本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定多區域存取點以搭配 使用 AWS PrivateLink
<a name="MultiRegionAccessPointsPrivateLink"></a>

 AWS PrivateLink 使用虛擬私有雲端 (VPC) 中的私有 IP 地址，為您提供 Amazon S3 的私有連線。您可以在 VPC 內佈建一個或多個介面端點，以連接到 Amazon S3 多區域存取點。

 您可以透過 AWS 管理主控台 AWS CLI或 AWS SDKs，為多區域存取點建立 **com.amazonaws.s3-global.accesspoint** 端點。若要進一步了解如何設定多區域存取點的界面端點，請參閱《*VPC 使用者指南*》中的[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)。

 若要透過界面端點向多區域存取點提出要求，請依照下列步驟設定 VPC 和多區域存取點。

**設定多區域存取點以搭配 使用 AWS PrivateLink**

1. 建立或擁有可連線至多區域存取點的適當 VPC 端點。如需建立 VPC 端點的詳細資訊，請參閱 *VPC 使用者指南*中的《[介面 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html)》。
**重要**  
 務必建立 **com.amazonaws.s3-global.accesspoint** 端點。其他端點類型無法存取多區域存取點。

   建立此 VPC 端點之後，VPC 中的所有多區域存取點請求都會透過此端點路由 (如果您已為端點啟用私有 DNS)。其預設為啟用。

1. 如果多區域存取點政策不支援來自 VPC 端點的連線，您將需要更新它。

1. 確認個別儲存貯體政策將允許存取多區域存取點的使用者。

請記住，多區域存取點的運作方式是將請求路由至儲存貯體，而不是自行履行請求。請務必記住這一點，因為請求的建立者必須具有多區域存取點的許可，並允許存取多區域存取點中的個別儲存貯體。否則，請求可能會被路由到建立者沒有許可滿足請求的儲存貯體。多區域存取點和相關聯的儲存貯體可以由相同或另一個 AWS 帳戶擁有。不過，如果正確設定許可，則來自不同帳戶的 VPC 可以使用多區域存取點。

因此，VPC 端點政策必須允許存取多區域存取點，以及您希望能夠滿足請求的每個基礎儲存貯體。例如，假設您具有別名為 `mfzwi23gnjvgw.mrap` 的多區域存取點。它是由儲存貯體 `amzn-s3-demo-bucket1` 和 `amzn-s3-demo-bucket2` 提供支援，並且全部都由 AWS 帳戶 `123456789012` 擁有。在這種情況下，下列 VPC 端點政策會允許 `GetObject` 從 VPC 向 `mfzwi23gnjvgw.mrap` 提出的請求由任一後備儲存貯體來實現。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}
```

------

如先前所述，您也必須確保多區域存取點政策已設定為可透過 VPC 端點支援存取。您不需要指定請求存取的 VPC 端點。下列範例政策會向嘗試將多區域存取點用於 `GetObject` 請求的任何申請者授予存取權限。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}
```

------

當然，各個儲存貯體都需要一個政策來支援透過 VPC 端點提交的請求的存取。下列範例政策會授予任一匿名使用者的讀取存取權限，其中包含透過 VPC 端點發出的請求。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect": "Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}
```

------

 如需有關編輯 VPC 端點政策的詳細資訊，請參閱《VPC 使用者指南》**中的[使用 VPC 端點控制對服務的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。