Konfigurieren eines Multi-Regions-Zugriffspunkts zur Verwendung mit AWS PrivateLink - Amazon Simple Storage Service

Konfigurieren eines Multi-Regions-Zugriffspunkts zur Verwendung mit AWS PrivateLink

AWS PrivateLink bietet Ihnen eine private Konnektivität mit Amazon S3 über private IP-Adressen in Ihrer Virtual Private Cloud (VPC). Sie können einen oder mehrere Schnittstellenendpunkte in Ihrer VPC bereitstellen, um eine Verbindung zu Amazon S3-Multi-Regions-Zugriffspunkten herzustellen.

Sie können com.amazonaws.s3-global.accesspoint-Endpunkte für Multi-Regions-Zugriffspunkte über die AWS-Managementkonsole, AWS CLI, oder AWS-SDKs. erstellen. Weitere Informationen zum Konfigurieren eines Schnittstellenendpunkts für Multi-Regions-Zugriffspunkte finden Sie unter Schnittstellen-VPC-Endpunkte im VPC-Benutzerhandbuch.

Gehen Sie folgendermaßen vor, um Anforderungen an einen Multi-Regions-Zugriffspunkt über Schnittstellenendpunkte zu senden, um die VPC und den Multi-Regions-Zugriffspunkt zu konfigurieren.

Konfigurieren eines Multi-Regions-Zugriffspunkts zur Verwendung mit AWS PrivateLink

  1. Erstellen oder verfügen Sie über einen geeigneten VPC-Endpunkt, der eine Verbindung zu Multi-Regions-Zugriffspunkten herstellen kann. Weitere Informationen zum Erstellen von VPC-Endpunkten finden Sie unter Schnittstelle-VPC-Endpunkte im VPC-Benutzerhandbuch.

    Wichtig

    Stellen Sie sicher, dass Sie einen com.amazonaws.s3-global.accesspoint-Endpunkt erstellen. Andere Endpunkttypen können nicht auf Multi-RegionsZugriffspunkte zugreifen.

    Nachdem dieser VPC-Endpunkt erstellt wurde, leiten alle Multi-Regions-Zugriffspunkt-Anforderungen in der VPC durch diesen Endpunkt, wenn Sie private DNS für den Endpunkt aktiviert haben. Dies ist standardmäßig aktiviert.

  2. Wenn die Multi-Regions-Zugriffspunkt-Richtlinie keine Verbindungen von VPC-Endpunkten unterstützt, müssen Sie sie aktualisieren.

  3. Stellen Sie sicher, dass die einzelnen Bucket-Richtlinien den Zugriff auf die Benutzer des Multi-Regions-Zugriffspunkts ermöglichen.

Denken Sie daran, dass Multi-Regions-Zugriffspunkte funktionieren, indem sie Anforderungen an Buckets weiterleiten, nicht indem sie selbst Anforderungen erfüllen. Dies ist wichtig, da der Absender der Anforderung über Berechtigungen für den Multi-Regions-Zugriffspunkt verfügen muss und auf die einzelnen Buckets im Multi-Regions-Zugriffspunkt zugreifen kann. Andernfalls wird die Anforderung möglicherweise an einen Bucket weitergeleitet, in dem der Originator keine Berechtigungen hat, um die Anforderung zu erfüllen. Ein Multi-Region Access Point und die zugeordneten Buckets können im Besitz desselben oder eines anderen AWS-Kontos sein. VPCs aus verschiedenen Konten können jedoch einen Multi-Regions-Zugriffspunkt verwenden, wenn die Berechtigungen korrekt konfiguriert sind.

Aus diesem Grund muss die VPC-Endpunktrichtlinie sowohl Zugriff auf den Multi-Regions-Zugriffspunkt als auch auf jeden zugrunde liegenden Bucket gewähren, der Anforderungen erfüllen soll. Angenommen, Sie haben einen Multi-Region Access Point mit dem Alias mfzwi23gnjvgw.mrap. Es wird von Buckets amzn-s3-demo-bucket1 und amzn-s3-demo-bucket2 gesichert, die alle im Besitz von AWS-Konto 123456789012 sind. In diesem Fall würde die folgende VPCE-Endpunktrichtlinie zulassen, dass GetObject-Anforderungen von der VPC an mfzwi23gnjvgw.mrap von einem der beiden Backing-Buckets erfüllt werden.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Sid": "Read-buckets-and-MRAP-VPCE-policy",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::amzn-s3-demo-bucket1/*",
            "arn:aws:s3:::amzn-s3-demo-bucket2/*",
            "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
        ]
    }]
}

Wie bereits erwähnt, müssen Sie auch sicherstellen, dass die Multi-Regions-Zugriffspunkt-Richtlinie so konfiguriert ist, dass der Zugriff über einen VPC-Endpunkt unterstützt wird. Sie müssen den VPC-Endpunkt, der den Zugriff anfordert, nicht angeben. Die folgende Beispielrichtlinie würde jedem Anforderer Zugriff gewähren, der versucht, den Multi-Region Access Point für die GetObject-Anforderungen zu nutzen.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Sid": "Open-read-MRAP-policy",
        "Effect": "Allow",
        "Principal": "*",
        "Action": [
            "s3:GetObject"
          ],
        "Resource": "arn:aws:s3::111122223333:accesspoint/mfzwi23gnjvgw.mrap/object/*"
    }]
}

Und natürlich würden die einzelnen Buckets jeweils eine Richtlinie benötigen, um den Zugriff von Anforderungen zu unterstützen, die über den VPC-Endpunkt gesendet werden. Die folgende Beispielrichtlinie gewährt Lesezugriff auf alle anonymen Benutzer, einschließlich Anforderungen, die über den VPC-Endpunkt gestellt werden.

JSON
{
    "Version":"2012-10-17",		 	 	 
   "Statement": [
   {
       "Sid": "Public-read",
       "Effect": "Allow",
       "Principal": "*",
       "Action": "s3:GetObject",
       "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket1",
           "arn:aws:s3:::amzn-s3-demo-bucket2/*"]
    }]
}

Weitere Informationen zur Bearbeitung einer VPC-Endpunktrichtlinie finden Sie unter Steuerung des Zugriffs auf Services mit VPC-Endpunkten im VPC-Benutzerhandbuch.