# Criação de pontos de acesso multirregionais
<a name="CreatingMultiRegionAccessPoints"></a>

Para criar um ponto de acesso multirregional no Amazon S3, faça o seguinte: 
+ Especifique nome do ponto de acesso multirregional.
+ Selecione um bucket em cada Região da AWS na qual deseja atender às solicitações para o ponto de acesso multirregional.
+ Defina as configurações de bloqueio de acesso público do Amazon S3 para o ponto de acesso multirregional.

Você fornece todas essas informações em uma solicitação de criação, que o Amazon S3 processa de forma assíncrona. O Amazon S3 fornece um token que você pode usar para monitorar o status da solicitação de criação assíncrona. 

Solucione avisos de segurança, erros, avisos gerais e sugestões de AWS Identity and Access Management Access Analyzer antes de salvar a política. O IAM Access Analyzer executa verificações de política para validar sua política em relação à [gramática das políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) e às [práticas recomendadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) do IAM. Essas verificações geram descobertas e fornecem recomendações práticas que ajudam a criar políticas que sejam funcionais e estejam em conformidade com as práticas recomendadas de segurança. Para saber mais sobre a validação de políticas usando o IAM Access Analyzer, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do usuário IAM*. Para visualizar uma lista de avisos, erros e sugestões retornados pelo IAM Access Analyzer, consulte [Referência de verificação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).

Quando você usa a API, a solicitação para criar um ponto de acesso multirregional é assíncrona. Quando você envia uma solicitação para criar um ponto de acesso multirregional, o Amazon S3 autoriza a solicitação de forma síncrona. Em seguida, retorna imediatamente um token que você pode usar para rastrear o progresso da solicitação de criação. Para obter mais informações sobre o rastreamento de solicitações assíncronas para criar e gerenciar pontos de acesso multirregionais, consulte [Usar pontos de acesso multirregionais com operações de API compatíveis](MrapOperations.md). 

Depois de criar o ponto de acesso multirregional, você pode criar uma política de controle de acesso para ele. Cada ponto de acesso multirregional pode ter uma política associada. Uma política de pontos de acesso multirregionais é uma política baseada em recursos que você pode usar para limitar o uso do ponto de acesso multirregional por recurso, usuário ou outras condições.

**nota**  
Para que uma aplicação ou um usuário possa acessar um objeto por meio de um ponto de acesso multirregional, as duas políticas a seguir devem permitir a solicitação:   
A política de acesso para o ponto de acesso multirregional
A política de acesso para o bucket subjacente que contém o objeto
Quando as duas políticas são diferentes, a política mais restritiva tem precedência.   
Para simplificar o gerenciamento de permissões para pontos de acesso multirregionais, você pode delegar o controle de acesso do bucket para o ponto de acesso multirregional. Para obter mais informações, consulte [Exemplos de políticas de pontos de acesso multirregionais](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples).

Usar um bucket com um ponto de acesso multirregional não altera o comportamento do bucket quando o bucket é acessado por meio do nome do bucket existente ou de um nome do recurso da Amazon (ARN). Todas as operações existentes no bucket continuarão a funcionar como antes. As restrições que você incluir em uma política de ponto de acesso multirregional se aplicam somente a solicitações feitas por meio desse ponto de acesso multirregional. 

Você pode atualizar a política de um ponto de acesso multirregional depois de criá-lo, mas não pode excluir a política. No entanto, você pode atualizar a política de pontos de acesso multirregionais para negar todas as permissões. 

**Topics**
+ [Regras para nomear pontos de acesso multirregionais do Amazon S3](multi-region-access-point-naming.md)
+ [Regras para escolher buckets para pontos de acesso multirregionais do Amazon S3](multi-region-access-point-buckets.md)
+ [Criar um ponto de acesso multirregional do Amazon S3](multi-region-access-point-create-examples.md)
+ [Bloqueio de acesso público de pontos de acesso multirregionais do Amazon S3](multi-region-access-point-block-public-access.md)
+ [Visualizar detalhes de configuração de pontos de acesso multirregionais do Amazon S3](multi-region-access-point-view-examples.md)
+ [Excluir um ponto de acesso multirregional](multi-region-access-point-delete-examples.md)

# Regras para nomear pontos de acesso multirregionais do Amazon S3
<a name="multi-region-access-point-naming"></a>

Ao criar um ponto de acesso multirregional, atribua a ele um nome, que é uma string escolhida. Não é possível alterar o nome do ponto de acesso multirregional depois que ele for criado. O nome deve ser exclusivo na Conta da AWS, e deve estar em conformidade com os requisitos de nomenclatura listados em [Restrições e limitações de pontos de acesso multirregionais](MultiRegionAccessPointRestrictions.md). Para ajudá-lo a identificar o ponto de acesso multirregional, use um nome que seja significativo para você, para sua organização ou que reflita o cenário. 

Use esse nome ao chamar operações de gerenciamento de pontos de acesso multirregionais, como `GetMultiRegionAccessPoint` e `PutMultiRegionAccessPointPolicy`. O nome não é usado para enviar solicitações ao ponto de acesso multirregional e não precisa ser exposto a clientes que fazem solicitações utilizando o ponto de acesso multirregional. 

Quando o Amazon S3 cria um ponto de acesso multirregional, ele atribui automaticamente um alias a ele. Este alias é uma string alfanumérica exclusiva que termina em `.mrap`. O alias é usado para construir o nome do host e o nome do recurso da Amazon (ARN) para um ponto de acesso multirregional. O nome totalmente qualificado também se baseia no alias do ponto de acesso multirregional.

Não é possível determinar o nome de um ponto de acesso multirregional de seu alias, portanto, você pode divulgar um alias sem o risco de expor o nome, a finalidade ou o proprietário do ponto de acesso multirregional. O Amazon S3 seleciona o alias para cada novo ponto de acesso multirregional, e o alias não pode ser alterado. Para obter mais informações sobre como lidar com um ponto de acesso multirregional, consulte [Como fazer solicitações por meio de um ponto de acesso multirregional](MultiRegionAccessPointRequests.md). 

Os aliases de pontos de acesso multirregionais são exclusivos ao longo do tempo e não se baseiam no nome ou na configuração de um ponto de acesso multirregional. Se você criar um ponto de acesso multirregional, excluí-lo e criar outro com o mesmo nome e configuração, o segundo ponto de acesso multirregional terá um alias diferente do primeiro. Novos pontos de acesso multirregionais nunca podem ter o mesmo alias de um ponto de acesso multirregional anterior.

# Regras para escolher buckets para pontos de acesso multirregionais do Amazon S3
<a name="multi-region-access-point-buckets"></a>

Cada ponto de acesso multirregional está associado às regiões nas quais você deseja atender a solicitações. O ponto de acesso multirregional deve estar associado a exatamente um bucket em cada uma dessas regiões. Especifique o nome de cada bucket na solicitação para criar o ponto de acesso multirregional. Os buckets que são compatíveis com o ponto de acesso multirregional podem estar na mesma Conta da AWS que tem o ponto de acesso multirregional, ou em outras Contas da AWS.

 Um único bucket pode ser usado por vários pontos de acesso multirregionais. 

**Importante**  
Você pode especificar os buckets associados a um ponto de acesso multirregional somente no momento em que o criou. Depois que ele é criado, você não pode adicionar, modificar ou remover buckets da configuração do ponto de acesso multirregional. Para alterar os buckets, você deve excluir todo o ponto de acesso multirregional e criar um novo. 
Não é possível excluir um bucket que faça parte de um ponto de acesso multirregional. Se quiser excluir um bucket anexado a um ponto de acesso multirregional, exclua primeiro o ponto de acesso multirregional. 
Se você adicionar um bucket de outra conta ao seu ponto de acesso multirregional, o proprietário do bucket também deverá atualizar a política do bucket para conceder permissões de acesso ao ponto de acesso multirregional. Caso contrário, o ponto de acesso multirregional não conseguirá recuperar dados desse bucket. Por ver exemplos de política que mostram como conceder esse acesso, consulte [Exemplos de políticas de pontos de acesso multirregionais](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples). 
 Nem todas as regiões suportam pontos de acesso multirregionais. Para visualizar a lista de regiões compatíveis, consulte [Restrições e limitações de pontos de acesso multirregionais](MultiRegionAccessPointRestrictions.md). 

Você pode criar regras de replicação para sincronizar dados entre buckets. Essas regras permitem que você copie automaticamente dados de buckets de origem para buckets de destino. Ter buckets conectados a um ponto de acesso multirregional não afeta o funcionamento da replicação. A configuração da replicação com pontos de acesso multirregionais é descrita em uma seção posterior.

**Importante**  
Quando você faz uma solicitação para um ponto de acesso multirregional, o ponto de acesso multirregional não está ciente dos conteúdos dos dados dos buckets no ponto de acesso multirregional. Portanto, o bucket que recebe a solicitação pode não conter os dados solicitados. Para criar conjuntos de dados consistentes nos buckets do Amazon S3 associados a um ponto de acesso multirregional, recomendamos que você configure a Replicação do S3 Entre Regiões Diferentes (CRR). Para obter mais informações, consulte [Configurar a replicação para uso com pontos de acesso multirregionais](MultiRegionAccessPointBucketReplication.md).

# Criar um ponto de acesso multirregional do Amazon S3
<a name="multi-region-access-point-create-examples"></a>

Os exemplos a seguir demonstram como criar um ponto de acesso multirregional usando o console do Amazon S3.

## Usar o console do S3
<a name="multi-region-access-point-create-console"></a>

**Para criar um ponto de acesso multirregional**
**nota**  
No momento, no console do Amazon S3, as regiões que requerem aceitação para pontos de acesso multirregionais não estão habilitadas.

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. No painel de navegação esquerdo, escolha **Multi-Region Access Points** (Pontos de acesso multirregionais).

1. Selecione **Criar pontos de acesso multirregionais** para começar a criar seu ponto de acesso multirregional.

1. Na página **Ponto de acesso multirregional**, forneça um nome para o ponto de acesso multirregional no campo **Nome do ponto de acesso multirregional**.

1. Selecione os buckets que serão associados a esse ponto de acesso multirregional. Você pode selecionar buckets que estão em sua conta ou buckets de outras contas.
**nota**  
Você deve adicionar pelo menos um bucket de sua conta ou de outras. Além disso, esteja ciente de que os pontos de acesso multirregionais são compatíveis apenas com um bucket por Região da AWS. Portanto, você não pode adicionar dois buckets da mesma região. [Regiões da AWS que estão desativados por padrão](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) não são compatíveis.
   + Para adicionar um bucket que esteja em sua conta, selecione **Adicionar buckets**. Uma lista de todos os buckets em sua conta é exibida. Você pode pesquisar seu bucket pelo nome ou classificar os nomes dos buckets em ordem alfabética.
   + Para adicionar um bucket de outra conta, selecione **Adicionar bucket de outras contas**. É necessário saber o nome exato do bucket e o ID da Conta da AWS, pois não é possível pesquisar nem procurar buckets em outras contas.
**nota**  
Você deve inserir um ID da Conta da AWS e um nome de bucket válidos. O bucket também deve estar em uma região compatível, ou você encontrará um erro ao tentar criar seu ponto de acesso multirregional. Para ver a lista de regiões que são compatíveis com pontos de acesso multirregionais, consulte [Restrições e limitações de pontos de acesso multirregionais](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html).

1. (Opcional) Se você precisar remover um bucket adicionado, selecione **Remover**.
**nota**  
Você não pode adicionar nem remover buckets desse ponto de acesso multirregional depois de terminar de criá-lo.

1. Em **Block Public Access settings for this Multi-Region Access Point** (Configurações do bloqueio de acesso público para este ponto de acesso multirregional), selecione as configurações de bloqueio de acesso público que você deseja aplicar ao ponto de acesso multirregional. Por padrão, todas as configurações de bloqueio de acesso público são habilitadas para novos pontos de acesso multirregionais. Recomendamos que você deixe todas as configurações ativadas, a menos que saiba que tem uma necessidade específica de desabilitar qualquer uma delas.
**nota**  
Você não pode alterar as configurações de bloqueio de acesso público de um ponto de acesso multirregional após a criação dele. Portanto, se você quiser bloquear o acesso público, certifique-se de que suas aplicações funcionem corretamente sem acesso público antes de criar um ponto de acesso multirregional.

1. Selecione **Create Multi-Region Access Point** (Criar ponto de acesso multirregional).

**Importante**  
Quando você adicionar um bucket de outra conta ao seu ponto de acesso multirregional, o proprietário do bucket também deverá atualizar a política do bucket para conceder permissões de acesso ao ponto de acesso multirregional. Caso contrário, o ponto de acesso multirregional não conseguirá recuperar dados desse bucket. Por ver exemplos de política que mostram como conceder esse acesso, consulte [Exemplos de políticas de pontos de acesso multirregionais](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples).

## Como usar o AWS CLI
<a name="multi-region-access-point-create-cli"></a>

Você pode usar a AWS CLI para criar um ponto de acesso multirregional. Ao criar o ponto de acesso multirregional, você deve fornecer todos os buckets aos quais ele oferecerá suporte. Você não pode adicionar buckets ao ponto de acesso multirregional depois de ele ter sido criado. 

 O exemplo a seguir cria um ponto de acesso multirregional com dois buckets usando a AWS CLI. Para usar esse exemplo de comando, substitua os `user input placeholders` por suas próprias informações.

**nota**  
Para criar um ponto de acesso multirregional usando buckets em uma região que requer aceitação, primeiro você deve [habilitar todas as regiões de aceitação](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html). Do contrário, você receberá o erro `403 InvalidRegion` ao tentar criar um ponto de acesso multirregional usando buckets para uma região de aceitação pela qual você realmente não optou.

```
aws s3control create-multi-region-access-point --account-id 111122223333 --details '{
        "Name": "simple-multiregionaccesspoint-with-two-regions",
        "PublicAccessBlock": {
            "BlockPublicAcls": true,
            "IgnorePublicAcls": true,
            "BlockPublicPolicy": true,
            "RestrictPublicBuckets": true
        },
        "Regions": [
            { "Bucket": "amzn-s3-demo-bucket1" }, 
            { "Bucket": "amzn-s3-demo-bucket2" } 
        ]
    }' --region us-west-2
```

# Bloqueio de acesso público de pontos de acesso multirregionais do Amazon S3
<a name="multi-region-access-point-block-public-access"></a>

Cada ponto de acesso multirregional tem configurações distintas para o bloqueio de acesso público do Amazon S3. Essas configurações operam em conjunto com as configurações de bloqueio de acesso público para a Conta da AWS que possui o ponto de acesso multirregional e os buckets subjacentes. 

Quando o Amazon S3 autoriza uma solicitação, ele aplica a combinação mais restritiva dessas configurações. Se as configurações de bloqueio de acesso público para qualquer um desses recursos (o ponto de acesso multirregional, o bucket subjacente ou a conta de proprietário) bloquearem o acesso para a ação ou o recurso solicitado, o Amazon S3 rejeitará a solicitação.

Recomendamos que você ative todas as configurações de bloqueio de acesso público, a menos que você tenha uma necessidade específica de desabilitar qualquer uma delas. Por padrão, todas as configurações de bloqueio de acesso público são habilitadas para um ponto de acesso multirregional. Se o bloqueio de acesso público estiver ativado, o ponto de acesso multirregional não poderá aceitar solicitações baseadas na Internet.

**Importante**  
Você não pode alterar as configurações de bloqueio de acesso público para um ponto de acesso multirregional após a criação do ponto de acesso. 

 Para obter mais informações sobre o bloqueio de acesso público do Amazon S3, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](access-control-block-public-access.md). 

# Visualizar detalhes de configuração de pontos de acesso multirregionais do Amazon S3
<a name="multi-region-access-point-view-examples"></a>

O exemplo a seguir demonstra como visualizar detalhes de configuração de pontos de acesso multirregionais usando o console do Amazon S3. 

## Usar o console do S3
<a name="multi-region-access-point-view-console"></a>

**Para criar um ponto de acesso multirregional**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. No painel de navegação esquerdo, escolha **Multi-Region Access Points** (Pontos de acesso multirregionais).

1. Selecione o nome do ponto de acesso multirregional cujos detalhes de configuração você deseja visualizar.
   + A guia **Propriedades** lista todos os buckets associados ao seu ponto de acesso multirregional, a data de criação, o nome do recurso da Amazon (ARN) e o alias. A coluna ID da Conta da AWS também lista todos os buckets pertencentes a contas externas associadas ao seu ponto de acesso multirregional.
   + A guia **Permissões** lista as configurações de Bloqueio de Acesso Público que são aplicadas aos buckets associados a esse ponto de acesso multirregional. Você também pode visualizar a política de pontos de acesso multirregionais para o seu ponto de acesso multirregional, se tiver criado uma. O alerta de **informações** na página **Permissões** também lista todos os buckets (em sua conta e em outras) desse ponto de acesso multirregional que tem a configuração **Acesso público está bloqueado** ativada.
   + A guia **Replicação e failover** fornece uma visualização do mapa dos buckets associados ao seu ponto de acesso multirregional e das regiões nas quais eles residem. Se houver buckets de outra conta dos quais você não tenha permissão para extrair dados, a região será marcada em vermelho no mapa **Resumo da replicação**, indicando que está em uma **Região da AWS com erros ao obter o status de replicação**.
**nota**  
Para recuperar informações de status de replicação de um bucket em uma conta externa, o proprietário do bucket deve conceder a você a permissão `s3:GetBucketReplication` em sua política de bucket.

     Essa guia também fornece as métricas de replicação, as regras de replicação e os status de failover para as regiões que são usadas com seu ponto de acesso multirregional.

## Como usar o AWS CLI
<a name="multi-region-access-point-view-cli"></a>

 Você pode usar a AWS CLI para visualizar os detalhes de configuração de um ponto de acesso multirregional.

O exemplo de AWS CLI a seguir obtém sua configuração de ponto de acesso multirregional atual. Para usar esse exemplo de comando, substitua os `user input placeholders` por suas próprias informações.

```
aws s3control get-multi-region-access-point --account-id 111122223333 --name amzn-s3-demo-bucket
```

# Excluir um ponto de acesso multirregional
<a name="multi-region-access-point-delete-examples"></a>

O procedimento a seguir explica como excluir um ponto de acesso multirregional usando o console do Amazon S3. Esteja ciente de que excluir um ponto de acesso multirregional não exclui os buckets associados ao ponto de acesso multirregional. Em vez disso, apenas o ponto de acesso multirregional em si é excluído.

**nota**  
No momento, só há suporte para os pontos de acesso multirregionais do S3 que usam buckets em regiões de aceitação da AWS por meio dos SDKs da AWS e da AWS CLI. Para excluir um ponto de acesso multirregional usando buckets em uma região que requer aceitação, primeiro especifique quais regiões de aceitação da AWS sua conta pode usar. Do contrário, se você tentar excluir um ponto de acesso multirregional que usa buckets em regiões de aceitação da AWS desabilitadas, você receberá uma mensagem de erro.

## Usar o console do S3
<a name="multi-region-access-point-delete-console"></a>

**Como excluir um ponto de acesso multirregional**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. No painel de navegação esquerdo, escolha **Multi-Region Access Points** (Pontos de acesso multirregionais).

1. Selecione o botão de opção ao lado do nome do seu ponto de acesso multirregional.

1. Escolha **Excluir**.

1. Na caixa de diálogo **Excluir ponto de acesso multirregional**, insira o nome do bucket da AWS que você deseja excluir.
**nota**  
Insira um nome de bucket válido. Caso contrário, o botão **Excluir** será desativado.

1. Selecione **Excluir** para confirmar a exclusão de seu ponto de acesso multirregional.

## Como usar o AWS CLI
<a name="multi-region-access-point-delete-cli"></a>

Você pode usar a AWS CLI para criar um ponto de acesso multirregional. A ação não exclui os buckets associados ao ponto de acesso multirregional, apenas o próprio ponto de acesso multirregional. Para usar esse exemplo de comando, substitua os `user input placeholders` por suas próprias informações.

```
aws s3control delete-multi-region-access-point --account-id 123456789012 --details Name=example-multi-region-access-point-name
```