AWS PrivateLink per S3 su Outposts - Amazon S3 su Outposts.
Restrizioni e limitazioniAccesso a endpoint dell'interfaccia S3 su OutpostsAggiornamento di una configurazione DNS localeCreazione di un endpoint VPCCreazione di policy degli endpoint VPC e policy di bucket

AWS PrivateLink per S3 su Outposts

S3 su Outposts supporta AWS PrivateLink, che fornisce l'accesso di gestione diretto allo storage S3 su Outposts tramite un endpoint privato all'interno della rete privata virtuale. Ciò consente di semplificare l'architettura di rete interna ed eseguire operazioni di gestione sullo storage di oggetti Outposts utilizzando indirizzi IP privati nel cloud privato virtuale (VPC). L'uso di AWS PrivateLink elimina la necessità di utilizzare indirizzi IP pubblici o server proxy.

Con AWS PrivateLink per Amazon S3 su Outposts, puoi effettuare il provisioning degli endpoint VPC dell’interfaccia nel cloud privato virtuale (VPC) per accedere alle API di gestione dei bucket e di gestione degli endpoint di S3 su Outposts. Gli endpoint VPC dell'interfaccia sono accessibili alle applicazioni distribuite nel VPC o on-premise sulla rete privata virtuale (VPN) o AWS Direct Connect. Puoi accedere alle API di gestione bucket e di gestione degli endpoint tramite AWS PrivateLink. AWS PrivateLink non supporta le operazioni API di trasferimento dati, come GET, PUT e API simili. Queste operazioni vengono già trasferite privatamente tramite la configurazione dell'endpoint e del punto di accesso S3 su Outposts. Per ulteriori informazioni, consulta Reti per S3 su Outposts.

Gli endpoint di interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENI) a cui vengono assegnati indirizzi IP privati dalle sottoreti nel VPC. Le richieste effettuate agli endpoint dell'interfaccia per S3 su Outposts vengono instradate automaticamente alle API di gestione dei bucket e degli endpoint S3 su Outposts sulla rete AWS. È inoltre possibile accedere agli endpoint di interfaccia nel VPC da applicazioni locali tramite AWS Direct Connect o AWS Virtual Private Network (Site-to-Site VPN). Per ulteriori informazioni su come connettere il VPC alla rete On-Premise, consulta la Guida per l'utente di Direct Connect e la Guida per l'utente di AWS Site-to-Site VPN.

Gli endpoint di interfaccia instradano le richieste per le API di gestione dei bucket e degli endpoint di S3 su Outposts sulla rete AWS e tramite AWS PrivateLink, come illustrato nello schema seguente.

Il diagramma del flusso di dati mostra come gli endpoint di interfaccia instradano le richieste delle API di gestione dei bucket e degli endpoint di S3 su Outposts.

Per informazioni sulla creazione di endpoint di interfaccia, consulta Endpoint VPC di interfaccia (AWS PrivateLink) nella Guida di AWS PrivateLink.

Quando si accede alle API di gestione dei bucket e degli endpoint di S3 su Outposts tramite AWS PrivateLink, si applicano limitazioni VPC. Per ulteriori informazioni, consulta Proprietà e limitazioni degli endpoint di interfaccia e Quote di AWS PrivateLink nella Guida di AWS PrivateLink.

Inoltre, AWS PrivateLink non supporta quanto segue:

Accesso a endpoint dell'interfaccia S3 su Outposts

Per accedere alle API di gestione dei bucket e di gestione degli endpoint di S3 su Outposts utilizzando AWS PrivateLink, è necessario aggiornare le applicazioni in modo da utilizzare nomi DNS specifici degli endpoint. Quando crei un endpoint di interfaccia, AWS PrivateLink genera due tipi di nomi S3 su Outpost specifici dell'endpoint: regionale e zonale.

  • I nomi DNS regionali includono un ID endpoint VPC univoco, un identificatore di servizio, Regione AWS e vpce.amazonaws.com, ad esempio, vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com.

  • Nomi DNS zonali: includono un ID endpoint VPC univoco, la zona di disponibilità, un identificatore di servizio, Regione AWS e vpce.amazonaws.com, ad esempio, vpce-1a2b3c4d-5e6f-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com. Puoi utilizzare questa opzione se l'architettura isola le zone di disponibilità. Ad esempio, puoi utilizzare i nomi DNS zonali per il contenimento degli errori o per ridurre i costi di trasferimento dei dati a livello regionale.

Importante

Gli endpoint dell'interfaccia S3 su Outposts vengono risolti dal dominio DNS pubblico. S3 su Outposts non supporta il DNS privato. Usa il parametro --endpoint-url per tutte le API di gestione dei bucket e degli endpoint.

Utilizzo dei parametri --region e --endpoint-url per accedere alle API di gestione dei bucket e degli endpoint tramite gli endpoint dell'interfaccia S3 su Outposts.

Esempio : utilizzo dell'URL dell'endpoint per elencare i bucket con l'API di controllo S3

Nell'esempio seguente, sostituisci la Regione us-east-1, l'URL endpoint VPC vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com e l'ID account 111122223333 con le informazioni appropriate.

aws s3control list-regional-buckets --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com --account-id 111122223333

Aggiorna gli SDK alla versione più recente e configura i client per utilizzare un URL endpoint per accedere all'API di controllo S3 per gli endpoint di interfaccia S3 su Outposts.

SDK for Python (Boto3)
Esempio : utilizzo di un URL endpoint per accedere all'API di controllo S3

Nell'esempio seguente, sostituisci la Regione us-east-1 e l’URL endpoint VPC vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com con le informazioni appropriate. 

control_client = session.client(
service_name='s3control',
region_name='us-east-1',
endpoint_url='https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com'
)

Per ulteriori informazioni, consulta AWS PrivateLink per Amazon S3 nella Guida per sviluppatori di Boto3.

SDK for Java 2.x
Esempio : utilizzo di un URL endpoint per accedere all'API di controllo S3

Nell'esempio seguente, sostituire l'URL endpoint VPC vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com e la Regione Region.US_EAST_1 con le informazioni appropriate.

// control client
Region region = Region.US_EAST_1;
s3ControlClient = S3ControlClient.builder().region(region)
                                 .endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com"))
                                 .build()

Per ulteriori informazioni, consulta S3ControlClient nella documentazione di riferimento dell'API AWS SDK per Java.

Aggiornamento di una configurazione DNS locale

Quando si utilizzano nomi DNS specifici degli endpoint per accedere agli endpoint di interfaccia per le API di gestione degli endpoint e dei bucket S3 su Outposts, non è necessario aggiornare il resolver DNS locale. Puoi risolvere il nome DNS specifico dell'endpoint con l'indirizzo IP privato dell'endpoint di interfaccia dal dominio DNS di S3 su Outposts pubblico.

Creazione di un endpoint VPC per S3 su Outposts

Per creare un endpoint di interfaccia VPC per S3 su Outposts, vedere Creare un endpoint VPC nella Guida AWS PrivateLink.

Creazione di policy di bucket e policy di endpoint VPC per S3 su Outposts

Puoi allegare una policy di endpoint all'endpoint VPC che controlla l'accesso a S3 su Outposts. Puoi utilizzare la condizione aws:sourceVpce nelle policy del bucket S3 su Outposts per limitare l’accesso a bucket specifici da un endpoint VPC specifico. Con le policy degli endpoint VPC, è possibile controllare l'accesso alle API di gestione dei bucket di S3 su Outposts e alle API di gestione degli endpoint. Con le policy dei bucket, è possibile controllare l'accesso alle API di gestione dei bucket S3 su Outposts. Tuttavia, non è possibile gestire l'accesso alle azioni oggetto per S3 su Outposts utilizzando aws:sourceVpce.

Le policy di accesso per S3 su Outposts specificano le seguenti informazioni:

  • Il principal AWS Identity and Access Management (IAM) per il quale le operazioni sono consentite o rifiutate.

  • Le operazioni di controllo S3 consentite o rifiutate.

  • Le risorse S3 su Outposts su cui le operazioni sono consentite o rifiutate.

Negli esempi seguenti vengono illustrate le policy che limitano l'accesso a un bucket o a un endpoint. Per maggiori informazioni sulla connettività VPC, consulta Opzioni di connettività da rete a VPC nel whitepaper AWS Opzioni di connettività di Amazon Virtual Private Cloud.

Importante

  • Quando applichi le policy di esempio per gli endpoint VPC descritte in questa sezione, potresti bloccare involontariamente l'accesso al bucket. Le autorizzazioni del bucket che limitano l'accesso del bucket a connessioni originate dall'endpoint VPC possono bloccare tutte le connessioni al bucket. Per informazioni su come risolvere questo problema, consulta La policy del bucket ha l'ID del VPC o dell'endpoint VPC sbagliato. Come posso correggere la policy in modo da poter accedere al bucket? nel Knowledge Center di Supporto.

  • Prima di utilizzare le policy di esempio seguenti, sostituire l'ID endpoint VPC con un valore appropriato per il caso d'uso. In caso contrario, non sarà possibile accedere al bucket.

  • Se la policy consente l'accesso a un bucket S3 su Outposts da uno specifico endpoint VPC, disabilita l'accesso alla console per quel bucket in quanto le richieste della console non provengono dall'endpoint VPC specificato.

Puoi creare una policy di endpoint che limita l'accesso solo a bucket S3 su Outposts specifici. La seguente policy limita l'accesso per l'azione GetBucketPolicy solo a example-outpost-bucket. Per usare questa policy, sostituire i valori di esempio con i propri.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "Policy1415115909151",
    "Statement": [
        {
            "Sid": "Access-to-specific-bucket-only",
            "Principal": {
                "AWS": "111122223333"
            },
            "Action": "s3-outposts:GetBucketPolicy",
            "Effect": "Allow",
            "Resource": "arn:aws:s3-outposts:us-east-1:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket"
        }
    ]
}

La seguente policy del bucket S3 su Outposts nega l'accesso a GetBucketPolicy nel bucket example-outpost-bucket attraverso l'endpoint VPC vpce-1a2b3c4d.

La condizione aws:sourceVpce viene utilizzata per specificare l'endpoint e non richiede un Amazon Resource Name (ARN) per la risorsa dell'endpoint VPC, ma solo l'ID dell'endpoint. Per usare questa policy, sostituire i valori di esempio con i propri.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Id": "Policy1415115909152",
    "Statement": [
        {
            "Sid": "Deny-access-to-specific-VPCE",
            "Principal": {
                "AWS": "111122223333"
            },
            "Action": "s3-outposts:GetBucketPolicy",
            "Effect": "Deny",
            "Resource": "arn:aws:s3-outposts:us-east-1:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket",
            "Condition": {
                "StringEquals": {
                    "aws:sourceVpce": "vpce-1a2b3c4d"
                }
            }
        }
    ]
}