AWS jaringan dan melalui AWS PrivateLink, seperti yang diilustrasikan dalam diagram berikut.

Diagram alir data menunjukkan cara merutekan permintaan titik akhir antarmuka untuk S3 pada bucket Outposts dan API manajemen endpoint.

Untuk informasi umum tentang titik akhir antarmuka, lihat Antarmuka titik akhir VPC (AWS PrivateLink) dalam Panduan AWS PrivateLink .

Saat Anda mengakses S3 di bucket Outposts dan API manajemen endpoint AWS PrivateLink, pembatasan VPC berlaku. Untuk informasi selengkapnya, lihat Properti titik akhir antarmuka dan batas dan AWS PrivateLink kuota di AWS PrivateLink Panduan.

Selain itu, AWS PrivateLink tidak mendukung yang berikut:

Mengakses S3 di Outposts

Untuk mengakses S3 pada bucket Outposts dan API manajemen endpoint AWS PrivateLink menggunakan, Anda harus memperbarui aplikasi Anda untuk menggunakan nama DNS khusus titik akhir. Saat Anda membuat titik akhir antarmuka, AWS PrivateLink buat dua jenis S3 khusus titik akhir pada nama Outposts: Regional dan zonal.

  • Nama DNS regional — termasuk ID titik akhir VPC unik, pengenal layanan, vpce.amazonaws.com dan, Wilayah AWS misalnya,. vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com

  • Nama DNS zona — termasuk ID titik akhir VPC unik, Availability Zone, pengenal layanan, dan, misalnya Wilayah AWS,. vpce.amazonaws.com vpce-1a2b3c4d-5e6f-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com Anda dapat menggunakan opsi ini jika arsitektur Anda mengisolasi Zona Ketersediaan. Misalnya, Anda bisa menggunakan nama DNS zonal untuk penahanan kesalahan atau untuk mengurangi biaya transfer data Regional.

penting

S3 pada titik akhir antarmuka Outposts diselesaikan dari domain DNS publik. S3 di Outposts tidak mendukung DNS pribadi. Gunakan --endpoint-url parameter untuk semua API manajemen bucket dan titik akhir.

Gunakan --endpoint-url parameter --region dan untuk mengakses manajemen bucket dan API manajemen titik akhir melalui S3 pada titik akhir antarmuka Outposts.

contoh : Gunakan URL titik akhir untuk daftar bucket dengan API kontrol S3

Dalam contoh berikut, ganti Wilayah us-east-1, URL titik akhir VPCvpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com, dan ID akun 111122223333 dengan informasi yang sesuai.

aws s3control list-regional-buckets --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com --account-id 111122223333

Perbarui SDK Anda ke versi terbaru, dan konfigurasikan klien Anda untuk menggunakan URL titik akhir untuk mengakses API kontrol S3 untuk titik akhir antarmuka Outposts. Untuk informasi selengkapnya, lihat contoh AWS SDK untuk AWS PrivateLink.

SDK for Python (Boto3)
contoh : Gunakan URL titik akhir untuk mengakses API kontrol S3

Dalam contoh berikut, ganti URL titik akhir Wilayah us-east-1 dan VPC vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com dengan informasi yang sesuai. 

control_client = session.client(
service_name='s3control',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com'
)

Untuk informasi selengkapnya, lihat AWS PrivateLink Amazon S3 di panduan pengembang Boto3.

SDK for Java 2.x
contoh : Gunakan URL titik akhir untuk mengakses API kontrol S3

Dalam contoh berikut, ganti URL titik akhir VPC vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com dan Wilayah Region.US_EAST_1 dengan informasi yang sesuai.

// control client
Region region = Region.US_EAST_1;
s3ControlClient = S3ControlClient.builder().region(region)
                                 .endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com"))
                                 .build()

Untuk informasi selengkapnya, lihat S3ControlClient dalam Referensi API AWS SDK for Java .

Memperbarui konfigurasi DNS on-premise

Saat menggunakan nama DNS titik akhir untuk mengakses titik akhir antarmuka untuk S3 di Outposts bucket management dan titik akhir API, Anda tidak perlu memperbarui penyelesai DNS on-premise Anda. Anda dapat menyelesaikan nama DNS titik akhir khusus dengan alamat IP privat titik akhir antarmuka dari domain S3 publik di Outposts.

Membuat titik akhir VPC untuk S3 di Outposts

Untuk membuat titik akhir antarmuka VPC untuk S3 di Outposts, lihat Membuat titik akhir VPC di Panduan.AWS PrivateLink

Membuat kebijakan bucket dan kebijakan titik akhir VPC untuk S3 di Outposts

Anda dapat melampirkan kebijakan titik akhir ke titik akhir VPC yang mengontrol akses ke S3 di Outposts. Anda juga dapat menggunakan kebijakan aws:sourceVpce bucket S3 di Outposts untuk membatasi akses ke bucket tertentu dari titik akhir VPC tertentu. Dengan kebijakan titik akhir VPC, Anda dapat mengontrol akses ke S3 pada API manajemen bucket Outposts dan API manajemen titik akhir. Dengan kebijakan bucket, Anda dapat mengontrol akses ke API manajemen bucket S3 on Outposts. Namun, Anda tidak dapat mengelola akses ke tindakan objek untuk S3 di aws:sourceVpce Outposts menggunakan.

Kebijakan akses untuk S3 di Outposts menentukan informasi berikut:

  • Prinsip AWS Identity and Access Management (IAM) yang tindakannya diizinkan atau ditolak.

  • Tindakan kontrol S3 yang diizinkan atau ditolak.

  • Sumber daya S3 di Outposts di mana tindakan diizinkan atau ditolak.

Contoh berikut menunjukkan kebijakan yang membatasi akses ke bucket atau titik akhir. Untuk informasi selengkapnya tentang konektivitas VPC, lihat opsi konektivitas jaringan-ke-VPC di whitepaper Opsi Konektivitas Amazon AWS Virtual Private Cloud.

penting

  • Saat menerapkan kebijakan contoh untuk titik akhir VPC yang dijelaskan di bagian ini, Anda dapat memblokir akses Anda ke bucket tanpa bermaksud melakukannya. Izin bucket yang membatasi akses bucket ke koneksi yang berasal dari titik akhir VPC Anda dapat memblokir semua koneksi ke bucket tersebut. Untuk informasi tentang cara mengatasi masalah ini, lihat Kebijakan bucket saya memiliki ID titik akhir VPC atau VPC yang salah. Bagaimana saya dapat memperbaiki kebijakan tersebut sehingga saya dapat mengakses bucket? dalam Pusat Pengetahuan AWS Support .

  • Sebelum menggunakan kebijakan bucket contoh berikut ini, ganti ID titik akhir VPC dengan nilai yang sesuai untuk kasus penggunaan Anda. Jika tidak, Anda tidak akan dapat mengakses bucket Anda.

  • Jika kebijakan Anda hanya mengizinkan akses ke bucket S3 di Outposts dari titik akhir VPC tertentu, kebijakan tersebut nonaktifkan akses konsol untuk ember tersebut karena permintaan konsol tidak berasal dari titik akhir VPC tertentu.

Anda dapat membuat kebijakan titik akhir yang membatasi akses ke bucket S3 tertentu di Outposts saja. Kebijakan berikut membatasi akses untuk GetBucketPolicy tindakan hanya ke. example-outpost-bucket Untuk menggunakan kebijakan ini, ganti nilai contoh dengan kebijakan Anda sendiri. 

{
  "Version": "2012-10-17",
  "Id": "Policy1415115909151",
  "Statement": [
    { "Sid": "Access-to-specific-bucket-only",
      "Principal": {"AWS":"111122223333"},
      "Action": "s3-outposts:GetBucketPolicy",
      "Effect": "Allow",
      "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket"
    }
  ]
}

Kebijakan bucket S3 on Outposts berikut menolak akses GetBucketPolicy ke bucket melalui endpoint example-outpost-bucket VPC. vpce-1a2b3c4d

aws:sourceVpceSyarat menentukan titik akhir dan tidak memerlukan Amazon Resource Name (ARN) untuk sumber daya titik akhir VPC, tetapi hanya ID titik akhir. Untuk menggunakan kebijakan ini, ganti nilai contoh dengan kebijakan Anda sendiri.

{
    "Version": "2012-10-17",
    "Id": "Policy1415115909152",
    "Statement": [
        {
            "Sid": "Deny-access-to-specific-VPCE",
            "Principal": {"AWS":"111122223333"},
            "Action": "s3-outposts:GetBucketPolicy",
            "Effect": "Deny",
            "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket",
            "Condition": {
                "StringEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"}
            }
        }
    ]
}