# 创建多区域接入点
<a name="CreatingMultiRegionAccessPoints"></a>

要在 Amazon S3 中创建多区域接入点，请执行以下操作：
+ 指定多区域接入点的名称。
+ 在每个 AWS 区域中选择一个桶，以便为针对多区域接入点的请求提供服务。
+ 为多区域接入点配置 Amazon S3 屏蔽公共访问权限设置。

您可以在创建请求中提供所有这些信息，Amazon S3 将异步处理该请求。Amazon S3 为您提供了一个令牌，您可以使用该令牌监控异步创建请求状态。

确保保存策略之前解决来自 AWS Identity and Access Management Access Analyzer 的安全警告、错误、一般警告和建议。IAM Access Analyzer 将根据 IAM [策略语法](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html)和[最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)运行策略检查，以验证您的策略。这些检查项生成结果并提供可操作的建议，可帮助您编写可操作且符合安全最佳实践的策略。要了解有关使用 IAM Access Analyzer 验证策略的更多信息，请参阅 *IAM 用户指南*中的 [IAM Access Analyzer 策略验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。要查看 IAM Access Analyzer 返回的警告、错误和建议的列表，请参阅 [IAM Access Analyzer 策略检查引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html)。

使用 API 时，创建多区域接入点的请求是异步的。当提交创建多区域接入点的请求时，Amazon S3 会同步授权该请求。然后，它会立即返回一个您可以用来跟踪创建请求进度的令牌。有关跟踪异步请求以创建和管理多区域接入点的详细信息，请参阅 [将多区域接入点与支持的 API 操作结合使用](MrapOperations.md)。

创建多区域接入点后，可以为其创建访问控制策略。每个多区域接入点都可以有一个关联的策略。多区域接入点策略是一个基于资源的策略，您可以使用它来按资源、用户或其他条件限制多区域接入点的使用。

**注意**  
要使应用程序或用户能够通过多区域接入点访问对象，以下两个策略都必须允许此请求：  
多区域接入点的访问策略
包含对象的底层桶的访问策略
这两个策略不同时，限制性较强的策略优先。  
要简化多区域接入点的权限管理，您可以将桶中的访问控制委托给多区域接入点。有关更多信息，请参阅 [多区域接入点策略示例](MultiRegionAccessPointPermissions.md#MultiRegionAccessPointPolicyExamples)。

通过现有桶名称或 Amazon 资源名称（ARN）访问桶时，将桶与多区域接入点结合使用不会更改桶的行为。针对桶的所有现有操作将继续像以前一样运行。您在多区域接入点策略中包括的限制仅适用于通过多区域接入点发出的请求。

您可以在创建多区域接入点后更新策略，但无法删除该策略。但是，您可以更新多区域接入点策略以拒绝所有权限。

**Topics**
+ [命名 Amazon S3 多区域接入点的规则](multi-region-access-point-naming.md)
+ [为 Amazon S3 多区域接入点选择桶的规则](multi-region-access-point-buckets.md)
+ [创建 Amazon S3 多区域接入点](multi-region-access-point-create-examples.md)
+ [用 Amazon S3 多区域接入点阻止公有访问](multi-region-access-point-block-public-access.md)
+ [查看 Amazon S3 多区域接入点配置详细信息](multi-region-access-point-view-examples.md)
+ [删除多区域接入点](multi-region-access-point-delete-examples.md)

# 命名 Amazon S3 多区域接入点的规则
<a name="multi-region-access-point-naming"></a>

创建多区域接入点时，您可以为其指定一个名称，该名称是您选择的字符串。创建多区域接入点后，无法更改该接入点的名称。名称在您的 AWS 账户 中必须唯一，必须符合 [多区域接入点限制和限制](MultiRegionAccessPointRestrictions.md) 中列出的命名要求。要帮助您识别多区域接入点，请使用对您、您的组织有意义或能够反映场景的名称。

在调用多区域接入点管理操作，如 `GetMultiRegionAccessPoint` 和 `PutMultiRegionAccessPointPolicy`，您使用此名称。该名称不用于向多区域接入点发送请求，也不需要向使用多区域接入点发出请求的客户端公开。

Amazon S3 创建多区域接入点时，会自动为其分配一个别名。此别名是唯一结尾为 `.mrap` 的字母数字字符串。别名用于构建多区域接入点的主机名和 Amazon Resource Name（ARN）。完全限定名称还基于多区域接入点的别名。

您无法根据其别名确定多区域接入点的名称，因此您可以泄露别名，而不会暴露多区域接入点的名称、用途或所有者。Amazon S3 会为每个新的多区域接入点选择别名，不能更改别名。有关多区域接入点寻址的更多信息，请参阅 [通过多区域接入点发出请求](MultiRegionAccessPointRequests.md)。

多区域接入点的别名始终是唯一的，不基于多区域接入点的名称或配置。如果创建一个多区域接入点，然后将其删除并创建另一个具有相同名称和配置的接入点，第二个多区域接入点将具有与第一个不同的别名。新的多区域接入点不得具有与之前的多区域接入点相同的别名。

# 为 Amazon S3 多区域接入点选择桶的规则
<a name="multi-region-access-point-buckets"></a>

每个多区域接入点都与您要满足请求的区域相关联。多区域接入点必须与每个区域中的一个桶相关联。您可以在请求中指定每个桶的名称来创建多区域接入点。支持多区域接入点的桶可以位于拥有多区域接入点的同一个 AWS 账户中，也可以位于其他 AWS 账户中。

 多个多区域接入点可以使用同一个桶。

**重要**  
您只能在创建多区域接入点时指定与多区域接入点关联的桶。创建该桶后，您无法从多区域接入点配置中添加、修改或删除桶。要更改桶，您必须删除整个多区域接入点，然后创建新的接入点。
您无法删除属于多区域接入点的桶。如果要删除附加到多区域接入点的桶，请先删除多区域接入点。
如果您将其他账户拥有的桶添加到多区域接入点，桶拥有者还必须更新其桶策略，以授予对多区域接入点的访问权限。否则，多区域接入点将无法从该桶检索数据。有关显示如何授予此类访问权限的示例策略，请参阅[多区域接入点策略示例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples)。
 并非所有区域都支持多区域接入点。要查看支持的区域列表，请参阅 [多区域接入点限制和限制](MultiRegionAccessPointRestrictions.md)。

您可以创建复制规则在桶之间同步数据。这些规则让您能够自动将数据从源桶复制到目标桶。将桶连接到多区域接入点不会影响复制的工作方式。后面的部分将介绍如何使用多区域接入点配置复制。

**重要**  
当向多区域接入点发出请求时，多区域接入点不了解多区域接入点中桶的数据内容。因此，收到请求的桶可能不包含所请求的数据。要在 Amazon S3 桶中创建与多区域接入点相关联的一致数据集，我们建议您配置 S3 跨区域复制（CRR）。有关更多信息，请参阅 [配置用于多区域接入点的复制](MultiRegionAccessPointBucketReplication.md)。

# 创建 Amazon S3 多区域接入点
<a name="multi-region-access-point-create-examples"></a>

以下示例演示了如何使用 Amazon S3 控制台创建多区域接入点。

## 使用 S3 控制台
<a name="multi-region-access-point-create-console"></a>

**创建多区域接入点**
**注意**  
Amazon S3 控制台中目前不支持多区域接入点选择加入区域。

1. 登录到 AWS 管理控制台，然后通过以下网址打开 Amazon S3 控制台：[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。

1. 在左侧导航窗格中，选择 **Multi-Region Access Points**（多区域接入点）。

1. 选择**创建多区域接入点**，以开始创建多区域接入点。

1. 在**多区域接入点**页面上，在**多区域接入点名称**字段中为多区域接入点提供名称。

1. 选择将与此多区域接入点关联的桶。您可以选择您账户中的桶，也可以从其他账户中选择桶。
**注意**  
您必须从您的账户或其他账户中添加至少一个桶。另请注意，多区域接入点对于每个 AWS 区域仅支持一个桶。因此，您无法添加来自同一个区域的两个桶。不支持[原定设置情况下禁用的 AWS 区域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。
   + 要添加位于您的账户中的桶，请选择**添加桶**。将显示您的账户中所有桶的列表。您可以按名称搜索桶，也可以按字母顺序对桶名称进行排序。
   + 要从其他账户添加桶，请选择**从其他账户添加桶**。请确保您知道确切的桶名称和 AWS 账户 ID，因为您无法搜索或浏览其他账户中的桶。
**注意**  
您必须输入有效的 AWS 账户 ID 和桶名称。桶还必须位于支持的区域中，否则在尝试创建多区域接入点时会遇到错误。有关支持多区域接入点的区域列表，请参阅[多区域接入点限制和局限性](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html)。

1. （可选）如果您需要移除已添加的桶，请选择**移除**。
**注意**  
创建完此多区域接入点后，您无法在该多区域接入点中添加或移除桶。

1. 在**阻止接入点的公有访问设置**下，选择要应用于多区域接入点的阻止公有访问设置。默认情况下为新的多区域接入点启用所有阻止公有访问设置。除非您有特定的需求要禁用任何一个设置，我们建议您保持启用所有设置。
**注意**  
创建多区域接入点后，您无法更改多区域接入点的屏蔽公共访问权限设置。因此，如果您要阻止公有访问，请在创建多区域接入点之前，确保您的应用程序在没有公有访问的情况下正常运行。

1. 选择**创建多区域接入点**。

**重要**  
当您将其他账户拥有的桶添加到多区域接入点时，桶拥有者还必须更新其桶策略，以授予对多区域接入点的访问权限。否则，多区域接入点将无法从该桶检索数据。有关显示如何授予此类访问权限的示例策略，请参阅[多区域接入点策略示例](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointPermissions.html#MultiRegionAccessPointPolicyExamples)。

## 使用 AWS CLI
<a name="multi-region-access-point-create-cli"></a>

您可以使用 AWS CLI 创建多区域接入点。当您创建多区域接入点时，您必须提供它将支持的所有桶。创建多区域接入点后，无法将桶添加到该多区域接入点。

 以下示例使用 AWS CLI 创建一个具有两个桶的多区域接入点。要使用此示例命令，请将 `user input placeholders` 替换为您自己的信息。

**注意**  
要使用选择加入区域中的存储桶创建多区域接入点，请确保首先[启用所有选择加入区域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html)。否则，当尝试使用尚未实际选择加入的选择加入区域的存储桶来创建多区域接入点时，将收到 `403 InvalidRegion` 错误。

```
aws s3control create-multi-region-access-point --account-id 111122223333 --details '{
        "Name": "simple-multiregionaccesspoint-with-two-regions",
        "PublicAccessBlock": {
            "BlockPublicAcls": true,
            "IgnorePublicAcls": true,
            "BlockPublicPolicy": true,
            "RestrictPublicBuckets": true
        },
        "Regions": [
            { "Bucket": "amzn-s3-demo-bucket1" }, 
            { "Bucket": "amzn-s3-demo-bucket2" } 
        ]
    }' --region us-west-2
```

# 用 Amazon S3 多区域接入点阻止公有访问
<a name="multi-region-access-point-block-public-access"></a>

每个多区域接入点都有不同的 Amazon S3 阻止公有访问设置。这些设置与拥有多区域接入点和底层桶的 AWS 账户的屏蔽公共访问权限设置一起运行。

当 Amazon S3 授权请求时，会应用这些设置的最严格组合。如果任何这些资源（多区域接入点拥有者账户、底层桶或桶拥有者账户）的屏蔽公共访问权限设置屏蔽对所请求的操作或资源的访问，Amazon S3 将拒绝该请求。

除非您特别需要禁用其中任何设置，我们建议您启用所有阻止公共访问设置。默认情况下，为多区域接入点启用所有阻止公有访问设置。如果启用了屏蔽公共访问权限，则多区域接入点将无法接受基于互联网的请求。

**重要**  
在创建多区域接入点之后，您无法更改其屏蔽公共访问权限设置。

 有关 Amazon S3 阻止公有访问的更多信息，请参阅 [阻止对您的 Amazon S3 存储的公有访问](access-control-block-public-access.md)。

# 查看 Amazon S3 多区域接入点配置详细信息
<a name="multi-region-access-point-view-examples"></a>

以下示例演示如何使用 Amazon S3 控制台查看多区域接入点的配置详细信息。

## 使用 S3 控制台
<a name="multi-region-access-point-view-console"></a>

**创建多区域接入点**

1. 登录到 AWS 管理控制台，然后通过以下网址打开 Amazon S3 控制台：[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。

1. 在左侧导航窗格中，选择 **Multi-Region Access Points**（多区域接入点）。

1. 选择要查看其配置详细信息的多区域接入点的名称。
   + **属性**选项卡列出了与您的多区域接入点关联的所有桶、创建日期、Amazon 资源名称（ARN）和别名。AWS 账户 ID 列还列出了与多区域接入点关联的外部账户拥有的所有桶。
   + **权限**选项卡列出了应用于与该多区域接入点相关联的桶的屏蔽公共访问权限设置。您还可以查看多区域接入点的多区域接入点策略（如果已创建）。**权限**页面上的**信息**提醒还列出了此多区域接入点的已启用**屏蔽公共访问权限**设置的所有桶（无论该桶是在您的账户中还是在其他账户中）。
   + **复制和失效转移**选项卡提供与您的多区域接入点关联的桶以及桶所在区域的地图视图。如果有来自另一个账户的桶，但您无权从中提取数据，则该区域将在**复制摘要**地图上标记为红色，表明它是一个**在获取复制状态时出错的 AWS 区域**。
**注意**  
要从外部账户中的桶检索复制状态信息，桶拥有者必须在其桶策略中向您授予 `s3:GetBucketReplication` 权限。

     此选项卡还提供与多区域接入点结合使用的区域的复制指标、复制规则和失效转移状态。

## 使用 AWS CLI
<a name="multi-region-access-point-view-cli"></a>

 您可以使用 AWS CLI 查看多区域接入点的配置详细信息。

以下 AWS CLI 示例获取当前的多区域接入点配置。要使用此示例命令，请将 `user input placeholders` 替换为您自己的信息。

```
aws s3control get-multi-region-access-point --account-id 111122223333 --name amzn-s3-demo-bucket
```

# 删除多区域接入点
<a name="multi-region-access-point-delete-examples"></a>

以下步骤介绍如何使用 Amazon S3 控制台删除多区域接入点。请注意，删除多区域接入点不会删除与该多区域接入点关联的存储桶。而只删除多区域接入点本身。

**注意**  
目前，仅通过 AWS SDK 和 AWS CLI 来支持使用 AWS 选择加入区域中的存储桶的 S3 多区域接入点。如果要删除的多区域接入点使用选择加入区域中的存储桶，请确保指定您的账户可以首先使用哪些 AWS 选择加入区域。否则，如果尝试删除的多区域接入点使用已禁用的 AWS 选择加入区域中的存储桶，则会收到错误消息。

## 使用 S3 控制台
<a name="multi-region-access-point-delete-console"></a>

**删除多区域接入点**

1. 登录到 AWS 管理控制台，然后通过以下网址打开 Amazon S3 控制台：[https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/)。

1. 在左侧导航窗格中，选择 **Multi-Region Access Points**（多区域接入点）。

1. 选择多区域接入点名称旁边的选项按钮。

1. 选择**删除**。

1. 在**删除多区域接入点**对话框中，输入要删除的 AWS 桶的名称。
**注意**  
确保输入有效的桶名称。否则，**删除**按钮将被禁用。

1. 选择**删除**以确认删除多区域接入点。

## 使用 AWS CLI
<a name="multi-region-access-point-delete-cli"></a>

您可以使用 AWS CLI 删除多区域接入点。此操作不会删除与多区域接入点相关联的桶，只会删除多区域接入点本身。要使用此示例命令，请将 `user input placeholders` 替换为您自己的信息。

```
aws s3control delete-multi-region-access-point --account-id 123456789012 --details Name=example-multi-region-access-point-name
```