設定多區域存取點以搭配 AWS PrivateLink使用

AWS PrivateLink 使用虛擬私有雲端 （VPC） 中的私有 IP 地址，為您提供 Amazon S3 的私有連線。您可以在 內佈建一或多個介面端點VPC，以連線至 Amazon S3 多區域存取點。

您可以透過 AWS Management Console AWS CLI、 或 AWS 為多區域存取點建立 com.amazonaws.s3-global.accesspoint 端點SDKs。若要進一步了解如何設定多區域存取點的介面端點，請參閱 VPC 使用者指南 中的介面VPC端點。

若要透過介面端點向多區域存取點提出請求，請依照下列步驟設定 VPC和多區域存取點。

請記住，多區域存取點的運作方式是將請求路由至儲存貯體，而不是自行履行請求。請務必記住這一點，因為請求的建立者必須具有多區域存取點的許可，並允許存取多區域存取點中的個別儲存貯體。否則，請求可能會被路由到建立者沒有許可滿足請求的儲存貯體。多區域存取點和相關聯的儲存貯體可以由相同或另一個 AWS 帳戶擁有。不過，如果正確設定許可，VPCs來自不同帳戶可以使用多區域存取點。

因此，VPC端點政策必須允許存取多區域存取點，以及您要能夠滿足請求的每個基礎儲存貯體。例如，假設您具有別名為 mfzwi23gnjvgw.mrap 的多區域存取點。它由儲存貯體 amzn-s3-demo-bucket1和 提供支援amzn-s3-demo-bucket2，所有 均由AWS帳戶 擁有123456789012。在此情況下，下列VPC端點政策會允許透過任一備份儲存貯體mfzwi23gnjvgw.mrap來滿足VPC對 提出的GetObject請求。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

如前所述，您也必須確保多區域存取點政策設定為支援透過VPC端點存取。您不需要指定請求存取的VPC端點。下列範例政策會向嘗試將多區域存取點用於 GetObject 請求的任何申請者授予存取權限。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::123456789012:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

當然，每個儲存貯體都需要政策來支援從透過VPC端點提交的請求存取。下列範例政策會授予任何匿名使用者的讀取存取權，其中包括透過VPC端點提出的請求。

{
    "Version":"2012-10-17",
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect":"Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}

如需編輯VPC端點政策的詳細資訊，請參閱 VPC 使用者指南 中的使用VPC端點控制對 服務的存取。