本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定多區域存取點以搭配 AWS PrivateLink 使用
AWS PrivateLink 使用 Virtual Private Cloud (VPC) 中的私有 IP 地址為您提供與 Amazon S3 的私有連線。您可以在 VPC 內佈建一個或多個介面端點,以連接到 Amazon S3 多區域存取點。
您可以透過 AWS Management Console、AWS CLI 或 AWS 開發套件建立多區域存取點的 com.amazonaws.s3-global.accesspoint 端點。若要進一步了解如何設定多區域存取點的界面端點,請參閱《VPC 使用者指南》中的介面 VPC 端點。
若要透過界面端點向多區域存取點提出要求,請依照下列步驟設定 VPC 和多區域存取點。
若要設定多區域存取點以搭配 AWS PrivateLink 使用
-
建立或擁有可連線至多區域存取點的適當 VPC 端點。如需建立 VPC 端點的詳細資訊,請參閱 VPC 使用者指南中的《介面 VPC 端點》。
重要
務必建立 com.amazonaws.s3-global.accesspoint 端點。其他端點類型無法存取多區域存取點。
建立此 VPC 端點之後,VPC 中的所有多區域存取點請求都會透過此端點路由 (如果您已為端點啟用私有 DNS)。其預設為啟用。
-
如果多區域存取點政策不支援來自 VPC 端點的連線,您將需要更新它。
-
確認個別儲存貯體政策將允許存取多區域存取點的使用者。
請記住,多區域存取點的運作方式是將請求路由至儲存貯體,而不是自行履行請求。請務必記住這一點,因為請求的建立者必須具有多區域存取點的許可,並允許存取多區域存取點中的個別儲存貯體。否則,請求可能會被路由到建立者沒有許可滿足請求的儲存貯體。多區域存取點和相關聯的儲存貯體可以由相同或不同的 AWS 帳戶擁有。不過,如果正確設定許可,則來自不同帳戶的 VPC 可以使用多區域存取點。
因此,VPC 端點政策必須允許存取多區域存取點,以及您希望能夠滿足請求的每個基礎儲存貯體。例如,假設您具有別名為 mfzwi23gnjvgw.mrap
的多區域存取點。它是由儲存貯體 DOC-EXAMPLE-BUCKET1
和 DOC-EXAMPLE-BUCKET2
提供支援,並且全部都由 AWS 帳戶 123456789012
擁有。在這種情況下,下列 VPC 端點政策會允許 GetObject
從 VPC 向 mfzwi23gnjvgw.mrap
提出的請求由任一後備儲存貯體來實現。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Read-buckets-and-MRAP-VPCE-policy", "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1/*", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*", "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*" ] }] }
如先前所述,您也必須確保多區域存取點政策已設定為可透過 VPC 端點支援存取。您不需要指定請求存取的 VPC 端點。下列範例政策會向嘗試將多區域存取點用於 GetObject
請求的任何申請者授予存取權限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Open-read-MRAP-policy", "Effect": "Allow", "Principal": "*", "Action": [ "s3:GetObject" ], "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*" }] }
當然,各個儲存貯體都需要一個政策來支援透過 VPC 端點提交的請求的存取。下列範例政策會授予任一匿名使用者的讀取存取權限,其中包含透過 VPC 端點發出的請求。
{ "Version":"2012-10-17", "Statement": [ { "Sid": "Public-read", "Effect":"Allow", "Principal": "*", "Action": "s3:GetObject", "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET1", "arn:aws:s3:::DOC-EXAMPLE-BUCKET2/*"] }] }
如需有關編輯 VPC 端點政策的詳細資訊,請參閱《VPC 使用者指南》中的使用 VPC 端點控制對服務的存取。