Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione di un punto di accesso multi-regione per l'utilizzo con AWS PrivateLink
AWS PrivateLink offre la connettività privata ad Amazon S3 utilizzando indirizzi IP privati nel virtual private cloud (VPC). Puoi effettuare il provisioning di uno o più endpoint di interfaccia all'interno del tuo VPC per connetterti ai punti di accesso multi-regione di Amazon S3.
Puoi creare endpoint com.amazonaws.s3-global.accesspointper punti di accesso multi-regione tramite la AWS Management Console, AWS CLI, oppure gli SDK AWS. Per ulteriori informazioni su come configurare un endpoint di interfaccia per i punti di accesso multi-regione, consulta Endpoint VPC dell'interfaccia nella Guida dell'utente di VPC.
Per effettuare richieste a un punto di accesso multi-regione tramite endpoint di interfaccia, segui la procedura riportata di seguito per configurare il VPC e il punto di accesso multi-regione.
Per configurare un punto di accesso multi-regione da utilizzare con AWS PrivateLink
-
Crea o disponi di un endpoint VPC appropriato in grado di connettersi a punti di accesso multi-regione. Per ulteriori informazioni sulla creazione di endpoint VPC, consulta Endpoint VPC di interfaccia nella Guida per l'utente di VPC.
Importante
Assicurati di creare un endpoint com.amazonaws.s3-global.accesspoint. Altri tipi di endpoint non possono accedere ai punti di accesso multi-regione.
Dopo aver creato questo endpoint VPC, tutte le richieste del punto di accesso multi-regione nel VPC si instradano attraverso questo endpoint se hai abilitato il DNS privato per l'endpoint. Questo è abilitato per impostazione predefinita.
-
Se la policy del punto di accesso multi-regione non supporta le connessioni dagli endpoint VPC, dovrai aggiornarlo.
-
Verifica che le policy dei singoli bucket consentano l'accesso agli utenti del punto di accesso multi-regione.
Ricorda che i punti di accesso multi-regione funzionano instradando le richieste ai bucket, non soddisfacendo le richieste stesse. È importante ricordare che l'origine della richiesta deve disporre delle autorizzazioni per il punto di accesso multi-regione e deve poter accedere ai singoli bucket del punto di accesso multi-regione. In caso contrario, la richiesta potrebbe essere instradata a un bucket in cui l'origine non dispone delle autorizzazioni per soddisfare la richiesta. Un punto di accesso multi-regione e i bucket associati possono essere di proprietà dello stesso account AWS o di un altro account. Tuttavia, i VPC di account diversi possono utilizzare un punto di accesso multi-regione se le autorizzazioni sono configurate correttamente.
Per questo motivo, la policy dell'endpoint VPC deve consentire l'accesso sia al punto di accesso multi-regione che a ogni bucket sottostante che desideri che sia in grado di soddisfare le richieste. Ad esempio, supponiamo di avere un punto di accesso multi-regione con l'alias mfzwi23gnjvgw.mrap
. È supportato dai bucket amzn-s3-demo-bucket1
e amzn-s3-demo-bucket2
, tutti di proprietà dell'account AWS 123456789012
. In questo caso, le seguenti policy dell'endpoint VPC consente ai bucket di supporto di soddisfare le richieste GetObject
dal VPC fatte a mfzwi23gnjvgw.mrap
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Read-buckets-and-MRAP-VPCE-policy", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket1
/*", "arn:aws:s3:::amzn-s3-demo-bucket2
/*", "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*" ] }] }
Come accennato in precedenza, devi inoltre assicurarti che la policu del punto di accesso multi-regione sia configurata in modo da supportare l'accesso tramite un endpoint VPC. Non è necessario specificare l'endpoint VPC che richiede l'accesso. La policy di esempio seguente concede l'accesso a qualsiasi richiedente che tenta di utilizzare il punto di accesso multi-regione per le richieste GetObject
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Open-read-MRAP-policy", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*" }] }
E, naturalmente, i singoli bucket avrebbero bisogno di una policy per supportare l'accesso delle richieste inviate tramite l'endpoint VPC. La policy di esempio seguente consente l'accesso in lettura a tutti gli utenti anonimi, incluse le richieste effettuate tramite l'endpoint VPC.
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Public-read", "Effect":"Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::
amzn-s3-demo-bucket1
", "arn:aws:s3:::amzn-s3-demo-bucket2
/*"] }] }
Per informazioni sulla modifica di una policy dell'endpoint VPC, consulta Controllare l'accesso ai servizi con endpoint VPC nella Guida per l'utente di VPC.