

# Configurar um ponto de acesso multirregional para uso com AWS PrivateLink
<a name="MultiRegionAccessConfiguration"></a>

Você pode usar pontos de acesso multirregionais para direcionar o tráfego de solicitação do Amazon S3 entre Regiões da AWS. Cada endpoint global de ponto de acesso multirregional roteia o tráfego de solicitação de dados do Amazon S3 de várias fontes sem que você precise criar configurações de rede complexas com endoints separados. Essas fontes de tráfego de solicitação de dados incluem:
+ Tráfego originado de uma nuvem privada virtual (VPC)
+ Tráfego de datacenters on-premises que percorre o AWS PrivateLink 
+ Tráfego da Internet pública

Se você estabelecer uma conexão do AWS PrivateLink com um ponto de acesso multirregional do S3, poderá rotear solicitações do S3 para a AWS, ou entre várias Regiões da AWS, por meio de uma conexão privada usando uma arquitetura e configuração de rede simples. Ao usar o AWS PrivateLink, você não precisa configurar uma conexão de emparelhamento da VPC.

**Topics**
+ [Configurar regiões de aceitação para pontos de acesso multirregionais](ConfiguringMrapOptInRegions.md)
+ [Configurar um ponto de acesso multirregional para uso com AWS PrivateLink](MultiRegionAccessPointsPrivateLink.md)
+ [Remoção do acesso a um ponto de acesso multirregional de um endpoint da VPC](RemovingMultiRegionAccessPointAccess.md)

# Configurar regiões de aceitação para pontos de acesso multirregionais
<a name="ConfiguringMrapOptInRegions"></a>

Uma região de aceitação da AWS é uma região que não está habilitada por padrão em sua conta da AWS. Em contraposição, as regiões habilitadas por padrão são conhecidas como Regiões da AWS ou regiões comerciais.

Para começar a usar pontos de acesso multirregionais em regiões de aceitação da AWS, você deve habilitar manualmente a região para sua conta da AWS antes de criar seu ponto de acesso multirregional. Depois de habilitar a região de aceitação, você pode criar pontos de acesso multirregionais com buckets na região de aceitação selecionada. Para obter instruções sobre como habilitar ou desabilitar uma região de aceitação para sua conta da AWS ou organização da AWS, consulte [Enable or disable a Region for standalone accounts](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone) ou [Enable or disable a Region in your organization](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization).

**nota**  
No momento, só é possível configurar as regiões de aceitação para pontos de acesso multirregionais por meio de SDKs da AWS e da AWS CLI.

 É possível utilizar pontos de acesso multirregionais do S3 nas seguintes regiões de aceitação:
+ `Africa (Cape Town)`
+ `Asia Pacific (Hong Kong)`
+ `Asia Pacific (Jakarta)`
+ `Asia Pacific (Melbourne)`
+ `Asia Pacific (Hyderabad)`
+ `Canada West (Calgary)`
+ `Europe (Zurich)`
+ `Europe (Milan)`
+ `Europe (Spain)`
+ `Israel (Tel Aviv)`
+ `Middle East (Bahrain)`
+ `Middle East (UAE)`

**nota**  
Não há custos adicionais para habilitar uma região de aceitação. No entanto, há cobranças para criar ou usar um recurso em um ponto de acesso multirregional.

## Usar um ponto de acesso multirregional em uma região de aceitação da AWS
<a name="UsingMrapOptInRegions"></a>

Para realizar uma [operação do plano de dados](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html) em um ponto de acesso multirregional, todas as contas associadas da AWS devem habilitar as regiões de aceitação que fazem parte desse ponto de acesso multirregional. Esse requisito se aplica à conta do solicitante, ao proprietário do ponto de acesso multirregional, aos proprietários do bucket do S3 e ao proprietário do endpoint da VPC. Se alguma dessas contas não habilitar as regiões de aceitação da AWS, as solicitações do ponto de acesso multirregional falharão. Para ter mais informações sobre os erros `InvalidToken` ou `AllAccessDisabled`, consulte [List of error codes](https://docs.aws.amazon.com/AmazonS3/latest/API/ErrorResponses.html#ErrorCodeList).

**nota**  
As [operações do ambiente de gerenciamento](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html), como atualizar a política de ponto de acesso multirregional ou atualizar a configuração de failover, não são afetadas pelo status de região de aceitação de nenhuma região que faça parte do seu ponto de acesso multirregional. Você também não precisa desabilitar nenhuma região de aceitação ativa para excluir um ponto de acesso multirregional.

## Desabilitar uma região de aceitação ativa da AWS
<a name="DisablingMrapOptInRegions"></a>

Se você desabilitar uma região de aceitação que faça parte do seu ponto de acesso multirregional, as solicitações encaminhadas a essa região vão gerar o erro `403 AllAccessDisabled`. Para desabilitar uma região de aceitação com segurança, recomendamos que você primeiro identifique uma região alternativa na configuração do ponto de acesso multirregional para a qual o tráfego deve ser encaminhado. Em seguida, você pode usar os controles de failover do ponto de acesso multirregional para marcar a região alternativa como ativa e marcar a região a ser desabilitada como passiva. Depois de alterar os controles de failover, você pode desabilitar a região pela qual não deseja optar.

## Habilitar uma região de aceitação da AWS anteriormente desabilitada
<a name="EnablingDisabledMrapOptInRegions"></a>

Para habilitar uma região de aceitação da AWS que foi desabilitada anteriormente para seu ponto de acesso multirregional, atualize as configurações da sua conta da AWS. Depois de reabilitar a região de aceitação, execute a operação de API [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html) para aplicar a política de pontos de acesso multirregionais à região de aceitação.

Se seu ponto de acesso multirregional for acessado por meio de um endpoint da VPC, recomendamos que você atualize sua política de VPCE e use a operação de API [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html) para aplicar a política de endpoint da VPC atualizada à região de aceitação reabilitada.

## Política de pontos de acesso multirregionais e várias contas da AWS
<a name="UsingMrapPolicyOptInRegions"></a>

Se a política de pontos de acesso multirregionais conceder acesso a várias contas da AWS, todas as contas do solicitante também deverão habilitar as mesmas regiões de aceitação nas configurações da conta. Se a conta do solicitante enviar uma solicitação de ponto de acesso multirregional sem habilitar as regiões de aceitação que fazem parte do ponto de acesso multirregional, será gerado o erro `400 InvalidToken`.

## Considerações sobre as regiões de aceitação da AWS
<a name="MrapOptInRegionsConsiderations"></a>

Ao acessar um ponto de acesso multirregional por meio de uma região de aceitação, esteja ciente do seguinte:
+ Quando você habilita uma região de aceitação, ela permite criar um ponto de acesso multirregional usando os buckets da região de aceitação. Quando você desabilita uma região de aceitação, o ponto de acesso multirregional não é mais permitido nessa região. Se você não quiser mais que uma região de aceitação seja habilitada para seu ponto de acesso multirregional, primeiro [desabilite essa região para sua conta](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone). Em seguida, crie um ponto de acesso multirregional com sua lista preferida de regiões de aceitação.
+ Se você tentar criar um ponto de acesso multirregional com uma região aceitação desabilitada, receberá o erro `403 InvalidRegion`. Depois de habilitar a região de aceitação, tente criar o ponto de acesso multirregional novamente.
+ O número máximo permitido de regiões para um ponto de acesso multirregional é 17. Isso inclui tanto regiões de aceitação quanto regiões comerciais. Para ter mais informações, consulte [Restrições e limitações de pontos de acesso multirregionais](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html).
+ As solicitações do ambiente de gerenciamento para pontos de acesso multirregionais funcionarão mesmo que você não tenha optado por nenhuma região.
+ Ao tentar criar um ponto de acesso multirregional pela primeira vez, você deve optar por todas as regiões que fazem parte do ponto de acesso multirregional.
+ Quaisquer contas da AWS que tenham acesso concedido a um ponto de acesso multirregional do S3 por meio da política de ponto de acesso multirregional também devem habilitar as mesmas regiões de aceitação que fazem parte do ponto de acesso multirregional.

# Configurar um ponto de acesso multirregional para uso com AWS PrivateLink
<a name="MultiRegionAccessPointsPrivateLink"></a>

 AWS PrivateLink fornece conectividade privada com o Amazon S3 usando endereços IP privados na nuvem privada virtual (VPC). Você pode provisionar um ou mais endpoints de interface dentro da VPC para se conectar aos pontos de acesso multirregionais do Amazon S3.

 Você pode criar endpoints **com.amazonaws.s3-global.accesspoint** para pontos de acesso multirregionais por meio do Console de gerenciamento da AWS, da AWS CLI ou de AWS SDKs. Para saber mais sobre como configurar um endpoint de interface para o ponto de acesso multirregional, consulte [Endpoints de VPC da interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) no *Guia do usuário da VPC*. 

 Para fazer solicitações a um ponto de acesso multirregional por meio de endpoints de interface, siga estas etapas para configurar a VPC e o ponto de acesso multirregional. 

**Para configurar um ponto de acesso multirregional para usar com AWS PrivateLink**

1. Crie ou tenha um endpoint de VPC apropriado que possa se conectar a pontos de acesso multirregionais. Para obter mais informações sobre a criação de endpoints de VPC, consulte [Endpoints da VPC da interface](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) no *Guia do usuário da VPC*.
**Importante**  
 Certifique-se de criar um endpoint **com.amazonaws.s3-global.accesspoint**. Outros tipos de endpoint não podem acessar pontos de acesso multirregionais. 

   Depois que esse endpoint da VPC é criado, todas as solicitações de pontos de acesso multirregionais na VPC são roteadas por esse endpoint, se você tiver o DNS privado habilitado para o endpoint. Esta opção está ativada por padrão. 

1. Se a política de ponto de acesso multirregional não oferecer suporte a conexões de endpoints da VPC, você precisará atualizá-la.

1. Verifique se as políticas de bucket individuais permitirão acesso aos usuários do ponto de acesso multirregional.

Lembre-se de que os pontos de acesso multirregionais funcionam roteando solicitações para buckets, não atendendo às próprias solicitações. É importante se lembrar disso porque o originador da solicitação deve ter permissões para o ponto de acesso multirregional e ter permissão para acessar os buckets individuais no ponto de acesso multirregional. Caso contrário, a solicitação pode ser encaminhada para um bucket onde o originador não tem permissões para atender à solicitação. Um ponto de acesso multirregional e os buckets associados podem pertencer à mesma conta ou a outra conta da AWS. No entanto, as VPCs de contas diferentes poderão usar um ponto de acesso multirregional se as permissões estiverem configuradas corretamente. 

Por isso, a política de endpoint da VPC deve permitir o acesso ao ponto de acesso multirregional e a cada bucket subjacente que você deseja que possa atender às solicitações. Por exemplo, digamos que você tenha um ponto de acesso multirregional com o alias `mfzwi23gnjvgw.mrap`. É suportado por buckets `amzn-s3-demo-bucket1` e `amzn-s3-demo-bucket2`, todos pertencentes à conta `123456789012` da AWS. Nesse caso, a política de endpoint da VPC a seguir permitiria que solicitações `GetObject` da VPC feitas para `mfzwi23gnjvgw.mrap` fossem atendidas por qualquer um dos buckets de suporte. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}
```

------

Conforme mencionado anteriormente, você também deve se certificar de que a política de pontos de acesso multirregionais esteja configurada para oferecer suporte ao acesso, por meio de um endpoint da VPC. Você não precisa especificar o endpoint da VPC que está solicitando acesso. O exemplo de política a seguir concederia acesso a qualquer solicitante que tentasse usar o ponto de acesso multirregional para as solicitações `GetObject`. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}
```

------

E, claro, cada um dos buckets individuais precisaria de uma política para dar suporte ao acesso de solicitações enviadas por meio do endpoint da VPC. A política de exemplo a seguir concede acesso de leitura a usuários anônimos, o que incluiria solicitações feitas por meio do endpoint da VPC. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect": "Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}
```

------

 Para obter mais informações sobre como editar uma política de endpoint da VPC, consulte [Controlar o acesso aos serviços com endpoints da VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) no *Guia do usuário da VPC*. 

# Remoção do acesso a um ponto de acesso multirregional de um endpoint da VPC
<a name="RemovingMultiRegionAccessPointAccess"></a>

Se você tiver um ponto de acesso multirregional e quiser remover o acesso dele de um endpoint de interface, você deverá fornecer uma nova política de acesso para o ponto de acesso multirregional que impede o acesso para solicitações que chegam por meio de endpoints da VPC. No entanto, se os buckets em seu ponto de acesso multirregional forem compatíveis com solicitações por meio de endpoints da VPC, eles continuarão a oferecer compatibilidade com essas solicitações. Se quiser impedir esse suporte, você deverá atualizar também as políticas para os buckets. O fornecimento de uma nova política de acesso ao ponto de acesso multirregional só impede o acesso ao ponto de acesso multirregional, não a buckets subjacentes. 

**nota**  
Não é possível excluir uma política de acesso para um ponto de acesso multirregional. Para remover o acesso a um ponto de acesso multirregional, você deve fornecer uma nova política de acesso com o acesso modificado desejado. 

Em vez de atualizar a política de acesso para o ponto de acesso multirregional, você pode atualizar as políticas de bucket para evitar solicitações por meio de endpoints da VPC. Nesse caso, os usuários ainda podem acessar o ponto de acesso multirregional por meio do endpoint da VPC. Porém, se a solicitação de ponto de acesso multirregional for encaminhada para um bucket no qual a política de bucket impeça o acesso, ela gerará uma mensagem de erro.