本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定多區域存取點以搭配 使用 AWS PrivateLink
<a name="MultiRegionAccessConfiguration"></a>

您可以使用多區域存取點，來路由 AWS 區域之間的 Amazon S3 請求流量。每個多區域存取點全域端點會從多個來源路由 Amazon S3 資料請求流量，而無需使用單一端點建立複雜的聯網組態。這些資料請求流量來源包括：
+ 來自虛擬私有雲端 (VPC) 的流量
+ 來自內部部署資料中心的流量經過 AWS PrivateLink 
+ 來自公有網際網路的流量

如果您建立 S3 多區域存取點的 AWS PrivateLink 連線，您可以使用簡單的網路架構和組態 AWS 區域，透過私有連線將 S3 請求路由到多個 AWS或跨多個 。使用 時 AWS PrivateLink，您不需要設定 VPC 互連連線。

**Topics**
+ [設定多區域存取點選擇加入區域](ConfiguringMrapOptInRegions.md)
+ [設定多區域存取點以搭配 使用 AWS PrivateLink](MultiRegionAccessPointsPrivateLink.md)
+ [從 VPC 端點刪除對多區域存取點的存取](RemovingMultiRegionAccessPointAccess.md)

# 設定多區域存取點選擇加入區域
<a name="ConfiguringMrapOptInRegions"></a>

 AWS 選擇加入區域是您帳戶中預設 AWS 未啟用的區域。相反地，預設啟用的區域稱為 AWS 區域 或商業區域。

若要在 AWS 選擇加入區域中開始使用多區域存取點，您必須先手動啟用 AWS 帳戶的選擇加入區域，才能建立多區域存取點。啟用選擇加入區域之後，您可以在選取的選擇加入區域中使用儲存貯體來建立多區域存取點。如需如何為 AWS 您的帳戶或 AWS 組織啟用或停用選擇加入區域的指示，請參閱[啟用或停用獨立帳戶的區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)[，或啟用或停用組織中的區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization)。

**注意**  
目前僅支援透過 AWS SDKs和 的多區域存取點選擇加入區域 AWS CLI。

 S3 多區域存取點支援下列 AWS 選擇加入區域：
+ `Africa (Cape Town)`
+ `Asia Pacific (Hong Kong)`
+ `Asia Pacific (Jakarta)`
+ `Asia Pacific (Melbourne)`
+ `Asia Pacific (Hyderabad)`
+ `Canada West (Calgary)`
+ `Europe (Zurich)`
+ `Europe (Milan)`
+ `Europe (Spain)`
+ `Israel (Tel Aviv)`
+ `Middle East (Bahrain)`
+ `Middle East (UAE)`

**注意**  
啟用選擇加入區域無需額外費用。不過，在多區域存取點中建立或使用資源，會產生帳單費用。

## 在 AWS 選擇加入區域中使用多區域存取點
<a name="UsingMrapOptInRegions"></a>

若要在多區域存取點上執行[資料平面操作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html)，所有關聯的 AWS 帳戶都必須啟用屬於多區域存取點一部分的選擇加入區域。此要求適用於申請者帳戶、多區域存取點擁有者、S3 儲存貯體擁有者和 VPC 端點擁有者。如果這些帳戶中的任何一個未啟用 AWS 選擇加入區域，多區域存取點請求便會失敗。如需有關 `InvalidToken` 或 `AllAccessDisabled` 錯誤的詳細資訊，請參閱[錯誤代碼清單](https://docs.aws.amazon.com/AmazonS3/latest/API/ErrorResponses.html#ErrorCodeList)。

**注意**  
[控制平面操作](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MrapOperations.html) (例如更新多區域存取點政策或更新容錯移轉組態)，不會受到多區域存取點中任何區域的選擇加入區域狀態的影響。在刪除多區域存取點之前，也不需要停用任何作用中的選擇加入區域。

## 停用作用中 AWS 的選擇加入區域
<a name="DisablingMrapOptInRegions"></a>

如果您停用屬於多區域存取點的加入區域，路由到此區域的請求會導致 `403 AllAccessDisabled` 錯誤。若要安全地停用選擇加入區域，建議您先在多區域存取點組態中識別要路由流量的替代區域。然後，您可以使用多區域存取點容錯移轉控制項，將替代區域標記為作用中，並將要停用的區域標記為被動。變更容錯移轉控制項之後，您可以停用要選擇退出的區域。

## 啟用先前停用 AWS 的選擇加入區域
<a name="EnablingDisabledMrapOptInRegions"></a>

若要為多區域存取點啟用先前已停用的選擇加入 AWS 區域，請務必更新 AWS 您的帳戶設定。重新啟用選擇加入區域之後，請執行 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_PutMultiRegionAccessPointPolicy.html) API 操作，將多區域存取點政策套用至選擇加入區域。

如果您的多區域存取點是透過 VPC 端點存取，建議您更新 VPCE 政策，並使用 [ModifyVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpoint.html) API 操作，將更新的 VPC 端點政策套用至重新啟用的選擇加入區域。

## 多區域存取點政策和多個 AWS 帳戶
<a name="UsingMrapPolicyOptInRegions"></a>

如果您的多區域存取點政策授予多個 AWS 帳戶的存取權，則所有申請者帳戶也必須在其帳戶設定中啟用相同的選擇加入區域。如果申請者帳戶提交多區域存取點請求，但未啟用屬於多區域存取點一部分的選擇加入區域，則會導致 `400 InvalidToken` 錯誤。

## AWS 選擇加入區域考量事項
<a name="MrapOptInRegionsConsiderations"></a>

當您從選擇加入區域存取多區域存取點時，請注意下列事項：
+ 當您啟用選擇加入區域時，您可使用選擇加入區域的儲存貯體建立多區域存取點。當您停用選擇加入區域時，在選擇加入的區域中，不再支援多區域存取點。如果您不想再為多區域存取點啟用選擇加入區域，請務必先[停用帳戶的區域](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-standalone)。然後，使用您偏好的選擇加入區域清單，建立新的多區域存取點。
+ 如果您嘗試使用已停用的選擇加入區域建立多區域存取點，您將會遇到 `403 InvalidRegion` 錯誤。啟用選擇加入區域之後，請嘗試再次建立多區域存取點。
+ 多區域存取點支援的區域數目上限為 17 個區域。這包括選擇加入區域和商業區域。如需詳細資訊，請參閱[多區域存取點約束與限制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiRegionAccessPointRestrictions.html)。
+ 即使您尚未選擇加入任何區域，多區域存取點的控制平面請求仍可運作。
+ 當您第一次嘗試建立多區域存取點時，您必須選擇加入屬於多區域存取點的所有區域。
+ 透過多區域存取點政策授予 S3 多區域存取點存取權的任何 AWS 帳戶，也必須啟用屬於多區域存取點的相同選擇加入區域。

# 設定多區域存取點以搭配 使用 AWS PrivateLink
<a name="MultiRegionAccessPointsPrivateLink"></a>

 AWS PrivateLink 使用虛擬私有雲端 (VPC) 中的私有 IP 地址，為您提供 Amazon S3 的私有連線。您可以在 VPC 內佈建一個或多個介面端點，以連接到 Amazon S3 多區域存取點。

 您可以透過 AWS 管理主控台 AWS CLI或 AWS SDKs，為多區域存取點建立 **com.amazonaws.s3-global.accesspoint** 端點。若要進一步了解如何設定多區域存取點的界面端點，請參閱《*VPC 使用者指南*》中的[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)。

 若要透過界面端點向多區域存取點提出要求，請依照下列步驟設定 VPC 和多區域存取點。

**設定多區域存取點以搭配 使用 AWS PrivateLink**

1. 建立或擁有可連線至多區域存取點的適當 VPC 端點。如需建立 VPC 端點的詳細資訊，請參閱 *VPC 使用者指南*中的《[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)》。
**重要**  
 務必建立 **com.amazonaws.s3-global.accesspoint** 端點。其他端點類型無法存取多區域存取點。

   建立此 VPC 端點之後，VPC 中的所有多區域存取點請求都會透過此端點路由 (如果您已為端點啟用私有 DNS)。其預設為啟用。

1. 如果多區域存取點政策不支援來自 VPC 端點的連線，您將需要更新它。

1. 確認個別儲存貯體政策將允許存取多區域存取點的使用者。

請記住，多區域存取點的運作方式是將請求路由至儲存貯體，而不是自行履行請求。請務必記住這一點，因為請求的建立者必須具有多區域存取點的許可，並允許存取多區域存取點中的個別儲存貯體。否則，請求可能會被路由到建立者沒有許可滿足請求的儲存貯體。多區域存取點和相關聯的儲存貯體可以由相同或另一個 AWS 帳戶擁有。不過，如果正確設定許可，則來自不同帳戶的 VPC 可以使用多區域存取點。

因此，VPC 端點政策必須允許存取多區域存取點，以及您希望能夠滿足請求的每個基礎儲存貯體。例如，假設您具有別名為 `mfzwi23gnjvgw.mrap` 的多區域存取點。它是由儲存貯體 `amzn-s3-demo-bucket1` 和 `amzn-s3-demo-bucket2` 提供支援，並且全部都由 AWS 帳戶 `123456789012` 擁有。在這種情況下，下列 VPC 端點政策會允許 `GetObject` 從 VPC 向 `mfzwi23gnjvgw.mrap` 提出的請求由任一後備儲存貯體來實現。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}
```

------

如先前所述，您也必須確保多區域存取點政策已設定為可透過 VPC 端點支援存取。您不需要指定請求存取的 VPC 端點。下列範例政策會向嘗試將多區域存取點用於 `GetObject` 請求的任何申請者授予存取權限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}
```

------

當然，各個儲存貯體都需要一個政策來支援透過 VPC 端點提交的請求的存取。下列範例政策會授予任一匿名使用者的讀取存取權限，其中包含透過 VPC 端點發出的請求。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect": "Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}
```

------

 如需有關編輯 VPC 端點政策的詳細資訊，請參閱《VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

# 從 VPC 端點刪除對多區域存取點的存取
<a name="RemovingMultiRegionAccessPointAccess"></a>

如果您擁有多區域存取點，並想要從介面端點刪除對其的存取，則您必須為多區域存取點提供新的存取政策，以防止透過 VPC 端點存取的請求存取。但是，如果多區域存取點中的儲存貯體支援透過 VPC 端點的請求，則它們將繼續支援這些請求。如果您想防止該支援，則您還必須更新儲存貯體的政策。為多區域存取點提供新的存取政策，僅會防止對多區域存取點的存取，不會防止對基礎儲存貯體的存取。

**注意**  
您無法刪除多區域存取點的存取政策。若要刪除對多區域存取點的存取，您必須提供新的存取政策以及您想要的已修改存取。

您可以更新儲存貯體政策，防止透過 VPC 端點的請求，而非更新多區域存取點的存取政策。在這種情況下，使用者仍然可以透過 VPC 端點存取多區域存取點。但是，如果多區域存取點請求被路由到儲存貯體政策阻止存取的儲存貯體，則該請求會產生錯誤訊息。