設定多區域存取點以搭配 AWS PrivateLink 使用 - Amazon Simple Storage Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定多區域存取點以搭配 AWS PrivateLink 使用

AWS PrivateLink 使用 Virtual Private Cloud (VPC) 中的私有 IP 地址為您提供與 Amazon S3 的私有連線。您可以在 VPC 內佈建一個或多個介面端點,以連接到 Amazon S3 多區域存取點。

您可以透過 AWS Management Console、AWS CLI 或 AWS 開發套件建立多區域存取點的 com.amazonaws.s3-global.accesspoint 端點。若要進一步了解如何設定多區域存取點的界面端點,請參閱《VPC 使用者指南》中的介面 VPC 端點

若要透過界面端點向多區域存取點提出要求,請依照下列步驟設定 VPC 和多區域存取點。

若要設定多區域存取點以搭配 AWS PrivateLink 使用

  1. 建立或擁有可連線至多區域存取點的適當 VPC 端點。如需建立 VPC 端點的詳細資訊,請參閱 VPC 使用者指南中的《介面 VPC 端點》。

    重要

    務必建立 com.amazonaws.s3-global.accesspoint 端點。其他端點類型無法存取多區域存取點。

    建立此 VPC 端點之後,VPC 中的所有多區域存取點請求都會透過此端點路由 (如果您已為端點啟用私有 DNS)。其預設為啟用。

  2. 如果多區域存取點政策不支援來自 VPC 端點的連線,您將需要更新它。

  3. 確認個別儲存貯體政策將允許存取多區域存取點的使用者。

請記住,多區域存取點的運作方式是將請求路由至儲存貯體,而不是自行履行請求。請務必記住這一點,因為請求的建立者必須具有多區域存取點的許可,並允許存取多區域存取點中的個別儲存貯體。否則,請求可能會被路由到建立者沒有許可滿足請求的儲存貯體。多區域存取點和相關聯的儲存貯體可以由相同或不同的 AWS 帳戶擁有。不過,如果正確設定許可,則來自不同帳戶的 VPC 可以使用多區域存取點。

因此,VPC 端點政策必須允許存取多區域存取點,以及您希望能夠滿足請求的每個基礎儲存貯體。例如,假設您具有別名為 mfzwi23gnjvgw.mrap 的多區域存取點。它是由儲存貯體 DOC-EXAMPLE-BUCKET1DOC-EXAMPLE-BUCKET2 提供支援,並且全部都由 AWS 帳戶 123456789012 擁有。在這種情況下,下列 VPC 端點政策會允許 GetObject 從 VPC 向 mfzwi23gnjvgw.mrap 提出的請求由任一後備儲存貯體來實現。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*",
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

如先前所述,您也必須確保多區域存取點政策已設定為可透過 VPC 端點支援存取。您不需要指定請求存取的 VPC 端點。下列範例政策會向嘗試將多區域存取點用於 GetObject 請求的任何申請者授予存取權限。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

當然,各個儲存貯體都需要一個政策來支援透過 VPC 端點提交的請求的存取。下列範例政策會授予任一匿名使用者的讀取存取權限,其中包含透過 VPC 端點發出的請求。

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET1",
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"]
    }]
}

如需有關編輯 VPC 端點政策的詳細資訊,請參閱《VPC 使用者指南》中的使用 VPC 端點控制對服務的存取