Configurazione di un punto di accesso multi-regione per l'utilizzo con AWS PrivateLink - Amazon Simple Storage Service

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione di un punto di accesso multi-regione per l'utilizzo con AWS PrivateLink

AWS PrivateLink offre la connettività privata ad Amazon S3 utilizzando indirizzi IP privati nel virtual private cloud (VPC). Puoi effettuare il provisioning di uno o più endpoint di interfaccia all'interno del tuo VPC per connetterti ai punti di accesso multi-regione di Amazon S3.

Puoi creare endpoint com.amazonaws.s3-global.accesspointper punti di accesso multi-regione tramite la AWS Management Console, AWS CLI, oppure gli SDK AWS. Per ulteriori informazioni su come configurare un endpoint di interfaccia per i punti di accesso multi-regione, consulta Endpoint VPC dell'interfaccia nella Guida dell'utente di VPC.

Per effettuare richieste a un punto di accesso multi-regione tramite endpoint di interfaccia, segui la procedura riportata di seguito per configurare il VPC e il punto di accesso multi-regione.

Per configurare un punto di accesso multi-regione da utilizzare con AWS PrivateLink

  1. Crea o disponi di un endpoint VPC appropriato in grado di connettersi a punti di accesso multi-regione. Per ulteriori informazioni sulla creazione di endpoint VPC, consulta Endpoint VPC di interfaccia nella Guida per l'utente di VPC.

    Importante

    Assicurati di creare un endpoint com.amazonaws.s3-global.accesspoint. Altri tipi di endpoint non possono accedere ai punti di accesso multi-regione.

    Dopo aver creato questo endpoint VPC, tutte le richieste del punto di accesso multi-regione nel VPC si instradano attraverso questo endpoint se hai abilitato il DNS privato per l'endpoint. Questo è abilitato per impostazione predefinita.

  2. Se la policy del punto di accesso multi-regione non supporta le connessioni dagli endpoint VPC, dovrai aggiornarlo.

  3. Verifica che le policy dei singoli bucket consentano l'accesso agli utenti del punto di accesso multi-regione.

Ricorda che i punti di accesso multi-regione funzionano instradando le richieste ai bucket, non soddisfacendo le richieste stesse. È importante ricordare che l'origine della richiesta deve disporre delle autorizzazioni per il punto di accesso multi-regione e deve poter accedere ai singoli bucket del punto di accesso multi-regione. In caso contrario, la richiesta potrebbe essere instradata a un bucket in cui l'origine non dispone delle autorizzazioni per soddisfare la richiesta. Un punto di accesso multi-regione e i bucket associati possono essere di proprietà dello stesso account AWS o di un altro account. Tuttavia, i VPC di account diversi possono utilizzare un punto di accesso multi-regione se le autorizzazioni sono configurate correttamente.

Per questo motivo, la policy dell'endpoint VPC deve consentire l'accesso sia al punto di accesso multi-regione che a ogni bucket sottostante che desideri che sia in grado di soddisfare le richieste. Ad esempio, supponiamo di avere un punto di accesso multi-regione con l'alias mfzwi23gnjvgw.mrap. È supportato dai bucket DOC-EXAMPLE-BUCKET1 e DOC-EXAMPLE-BUCKET2, tutti di proprietà dell'account AWS 123456789012. In questo caso, le seguenti policy dell'endpoint VPC consente ai bucket di supporto di soddisfare le richieste GetObject dal VPC fatte a mfzwi23gnjvgw.mrap. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Come accennato in precedenza, devi inoltre assicurarti che la policu del punto di accesso multi-regione sia configurata in modo da supportare l'accesso tramite un endpoint VPC. Non è necessario specificare l'endpoint VPC che richiede l'accesso. La policy di esempio seguente concede l'accesso a qualsiasi richiedente che tenta di utilizzare il punto di accesso multi-regione per le richieste GetObject. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

E, naturalmente, i singoli bucket avrebbero bisogno di una policy per supportare l'accesso delle richieste inviate tramite l'endpoint VPC. La policy di esempio seguente consente l'accesso in lettura a tutti gli utenti anonimi, incluse le richieste effettuate tramite l'endpoint VPC. 

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"]
    }]
}

Per informazioni sulla modifica di una policy dell'endpoint VPC, consulta Controllare l'accesso ai servizi con endpoint VPC nella Guida per l'utente di VPC.