Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione di un punto di accesso multiregionale da utilizzare con AWS PrivateLink
Puoi utilizzare i punti di accesso multi-regione per instradare il traffico delle richieste Amazon S3 tra Regioni AWS. Ogni endpoint globale del punto di accesso multi-regione instrada il traffico delle richieste di dati Amazon S3 da più fonti senza dover creare configurazioni di rete complesse con endpoint distinti. Queste origini del traffico delle richieste di dati includono:
+ Traffico con origine in un cloud privato virtuale (VPC)
+ Il traffico proveniente dai data center locali viaggia attraverso AWS PrivateLink
+ Traffico proveniente dalla rete Internet pubblica
Se stabilisci una AWS PrivateLink connessione a un punto di accesso multiregionale S3, puoi instradare le richieste S3 verso AWS, o tra più Regioni AWS, tramite una connessione privata utilizzando una semplice architettura e configurazione di rete. Quando si utilizza AWS PrivateLink, non è necessario configurare una connessione peering VPC.
**Topics**
+ [Configurazione delle Regioni con consenso esplicito con punti di accesso multi-Regione](ConfiguringMrapOptInRegions.md)
+ [Configurazione di un punto di accesso multiregionale da utilizzare con AWS PrivateLink](MultiRegionAccessPointsPrivateLink.md)
+ [Rimozione dell'accesso a un punto di accesso multi-regione da un endpoint VPC](RemovingMultiRegionAccessPointAccess.md)
# Configurazione delle Regioni con consenso esplicito con punti di accesso multi-Regione
Una regione AWS opt-in è una regione che non è abilitata per impostazione predefinita nel tuo AWS account. Al contrario, le regioni abilitate per impostazione predefinita sono note come Regioni AWS regioni commerciali.
Per iniziare a utilizzare i punti di accesso multiregionali nelle regioni AWS opzionali, devi abilitare manualmente la regione opt-in per il tuo AWS account prima di creare il punto di accesso multiregionale. Dopo aver abilitato la Regione con consenso esplicito, è possibile creare i punti di accesso multi-Regione con bucket presenti nella Regione con consenso esplicito selezionata. Per istruzioni su come abilitare o disabilitare una regione opzionale per il tuo AWS account o la tua AWS organizzazione, vedi [Abilitare o disabilitare una regione per gli account autonomi](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) o [Abilitare o disabilitare](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) una regione nell'organizzazione.
**Nota**
Le regioni con accesso a punti di accesso multiregionali sono attualmente supportate solo tramite e. AWS SDKs AWS CLI
I punti di accesso multiregionali S3 supportano le seguenti regioni opzionali: AWS
+ `Africa (Cape Town)`
+ `Asia Pacific (Hong Kong)`
+ `Asia Pacific (Jakarta)`
+ `Asia Pacific (Melbourne)`
+ `Asia Pacific (Hyderabad)`
+ `Canada West (Calgary)`
+ `Europe (Zurich)`
+ `Europe (Milan)`
+ `Europe (Spain)`
+ `Israel (Tel Aviv)`
+ `Middle East (Bahrain)`
+ `Middle East (UAE)`
**Nota**
Non sono previsti costi aggiuntivi per l’abilitazione di una Regione con consenso esplicito. Tuttavia, la creazione o l’utilizzo di una risorsa tramite un punto di accesso multi-Regione comporta dei costi di fatturazione.
## Utilizzo di un punto di accesso multiregionale in una regione con attivazione AWS
Per eseguire un'[operazione sul piano dati](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html) sul punto di accesso multiregionale, tutti gli AWS account associati devono abilitare le regioni opt-in che fanno parte del punto di accesso multiregionale. Questo requisito si applica all’account richiedente, al proprietario del punto di accesso multi-Regione, ai proprietari del bucket S3 e al proprietario dell’endpoint VPC. Se uno di questi account non abilita le Regioni AWS con consenso esplicito, le richieste dei punti di accesso multi-Regione hanno esito negativo. Per ulteriori informazioni sugli errori `InvalidToken` o `AllAccessDisabled`, consulta [Elenco dei codici di errore](https://docs.aws.amazon.com/AmazonS3/latest/API/ErrorResponses.html#ErrorCodeList).
**Nota**
[Le operazioni del piano di controllo (control-plane)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html), come l’aggiornamento della policy dei punti di accesso multi-Regione o l’aggiornamento della configurazione del failover, non sono influenzate dallo stato della Regione con consenso esplicito di una Regione che fa parte del punto di accesso multi-Regione. Inoltre, non è necessario disabilitare alcuna Regione con consenso esplicito attiva prima di eliminare un punto di accesso multi-Regione.
## Disattivazione di una regione con opt-in attivo AWS
Se si disabilita una Regione con consenso esplicito che fa parte del punto di accesso multi-Regione, le richieste indirizzate a questa Regione generano un errore `403 AllAccessDisabled`. Per disabilitare in modo sicuro una Regione con consenso esplicito, è consigliabile individuare prima una Regione alternativa nella configurazione del punto di accesso multi-Regione verso cui indirizzare il traffico. È quindi possibile utilizzare i controlli di failover del punto di accesso multi-Regione per contrassegnare la Regione alternativa come attiva e la Regione da disabilitare come passiva. Dopo aver modificato i controlli di failover, è possibile disabilitare la Regione con consenso esplicito.
## Attivazione di una regione di AWS opt-in precedentemente disabilitata
Per abilitare una AWS regione di attivazione precedentemente disattivata per il punto di accesso multiregionale, assicurati di aggiornare le impostazioni dell'account AWS . Dopo aver riabilitato la Regione con consenso esplicito, esegui l’operazione API [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html) per applicare la policy dei punti di accesso multi-Regione alla regione con consenso esplicito.
Se si accede al punto di accesso multiregionale tramite un endpoint VPC, si consiglia di aggiornare la politica VPCE e utilizzare l'operazione API per applicare [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html)la politica degli endpoint VPC aggiornata alla regione di opt-in riabilitata.
## Politica sui punti di accesso multiregionali e account multipli AWS
Se la politica relativa ai punti di accesso multiregionali consente l'accesso a più AWS account, tutti gli account richiedenti devono inoltre abilitare le stesse regioni di opt-in nelle impostazioni dell'account. Se l’account richiedente invia una richiesta di punto di accesso multi-Regione senza abilitare le Regioni con consenso esplicito che fanno parte del punto di accesso multi-Regione, viene generato un errore `400 InvalidToken`.
## AWS considerazioni relative alla regione che prevede l'opt-in
Quando si accede a un punto di accesso multi-Regione da una Regione con consenso esplicito, è opportuno tenere presente quanto segue:
+ Quando si abilita una Regione con consenso esplicito, è possibile creare un punto di accesso multi-Regione utilizzando i bucket della Regione con consenso esplicito. Quando si disabilita una Regione con consenso esplicito, il punto di accesso multi-Regione non è più supportato nella Regione con consenso esplicito. Per disabilitare una Regione con consenso esplicito per il punto di accesso multi-Regione, è necessario prima [disabilitare la Regione nell’account](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone). Quindi si crea un nuovo punto di accesso multi-Regione con l’elenco preferito di Regioni con consenso esplicito.
+ Se si tenta di creare un punto di accesso multi-Regione con una Regione con consenso esplicito disabilitata, viene generato un errore `403 InvalidRegion`. Dopo aver abilitato la Regione con consenso esplicito, è possibile creare nuovamente il punto di accesso multi-Regione.
+ Il numero massimo di Regioni supportate per un punto di accesso multi-Regione è di 17 Regioni. Sono incluse sia le Regioni con consenso esplicito che le Regioni commerciali. Per ulteriori informazioni, consulta [Restrizioni e limitazioni dei punti di accesso multi-Regione](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html).
+ Le richieste del piano di controllo (control-plane) per punti di accesso multi-Regione funzionano anche se non è abilitata alcuna Regione con consenso esplicito.
+ Quando si crea un punto di accesso multi-Regione per la prima volta, è necessario abilitare tutte le Regioni con consenso esplicito che fanno parte del punto di accesso multi-Regione.
+ Tutti AWS gli account a cui è concesso l'accesso a un punto di accesso multiregionale S3 tramite la politica relativa ai punti di accesso multiregionali devono abilitare anche le stesse regioni opt-in che fanno parte del punto di accesso multiregionale.
# Configurazione di un punto di accesso multiregionale da utilizzare con AWS PrivateLink
AWS PrivateLink ti fornisce connettività privata ad Amazon S3 utilizzando indirizzi IP privati nel tuo cloud privato virtuale (VPC). Puoi effettuare il provisioning di uno o più endpoint di interfaccia all'interno del tuo VPC per connetterti ai punti di accesso multi-regione di Amazon S3.
Puoi creare endpoint **com.amazonaws.s3-global.accesspoint** per punti di accesso multiregionali tramite, o. Console di gestione AWS AWS CLI AWS SDKs Per ulteriori informazioni su come configurare un endpoint di interfaccia per i punti di accesso multi-regione, consulta [Endpoint VPC dell'interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) nella *Guida dell'utente di VPC*.
Per effettuare richieste a un punto di accesso multi-regione tramite endpoint di interfaccia, segui la procedura riportata di seguito per configurare il VPC e il punto di accesso multi-regione.
**Per configurare un punto di accesso multiregionale da utilizzare con AWS PrivateLink**
1. Crea o disponi di un endpoint VPC appropriato in grado di connettersi a punti di accesso multi-regione. Per ulteriori informazioni sulla creazione di endpoint VPC, consulta [Endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) nella *Guida per l'utente di VPC*.
**Importante**
Assicurati di creare un endpoint **com.amazonaws.s3-global.accesspoint**. Altri tipi di endpoint non possono accedere ai punti di accesso multi-regione.
Dopo aver creato questo endpoint VPC, tutte le richieste del punto di accesso multi-regione nel VPC si instradano attraverso questo endpoint se hai abilitato il DNS privato per l'endpoint. Questo è abilitato per impostazione predefinita.
1. Se la policy del punto di accesso multi-regione non supporta le connessioni dagli endpoint VPC, dovrai aggiornarlo.
1. Verifica che le policy dei singoli bucket consentano l'accesso agli utenti del punto di accesso multi-regione.
Ricorda che i punti di accesso multi-regione funzionano instradando le richieste ai bucket, non soddisfacendo le richieste stesse. È importante ricordare che l'origine della richiesta deve disporre delle autorizzazioni per il punto di accesso multi-regione e deve poter accedere ai singoli bucket del punto di accesso multi-regione. In caso contrario, la richiesta potrebbe essere instradata a un bucket in cui l'origine non dispone delle autorizzazioni per soddisfare la richiesta. Un punto di accesso multiregionale e i bucket associati possono appartenere allo stesso account o a un altro account. AWS Tuttavia, VPCs da account diversi è possibile utilizzare un punto di accesso multiregionale se le autorizzazioni sono configurate correttamente.
Per questo motivo, la policy dell'endpoint VPC deve consentire l'accesso sia al punto di accesso multi-regione che a ogni bucket sottostante che desideri che sia in grado di soddisfare le richieste. Ad esempio, supponiamo di avere un punto di accesso multi-regione con l'alias `mfzwi23gnjvgw.mrap`. È supportato dai bucket `amzn-s3-demo-bucket1` e `amzn-s3-demo-bucket2`, tutti di proprietà dell'account AWS `123456789012`. In questo caso, le seguenti policy dell'endpoint VPC consente ai bucket di supporto di soddisfare le richieste `GetObject` dal VPC fatte a `mfzwi23gnjvgw.mrap`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Read-buckets-and-MRAP-VPCE-policy",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1/*",
"arn:aws:s3:::amzn-s3-demo-bucket2/*",
"arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
]
}]
}
```
------
Come accennato in precedenza, devi inoltre assicurarti che la policu del punto di accesso multi-regione sia configurata in modo da supportare l'accesso tramite un endpoint VPC. Non è necessario specificare l'endpoint VPC che richiede l'accesso. La policy di esempio seguente concede l'accesso a qualsiasi richiedente che tenta di utilizzare il punto di accesso multi-regione per le richieste `GetObject`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Open-read-MRAP-policy",
"Effect": "Allow",
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Resource": "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
}]
}
```
------
E, naturalmente, i singoli bucket avrebbero bisogno di una policy per supportare l'accesso delle richieste inviate tramite l'endpoint VPC. La policy di esempio seguente consente l'accesso in lettura a tutti gli utenti anonimi, incluse le richieste effettuate tramite l'endpoint VPC.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Public-read",
"Effect": "Allow",
"Principal": "*",
"Action": "s3:GetObject",
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket1",
"arn:aws:s3:::amzn-s3-demo-bucket2/*"]
}]
}
```
------
Per informazioni sulla modifica di una policy dell'endpoint VPC, consulta [Controllare l'accesso ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella *Guida per l'utente di VPC*.
# Rimozione dell'accesso a un punto di accesso multi-regione da un endpoint VPC
Se sei proprietario di un punto di accesso multi-regione e desideri rimuovere l'accesso a tale punto da un endpoint di interfaccia, devi specificare una nuova policy di accesso per il punto di accesso multi-regione che impedisca l'accesso alle richieste provenienti dagli endpoint VPC. Tuttavia, se i bucket nel punto di accesso multi-regione supportano le richieste tramite endpoint VPC, essi continueranno a supportarle. Se desideri impedire il supporto, devi aggiornare anche le policy dei bucket. L'impostazione di una nuova policy di accesso al punto di accesso multi-regione impedisce l'accesso solo a tale punto di accesso e non ai bucket sottostanti.
**Nota**
Non puoi eliminare una policy di accesso per un punto di accesso multi-area. Per rimuovere l'accesso a un punto di accesso multi-area, devi fornire una nuova policy di accesso con l'accesso modificato come desideri.
Invece di aggiornare la policy di accesso per il punto di accesso multi-regione, puoi aggiornare le policy di bucket per impedire le richieste tramite gli endpoint VPC. In questo caso, gli utenti potrebbero comunque accedere al punto di accesso multi-regione tramite l'endpoint VPC. Tuttavia, se viene instradata a un bucket la cui policy impedisce l'accesso, la richiesta al punto di accesso multi-regione genera un messaggio di errore.