Configurar um ponto de acesso multirregional para uso com AWS PrivateLink - Amazon Simple Storage Service

Configurar um ponto de acesso multirregional para uso com AWS PrivateLink

AWS PrivateLink fornece conectividade privada com o Amazon S3 usando endereços IP privados na nuvem privada virtual (VPC). Você pode provisionar um ou mais endpoints de interface dentro da VPC para se conectar aos pontos de acesso multirregionais do Amazon S3.

Você pode criar endpoints com.amazonaws.s3-global.accesspoint para pontos de acesso multirregionais por meio do AWS Management Console, da AWS CLI ou de AWS SDKs. Para saber mais sobre como configurar um endpoint de interface para o ponto de acesso multirregional, consulte Endpoints de VPC da interface no Guia do usuário da VPC.

Para fazer solicitações a um ponto de acesso multirregional por meio de endpoints de interface, siga estas etapas para configurar a VPC e o ponto de acesso multirregional.

Para configurar um ponto de acesso multirregional para usar com AWS PrivateLink

  1. Crie ou tenha um endpoint de VPC apropriado que possa se conectar a pontos de acesso multirregionais. Para obter mais informações sobre a criação de endpoints de VPC, consulte Endpoints da VPC da interface no Guia do usuário da VPC.

    Importante

    Certifique-se de criar um endpoint com.amazonaws.s3-global.accesspoint. Outros tipos de endpoint não podem acessar pontos de acesso multirregionais.

    Depois que esse endpoint da VPC é criado, todas as solicitações de pontos de acesso multirregionais na VPC são roteadas por esse endpoint, se você tiver o DNS privado habilitado para o endpoint. Esta opção está ativada por padrão.

  2. Se a política de ponto de acesso multirregional não oferecer suporte a conexões de endpoints da VPC, você precisará atualizá-la.

  3. Verifique se as políticas de bucket individuais permitirão acesso aos usuários do ponto de acesso multirregional.

Lembre-se de que os pontos de acesso multirregionais funcionam roteando solicitações para buckets, não atendendo às próprias solicitações. É importante se lembrar disso porque o originador da solicitação deve ter permissões para o ponto de acesso multirregional e ter permissão para acessar os buckets individuais no ponto de acesso multirregional. Caso contrário, a solicitação pode ser encaminhada para um bucket onde o originador não tem permissões para atender à solicitação. Um ponto de acesso multirregional e os buckets associados podem pertencer à mesma conta ou a outra conta da AWS. No entanto, as VPCs de contas diferentes poderão usar um ponto de acesso multirregional se as permissões estiverem configuradas corretamente.

Por isso, a política de endpoint da VPC deve permitir o acesso ao ponto de acesso multirregional e a cada bucket subjacente que você deseja que possa atender às solicitações. Por exemplo, digamos que você tenha um ponto de acesso multirregional com o alias mfzwi23gnjvgw.mrap. É suportado por buckets DOC-EXAMPLE-BUCKET1 e DOC-EXAMPLE-BUCKET2, todos pertencentes à conta 123456789012 da AWS. Nesse caso, a política de endpoint da VPC a seguir permitiria que solicitações GetObject da VPC feitas para mfzwi23gnjvgw.mrap fossem atendidas por qualquer um dos buckets de suporte. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Conforme mencionado anteriormente, você também deve se certificar de que a política de pontos de acesso multirregionais esteja configurada para oferecer suporte ao acesso, por meio de um endpoint da VPC. Você não precisa especificar o endpoint da VPC que está solicitando acesso. O exemplo de política a seguir concederia acesso a qualquer solicitante que tentasse usar o ponto de acesso multirregional para as solicitações GetObject. 

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

E, claro, cada um dos buckets individuais precisaria de uma política para dar suporte ao acesso de solicitações enviadas por meio do endpoint da VPC. A política de exemplo a seguir concede acesso de leitura a usuários anônimos, o que incluiria solicitações feitas por meio do endpoint da VPC. 

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"]
    }]
}

Para obter mais informações sobre como editar uma política de endpoint da VPC, consulte Controlar o acesso aos serviços com endpoints da VPC no Guia do usuário da VPC.