AWS PrivateLink per S3 su Outposts - Amazon Simple Storage Service
Restrizioni e limitazioniAccesso a endpoint dell'interfaccia S3 su OutpostsAggiornamento di una configurazione DNS localeCreazione di un endpoint VPCCreazione di policy degli endpoint VPC e policy di bucket

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS PrivateLink per S3 su Outposts

AWS PrivateLink Supporta S3 on Outposts, che fornisce l'accesso diretto alla gestione dello storage S3 on Outposts tramite un endpoint privato all'interno della rete privata virtuale. Ciò consente di semplificare l'architettura di rete interna ed eseguire operazioni di gestione sullo storage di oggetti Outposts utilizzando indirizzi IP privati nel cloud privato virtuale (VPC). L'utilizzo AWS PrivateLink elimina la necessità di utilizzare indirizzi IP pubblici o server proxy.

Con AWS PrivateLink for Amazon S3 on Outposts, puoi effettuare il provisioning degli endpoint VPC di interfaccia nel tuo cloud privato virtuale (VPC) per accedere alle API di gestione dei bucket e degli endpoint di S3 on Outposts. Gli endpoint VPC dell'interfaccia sono accessibili alle applicazioni distribuite nel VPC o on-premise sulla rete privata virtuale (VPN) o AWS Direct Connect. Puoi accedere alle API di gestione dei bucket e degli endpoint tramite. AWS PrivateLink AWS PrivateLink non supporta operazioni API di trasferimento dati, come GET, PUT e API simili. Queste operazioni vengono già trasferite privatamente tramite la configurazione dell'endpoint e del punto di accesso S3 su Outposts. Per ulteriori informazioni, consulta Reti per S3 su Outposts.

Gli endpoint di interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENI) a cui vengono assegnati indirizzi IP privati dalle sottoreti nel VPC. Le richieste effettuate agli endpoint dell'interfaccia per S3 su Outposts vengono instradate automaticamente alle API di gestione dei bucket e degli endpoint S3 su Outposts sulla rete  AWS. Puoi anche accedere agli endpoint di interfaccia nel tuo VPC da applicazioni locali AWS Direct Connect tramite AWS Virtual Private Network o ().AWS VPN Per ulteriori informazioni su come connettere il VPC alla rete On-Premise, consulta la Guida per l'utente di AWS Direct Connect e la Guida per l'utente di AWS Site-to-Site VPN .

Gli endpoint di interfaccia instradano le richieste per S3 sui bucket Outposts e sulle API di gestione degli endpoint attraverso la AWS rete e attraverso AWS PrivateLink, come illustrato nel diagramma seguente.

Il diagramma del flusso di dati mostra come gli endpoint di interfaccia instradano le richieste per S3 sui bucket Outposts e sulle API di gestione degli endpoint.

Per informazioni sulla creazione di endpoint di interfaccia, consulta Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida di AWS PrivateLink .

Quando accedi a S3 su bucket Outposts e API di gestione degli endpoint tramite AWS PrivateLink, si applicano le limitazioni del VPC. Per ulteriori informazioni, consulta Proprietà e limitazioni degli endpoint di interfaccia e Quote di AWS PrivateLink nella Guida di AWS PrivateLink .

Inoltre, non supporta quanto segue AWS PrivateLink :

Accesso a endpoint dell'interfaccia S3 su Outposts

Per accedere a S3 on Outposts utilizzando le API di gestione degli endpoint e del bucket, devi aggiornare le tue applicazioni per AWS PrivateLink utilizzare nomi DNS specifici degli endpoint. Quando crei un endpoint di interfaccia, AWS PrivateLink genera due tipi di S3 specifici per endpoint sui nomi Outposts: regionale e zonale.

  • Nomi DNS regionali: includono un ID endpoint VPC univoco, un identificatore di servizio, vpce.amazonaws.com e, Regione AWS ad esempio,. vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com

  • Nomi DNS zonali: includono un ID endpoint VPC univoco, la zona di disponibilità, un identificatore di servizio, e, ad esempio Regione AWS,. vpce.amazonaws.com vpce-1a2b3c4d-5e6f-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com Puoi utilizzare questa opzione se l'architettura isola le zone di disponibilità. Ad esempio, puoi utilizzare i nomi DNS zonali per il contenimento degli errori o per ridurre i costi di trasferimento dei dati a livello regionale.

Importante

Gli endpoint dell'interfaccia S3 su Outposts vengono risolti dal dominio DNS pubblico. S3 su Outposts non supporta il DNS privato. Usa il parametro --endpoint-url per tutte le API di gestione dei bucket e degli endpoint.

Utilizzo dei parametri --region e --endpoint-url per accedere alle API di gestione dei bucket e degli endpoint tramite gli endpoint dell'interfaccia S3 su Outposts.

Esempio : utilizzo dell'URL dell'endpoint per elencare i bucket con l'API di controllo S3

Nell'esempio seguente, sostituisci la Regione us-east-1, l'URL endpoint VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com e l'ID account 111122223333 con le informazioni appropriate.

aws s3control list-regional-buckets --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com --account-id 111122223333

Aggiorna gli SDK alla versione più recente e configura i client per utilizzare un URL endpoint per accedere all'API di controllo S3 per gli endpoint di interfaccia S3 su Outposts. Per ulteriori informazioni, consulta Esempi di SDK AWS per AWS PrivateLink.

SDK for Python (Boto3)
Esempio : utilizzo di un URL endpoint per accedere all'API di controllo S3

Nell'esempio seguente, sostituisci la Regione us-east-1 e l’URL endpoint VPC vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com con le informazioni appropriate. 

control_client = session.client(
service_name='s3control',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com'
)

Per ulteriori informazioni, consulta AWS PrivateLink per Amazon S3 nella Guida per sviluppatori di Boto3.

SDK for Java 2.x
Esempio : utilizzo di un URL endpoint per accedere all'API di controllo S3

Nell'esempio seguente, sostituire l'URL endpoint VPC vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com e la Regione Region.US_EAST_1 con le informazioni appropriate.

// control client
Region region = Region.US_EAST_1;
s3ControlClient = S3ControlClient.builder().region(region)
                                 .endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com"))
                                 .build()

Per ulteriori informazioni, consulta S3ControlClient nella documentazione di riferimento dell'API AWS SDK for Java .

Aggiornamento di una configurazione DNS locale

Quando si utilizzano nomi DNS specifici degli endpoint per accedere agli endpoint di interfaccia per le API di gestione degli endpoint e dei bucket S3 su Outposts, non è necessario aggiornare il resolver DNS locale. Puoi risolvere il nome DNS specifico dell'endpoint con l'indirizzo IP privato dell'endpoint di interfaccia dal dominio DNS di S3 su Outposts pubblico.

Creazione di un endpoint VPC per S3 su Outposts

Per creare un endpoint di interfaccia VPC per S3 su Outposts, vedere Creare un endpoint VPC nella Guida AWS PrivateLink .

Creazione di policy di bucket e policy di endpoint VPC per S3 su Outposts

Puoi allegare una policy di endpoint all'endpoint VPC che controlla l'accesso a S3 su Outposts. Puoi utilizzare la condizione aws:sourceVpce nelle policy del bucket S3 su Outposts per limitare l’accesso a bucket specifici da un endpoint VPC specifico. Con le policy degli endpoint VPC, è possibile controllare l'accesso alle API di gestione dei bucket di S3 su Outposts e alle API di gestione degli endpoint. Con le policy dei bucket, è possibile controllare l'accesso alle API di gestione dei bucket S3 su Outposts. Tuttavia, non è possibile gestire l'accesso alle azioni oggetto per S3 su Outposts utilizzando aws:sourceVpce.

Le policy di accesso per S3 su Outposts specificano le seguenti informazioni:

  • Il principio AWS Identity and Access Management (IAM) per il quale le azioni sono consentite o negate.

  • Le operazioni di controllo S3 consentite o rifiutate.

  • Le risorse S3 su Outposts su cui le operazioni sono consentite o rifiutate.

Negli esempi seguenti vengono illustrate le policy che limitano l'accesso a un bucket o a un endpoint. Per ulteriori informazioni sulla connettività VPC, consulta le opzioni di connettività da rete a VPC nel white paper Opzioni di connettività AWS Amazon Virtual Private Cloud.

Importante

  • Quando applichi le policy di esempio per gli endpoint VPC descritte in questa sezione, potresti bloccare involontariamente l'accesso al bucket. Le autorizzazioni del bucket che limitano l'accesso del bucket a connessioni originate dall'endpoint VPC possono bloccare tutte le connessioni al bucket. Per informazioni su come risolvere questo problema, consulta La policy del bucket ha l'ID del VPC o dell'endpoint VPC sbagliato. Come posso correggere la policy in modo da poter accedere al bucket? nel Knowledge Center di AWS Support .

  • Prima di utilizzare le policy di esempio seguenti, sostituire l'ID endpoint VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.

  • Se la policy consente l'accesso a un bucket S3 su Outposts da uno specifico endpoint VPC, disabilita l'accesso alla console per quel bucket in quanto le richieste della console non provengono dall'endpoint VPC specificato.

Puoi creare una policy di endpoint che limita l'accesso solo a bucket S3 su Outposts specifici. La seguente politica limita l'accesso per l'azione solo a. GetBucketPolicy example-outpost-bucket Per usare questa policy, sostituire i valori di esempio con i propri. 

{
  "Version": "2012-10-17",
  "Id": "Policy1415115909151",
  "Statement": [
    { "Sid": "Access-to-specific-bucket-only",
      "Principal": {"AWS":"111122223333"},
      "Action": "s3-outposts:GetBucketPolicy",
      "Effect": "Allow",
      "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket"
    }
  ]
}

La seguente policy sui bucket di S3 on Outposts GetBucketPolicy nega l'accesso al bucket tramite l'endpoint example-outpost-bucket VPC. vpce-1a2b3c4d

La condizione aws:sourceVpce viene utilizzata per specificare l'endpoint e non richiede un Amazon Resource Name (ARN) per la risorsa dell'endpoint VPC, ma solo l'ID dell'endpoint. Per usare questa policy, sostituire i valori di esempio con i propri.

{
    "Version": "2012-10-17",
    "Id": "Policy1415115909152",
    "Statement": [
        {
            "Sid": "Deny-access-to-specific-VPCE",
            "Principal": {"AWS":"111122223333"},
            "Action": "s3-outposts:GetBucketPolicy",
            "Effect": "Deny",
            "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket",
            "Condition": {
                "StringEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"}
            }
        }
    ]
}