Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS PrivateLink per S3 su Outposts
AWS PrivateLink Supporta S3 on Outposts, che fornisce l'accesso diretto alla gestione dello storage S3 on Outposts tramite un endpoint privato all'interno della rete privata virtuale. Ciò consente di semplificare l'architettura di rete interna ed eseguire operazioni di gestione sullo storage di oggetti Outposts utilizzando indirizzi IP privati nel cloud privato virtuale (VPC). L'utilizzo AWS PrivateLink elimina la necessità di utilizzare indirizzi IP pubblici o server proxy.
Con AWS PrivateLink for Amazon S3 on Outposts, puoi effettuare il provisioning degli endpoint VPC di interfaccia nel tuo cloud privato virtuale (VPC) per accedere alle API di gestione dei bucket e degli endpoint di S3 on Outposts. Gli endpoint VPC dell'interfaccia sono accessibili alle applicazioni distribuite nel VPC o on-premise sulla rete privata virtuale (VPN) o AWS Direct Connect. Puoi accedere alle API di gestione dei bucket e degli endpoint tramite. AWS PrivateLink AWS PrivateLink non supporta operazioni API di trasferimento dati, come GET, PUT e API simili. Queste operazioni vengono già trasferite privatamente tramite la configurazione dell'endpoint e del punto di accesso S3 su Outposts. Per ulteriori informazioni, consulta Reti per S3 su Outposts.
Gli endpoint di interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENI) a cui vengono assegnati indirizzi IP privati dalle sottoreti nel VPC. Le richieste effettuate agli endpoint dell'interfaccia per S3 su Outposts vengono instradate automaticamente alle API di gestione dei bucket e degli endpoint S3 su Outposts sulla rete AWS. Puoi anche accedere agli endpoint di interfaccia nel tuo VPC da applicazioni locali AWS Direct Connect tramite AWS Virtual Private Network o ().AWS VPN Per ulteriori informazioni su come connettere il VPC alla rete On-Premise, consulta la Guida per l'utente di AWS Direct Connect e la Guida per l'utente di AWS Site-to-Site VPN .
Gli endpoint di interfaccia instradano le richieste per S3 sui bucket Outposts e sulle API di gestione degli endpoint attraverso la AWS rete e attraverso AWS PrivateLink, come illustrato nel diagramma seguente.
Per informazioni sulla creazione di endpoint di interfaccia, consulta Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida di AWS PrivateLink .
Argomenti
Restrizioni e limitazioni
Quando accedi a S3 su bucket Outposts e API di gestione degli endpoint tramite AWS PrivateLink, si applicano le limitazioni del VPC. Per ulteriori informazioni, consulta Proprietà e limitazioni degli endpoint di interfaccia e Quote di AWS PrivateLink nella Guida di AWS PrivateLink .
Inoltre, non supporta quanto segue AWS PrivateLink :
-
API di trasferimento dati S3 su Outposts, ad esempio, operazioni GET, PUT e API di oggetti simili.
-
DNS privato
Accesso a endpoint dell'interfaccia S3 su Outposts
Per accedere a S3 on Outposts utilizzando le API di gestione degli endpoint e del bucket, devi aggiornare le tue applicazioni per AWS PrivateLink utilizzare nomi DNS specifici degli endpoint. Quando crei un endpoint di interfaccia, AWS PrivateLink genera due tipi di S3 specifici per endpoint sui nomi Outposts: regionale e zonale.
-
Nomi DNS regionali: includono un ID endpoint VPC univoco, un identificatore di servizio,
vpce.amazonaws.com
e, Regione AWS ad esempio,.vpce-1a2b3c4d-5e6f
.s3-outposts.us-east-1.vpce.amazonaws.com -
Nomi DNS zonali: includono un ID endpoint VPC univoco, la zona di disponibilità, un identificatore di servizio, e, ad esempio Regione AWS,.
vpce.amazonaws.com
Puoi utilizzare questa opzione se l'architettura isola le zone di disponibilità. Ad esempio, puoi utilizzare i nomi DNS zonali per il contenimento degli errori o per ridurre i costi di trasferimento dei dati a livello regionale.vpce-1a2b3c4d-5e6f
-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com
Importante
Gli endpoint dell'interfaccia S3 su Outposts vengono risolti dal dominio DNS pubblico. S3 su Outposts non supporta il DNS privato. Usa il parametro --endpoint-url
per tutte le API di gestione dei bucket e degli endpoint.
AWS CLI esempi
Utilizzo dei parametri --region
e --endpoint-url
per accedere alle API di gestione dei bucket e degli endpoint tramite gli endpoint dell'interfaccia S3 su Outposts.
Esempio : utilizzo dell'URL dell'endpoint per elencare i bucket con l'API di controllo S3
Nell'esempio seguente, sostituisci la Regione
, l'URL endpoint VPC us-east-1
e l'ID account vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com
con le informazioni appropriate.111122223333
aws s3control list-regional-buckets --region
us-east-1
--endpoint-url https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com
--account-id111122223333
AWS esempi SDK
Aggiorna gli SDK alla versione più recente e configura i client per utilizzare un URL endpoint per accedere all'API di controllo S3 per gli endpoint di interfaccia S3 su Outposts. Per ulteriori informazioni, consulta Esempi di SDK AWS per AWS PrivateLink.
Aggiornamento di una configurazione DNS locale
Quando si utilizzano nomi DNS specifici degli endpoint per accedere agli endpoint di interfaccia per le API di gestione degli endpoint e dei bucket S3 su Outposts, non è necessario aggiornare il resolver DNS locale. Puoi risolvere il nome DNS specifico dell'endpoint con l'indirizzo IP privato dell'endpoint di interfaccia dal dominio DNS di S3 su Outposts pubblico.
Creazione di un endpoint VPC per S3 su Outposts
Per creare un endpoint di interfaccia VPC per S3 su Outposts, vedere Creare un endpoint VPC nella Guida AWS PrivateLink .
Creazione di policy di bucket e policy di endpoint VPC per S3 su Outposts
Puoi allegare una policy di endpoint all'endpoint VPC che controlla l'accesso a S3 su Outposts. Puoi utilizzare la condizione aws:sourceVpce
nelle policy del bucket S3 su Outposts per limitare l’accesso a bucket specifici da un endpoint VPC specifico. Con le policy degli endpoint VPC, è possibile controllare l'accesso alle API di gestione dei bucket di S3 su Outposts e alle API di gestione degli endpoint. Con le policy dei bucket, è possibile controllare l'accesso alle API di gestione dei bucket S3 su Outposts. Tuttavia, non è possibile gestire l'accesso alle azioni oggetto per S3 su Outposts utilizzando aws:sourceVpce
.
Le policy di accesso per S3 su Outposts specificano le seguenti informazioni:
-
Il principio AWS Identity and Access Management (IAM) per il quale le azioni sono consentite o negate.
-
Le operazioni di controllo S3 consentite o rifiutate.
-
Le risorse S3 su Outposts su cui le operazioni sono consentite o rifiutate.
Negli esempi seguenti vengono illustrate le policy che limitano l'accesso a un bucket o a un endpoint. Per ulteriori informazioni sulla connettività VPC, consulta le opzioni di connettività da rete a VPC nel white paper Opzioni di connettività AWS Amazon Virtual Private Cloud.
Importante
-
Quando applichi le policy di esempio per gli endpoint VPC descritte in questa sezione, potresti bloccare involontariamente l'accesso al bucket. Le autorizzazioni del bucket che limitano l'accesso del bucket a connessioni originate dall'endpoint VPC possono bloccare tutte le connessioni al bucket. Per informazioni su come risolvere questo problema, consulta La policy del bucket ha l'ID del VPC o dell'endpoint VPC sbagliato. Come posso correggere la policy in modo da poter accedere al bucket? nel
Knowledge Center di AWS Support . -
Prima di utilizzare le policy di esempio seguenti, sostituire l'ID endpoint VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.
-
Se la policy consente l'accesso a un bucket S3 su Outposts da uno specifico endpoint VPC, disabilita l'accesso alla console per quel bucket in quanto le richieste della console non provengono dall'endpoint VPC specificato.
Argomenti
Esempio: limitazione dell'accesso a un bucket specifico da un endpoint VPC
Puoi creare una policy di endpoint che limita l'accesso solo a bucket S3 su Outposts specifici. La seguente politica limita l'accesso per l'azione solo a. GetBucketPolicy
Per usare questa policy, sostituire i valori di esempio con i propri. example-outpost-bucket
{ "Version": "2012-10-17", "Id": "Policy1415115909151", "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:GetBucketPolicy", "Effect": "Allow", "Resource": "arn:aws:s3-outposts:
region
:123456789012
:outpost/op-01ac5d28a6a232904
/bucket/example-outpost-bucket
" } ] }
Esempio: negazione dell'accesso da un endpoint VPC specifico in una policy del bucket S3 su Outposts
La seguente policy sui bucket di S3 on Outposts GetBucketPolicy nega l'accesso al bucket tramite l'endpoint
VPC. example-outpost-bucket
vpce-1a2b3c4d
La condizione aws:sourceVpce
viene utilizzata per specificare l'endpoint e non richiede un Amazon Resource Name (ARN) per la risorsa dell'endpoint VPC, ma solo l'ID dell'endpoint. Per usare questa policy, sostituire i valori di esempio con i propri.
{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Deny-access-to-specific-VPCE", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:GetBucketPolicy", "Effect": "Deny", "Resource": "arn:aws:s3-outposts:
region
:123456789012
:outpost/op-01ac5d28a6a232904
/bucket/example-outpost-bucket
", "Condition": { "StringEquals": {"aws:sourceVpce": "vpce-1a2b3c4d
"} } } ] }