AWS PrivateLink 適用於 S3 on Outposts - Amazon S3 on Outposts
法規與限制存取 S3 on Outposts 介面端點更新內部部署DNS組態建立VPC端點建立VPC端點政策和儲存貯體政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS PrivateLink 適用於 S3 on Outposts

S3 on Outposts 支援 AWS PrivateLink,可讓您透過虛擬私有網路中的私有端點,直接管理對 S3 on Outposts 儲存體的存取。這可讓您使用虛擬私有雲端 () 中的私有 IP 地址,簡化內部網路架構,並在 Outposts 物件儲存上執行管理操作VPC。使用 AWS PrivateLink 不需要使用公有 IP 地址或代理伺服器。

使用 AWS PrivateLink for Amazon S3 on Outposts,您可以在虛擬私有雲端 (VPC) 中佈建介面VPC端點,以存取 S3 on Outposts 儲存貯體管理和端點管理APIs。介面VPC端點可透過虛擬私有網路 (VPN) VPC或 ,直接從部署在 或 內部部署的應用程式存取 AWS Direct Connect。您可以透過 APIs 存取儲存貯體和端點管理 AWS PrivateLink。 AWS PrivateLink 不支援資料傳輸API操作,例如 GET、 PUT和類似 APIs。這些操作已透過 S3 on Outposts 端點和存取點組態私下傳輸。如需詳細資訊,請參閱適用於 S3 on Outposts 的網路

介面端點由一或多個彈性網路介面 (ENIs) 表示,這些介面是由 中的子網路指派的私有 IP 地址VPC。對 S3 on Outposts 介面端點提出的請求會自動路由至 S3 on Outposts 儲存貯體,以及 AWS網路上APIs的端點管理。您也可以透過 AWS Direct Connect 或 AWS Virtual Private Network ()VPC,從內部部署應用程式存取 中的介面端點AWS VPN。如需如何將 VPC連線至內部部署網路的詳細資訊,請參閱 AWS Direct Connect 使用者指南AWS Site-to-Site VPN 使用者指南

介面端點APIs透過 AWS 網路和 路由 S3 on Outposts 儲存貯體和端點管理的請求 AWS PrivateLink,如下圖所示。

資料流程圖顯示介面端點如何路由 S3 on Outposts 儲存貯體和端點管理 的請求APIs。

如需介面端點的一般資訊,請參閱 指南 中的介面VPC端點 (AWS PrivateLink)AWS PrivateLink

當您APIs透過 存取 S3 on Outposts 儲存貯體和端點管理時 AWS PrivateLink,會套用VPC限制。如需詳細資訊,請參閱《AWS PrivateLink 指南》中的介面端點屬性和限制以及AWS PrivateLink 配額

此外, AWS PrivateLink 不支援下列項目:

存取 S3 on Outposts 介面端點

若要APIs使用 存取 S3 on Outposts 儲存貯體和端點管理 AWS PrivateLink,您必須更新應用程式以使用端點特定的DNS名稱。當您建立介面端點時, AWS PrivateLink 會產生兩種端點特定的 S3 on Outposts 名稱:區域區域

  • 區域DNS名稱 – 包含唯一的VPC端點 ID、服務識別符、 AWS 區域和 vpce.amazonaws.com,例如 vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com

  • 區域DNS名稱 – 包括唯一的VPC端點 ID、可用區域、服務識別符、 AWS 區域和 vpce.amazonaws.com,例如 vpce-1a2b3c4d-5e6f-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com。如果您的架構可隔離可用區域,則可以使用此選項。例如,您可以使用區域DNS名稱來控制故障或降低區域資料傳輸成本。

重要

S3 on Outposts 介面端點從公有DNS網域解析。S3 on Outposts 不支援私有 DNS。使用所有儲存貯體和端點管理 的 --endpoint-url 參數APIs。

使用 --region--endpoint-url 參數,APIs透過 S3 on Outposts 介面端點存取儲存貯體管理和端點管理。

範例 :使用端點URL列出具有 S3 控制項的儲存貯體 API

在下列範例中,將區域 us-east-1、VPC端點 URL vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com和帳戶 ID 取代111122223333為適當的資訊。

aws s3control list-regional-buckets --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com --account-id 111122223333

將 更新SDKs至最新版本,並將用戶端設定為使用端點URL存取 S3 on Outposts 介面端點API的 S3 控制項。

SDK for Python (Boto3)
範例 :使用端點URL存取 S3 控制項 API

在下列範例中,使用URLvpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com適當的資訊取代區域us-east-1和VPC端點。

control_client = session.client(
service_name='s3control',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com'
)

如需詳細資訊,請參閱《Boto3 開發人員指南》中的 AWS PrivateLink for Amazon S3

SDK for Java 2.x
範例 :使用端點URL存取 S3 控制項 API

在下列範例中,使用Region.US_EAST_1適當的資訊取代VPC端點URLvpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com和區域。

// control client
Region region = Region.US_EAST_1;
s3ControlClient = S3ControlClient.builder().region(region)
                                 .endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com"))
                                 .build()

如需詳細資訊,請參閱 參考 S3ControlClient中的 。 AWS SDK for Java API

更新內部部署DNS組態

使用端點特定DNS名稱存取 S3 on Outposts 儲存貯體管理和端點管理的介面端點時APIs,您不需要更新內部部署DNS解析程式。您可以從公有 S3 on Outposts DNS網域使用介面端點的私有 IP 地址解析端點特定的DNS名稱。

為 S3 on Outposts 建立VPC端點

若要為 S3 on Outposts 建立VPC介面端點,請參閱 AWS PrivateLink 指南 中的建立VPC端點

為 S3 on Outposts 建立儲存貯體政策和VPC端點政策

您可以將端點政策連接至控制 S3 on Outposts 存取的VPC端點。您也可以使用 S3 on Outposts 儲存貯體政策中的 aws:sourceVpce 條件,限制從特定VPC端點存取特定儲存貯體。透過VPC端點政策,您可以控制對 S3 on Outposts 儲存貯體管理和APIs端點管理的存取APIs。透過儲存貯體政策,您可以控制對 S3 on Outposts 儲存貯體管理 的存取APIs。然而,您無法使用 aws:sourceVpce 管理對 S3 on Outposts 其物件動作的存取。

S3 on Outposts 的存取政策指定下列資訊:

  • 允許或拒絕動作的 AWS Identity and Access Management (IAM) 主體。

  • 遭允許或拒絕的 S3 控制項動作。

  • 遭允許或拒絕其動作的 S3 on Outposts 資源。

下列範例顯示了限制儲存貯體或端點存取權的政策。如需VPC連線的詳細資訊,請參閱 AWS 白皮書 Amazon Virtual Private Cloud Connectivity Options 中的Network-to-VPC 連線選項。 Amazon Virtual Private Cloud

重要

  • 當您將範例政策套用至本節所述的VPC端點時,您可以封鎖對儲存貯體的存取,而不打算這麼做。限制儲存貯體存取來自您VPC端點之連線的儲存貯體許可,可能會封鎖對儲存貯體的所有連線。如需有關如何修正此問題的資訊,請參閱我的儲存貯體政策有錯誤VPC或VPC端點 ID。我該如何修復政策,讓我可以存取儲存貯體?(位於 AWS Support 知識中心)。

  • 使用下列範例儲存貯體政策之前,請將VPC端點 ID 取代為您的使用案例的適當值。否則,您將無法存取儲存貯體。

  • 如果您的政策僅允許從特定VPC端點存取 S3 on Outposts 儲存貯體,則會停用該儲存貯體的主控台存取權,因為主控台請求並非來自指定的VPC端點。

您可以建立端點政策,以限制只存取特定 S3 on Outposts 儲存貯體。下列政策只會將 GetBucketPolicy 動作的存取限制為 example-outpost-bucket。若要使用這個政策,請使用您的值來取代範例值。

{
  "Version": "2012-10-17",
  "Id": "Policy1415115909151",
  "Statement": [
    { "Sid": "Access-to-specific-bucket-only",
      "Principal": {"AWS":"111122223333"},
      "Action": "s3-outposts:GetBucketPolicy",
      "Effect": "Allow",
      "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket"
    }
  ]
}

下列 S3 on Outposts 儲存貯體政策拒絕透過vpce-1a2b3c4dVPC端點存取儲存example-outpost-bucket貯體 GetBucketPolicy 上的 。

aws:sourceVpce 條件會指定端點,且不需要VPC端點資源的 Amazon Resource Name (ARN),只需要端點 ID。若要使用這個政策,請使用您的值來取代範例值。

{
    "Version": "2012-10-17",
    "Id": "Policy1415115909152",
    "Statement": [
        {
            "Sid": "Deny-access-to-specific-VPCE",
            "Principal": {"AWS":"111122223333"},
            "Action": "s3-outposts:GetBucketPolicy",
            "Effect": "Deny",
            "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket",
            "Condition": {
                "StringEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"}
            }
        }
    ]
}