Creazione di punti di accesso per bucket di directory - Amazon Simple Storage Service

Creazione di punti di accesso per bucket di directory

Come i bucket di directory, i punti di accesso possono essere creati in zone di disponibilità o zone locali dedicate. Il punto di accesso deve essere creato nella stessa zona del bucket di directory ad esso associato.

Un punto di accesso è associato esattamente a solo un bucket di directory Amazon S3. Per utilizzare un bucket di directory nell’Account AWS, è necessario prima creare un bucket. Per ulteriori informazioni sulla creazione di bucket di directory, consulta Creazione di bucket di directory in una zona di disponibilità o Creazione di un bucket di directory in una zona locale.

Puoi anche creare un punto di accesso multi-account associato a un bucket in un altro Account AWS, purché tu conosca il nome del bucket e l'ID dell'account del proprietario del bucket. Tuttavia, la creazione di punti di accesso multi-account non consente l'accesso ai dati nel bucket finché non vengono concesse le autorizzazioni dal proprietario del bucket. Il proprietario del bucket deve concedere all'account del proprietario del punto di accesso (il tuo account) l'accesso al bucket tramite la policy di bucket. Per ulteriori informazioni, consulta Concessione delle autorizzazioni per i punti di accesso multi-account.

Puoi creare un punto di accesso per qualsiasi bucket di directory con la Console di gestione AWS, AWS CLI, la REST API o gli AWS SDK. Ogni punto di accesso è associato a un singolo bucket di directory ed è possibile creare centinaia di punti di accesso per ogni bucket. Quando si crea un punto di accesso, si sceglie il nome del punto di accesso e il bucket di directory a cui associarlo. Il nome del punto di accesso è composto da un nome di base fornito dall’utente e da un suffisso che contiene l’ID della zona della posizione del bucket, seguito da --xa-s3. Ad esempio, myaccesspoint-zoneID--xa-s3. È possibile limitare l’accesso al punto di accesso anche tramite un cloud privato virtuale (VPC). Quindi, è possibile iniziare immediatamente a leggere e scrivere dati tramite il punto di accesso tramite il nome, proprio come si fa con il nome di un bucket di directory.

È possibile utilizzare l’ambito del punto di accesso per limitare l’accesso al bucket di directory tramite il punto di accesso a prefissi od operazioni API specifici. Se non si aggiunge un ambito al punto di accesso, tutti i prefissi nel bucket di directory e tutte le operazioni API possono essere eseguiti sugli oggetti nel bucket quando si accede tramite il punto di accesso. Per aggiungere, modificare o eliminare l’ambito dopo aver creato il punto di accesso, puoi utilizzare AWS CLI, gli AWS SDK o la REST API. Per ulteriori informazioni, consulta Gestione dell’ambito dei punti di accesso per bucket di directory.

Dopo aver creato il punto di accesso, è possibile configurare la policy delle risorse IAM del punto di accesso. Per ulteriori informazioni, consulta Visualizzazione, modifica o eliminazione delle policy dei punti di accesso.

Nota

È possibile creare un punto di accesso per un bucket di directory dalla schermata del bucket di directory. In questo modo viene fornito il nome del bucket di directory e non è necessario scegliere un bucket durante la creazione del punto di accesso. Per ulteriori informazioni, consulta Elencare i bucket di directory.

Come creare un punto di accesso per bucket di directory

  1. Accedi alla Console di gestione AWS e apri la console Amazon S3 all’indirizzo https://console.aws.amazon.com/s3/.

  2. Sulla barra di navigazione nella parte superiore della pagina scegli il nome della Regione AWS attualmente visualizzata. Quindi, scegli la Regione in cui si desidera creare un punto di accesso. Il punto di accesso deve essere creato nella stessa Regione del bucket associato.

  3. Nel riquadro di navigazione a sinistra, scegli Punti di accesso per bucket di directory.

  4. Nella pagina Punto di accesso, scegli Crea punto di accesso.

  5. Puoi creare un punto di accesso per un bucket di directory nel tuo account o in un altro account. Per creare un punto di accesso per un bucket di directory in un altro account:

    Nota

    Se utilizzi un bucket in un diverso Account AWS, il proprietario del bucket deve aggiornare la policy dei bucket per autorizzare le richieste dal punto di accesso. Per un esempio di policy di bucket, consulta Concessione delle autorizzazioni per i punti di accesso multi-account.

    1. Nel campo Bucket di directory, scegli Specifica un bucket in un altro account.

    2. Nel campo ID account del proprietario del bucket, inserisci l’ID dell’Account AWS proprietario del bucket.

    3. Nel campo Nome bucket, inserisci il nome del bucket, incluso il nome di base e l’ID della zona. Ad esempio, bucket-base-name--zone-id--x-s3.

  6. Per creare un punto di accesso per un bucket di directory nel tuo account:

    1. Nel campo Bucket di directory, seleziona Scegli un bucket in questo account.

    2. Nel campo Nome bucket, inserisci il nome del bucket, incluso il nome di base e l’ID della zona. Ad esempio, bucket-base-name--zone-id--x-s3. Per scegliere il bucket da un elenco, seleziona Sfoglia S3 e scegli il bucket di directory.

  7. In Nome del punto di accesso, inserisci il nome di base del punto di accesso nel campo Nome di base. Vengono visualizzati l’ID della zona e il nome completo del punto di accesso. Per ulteriori informazioni sulla denominazione dei punti di accesso, consulta Regole di denominazione per i punti di accesso di bucket di directory.

  8. In Origine della rete, scegli tra cloud privato virtuale (VPC) o Internet. Se scegli cloud privato virtuale (VPC), nel campo ID del VPC immetti l’ID del VPC che desideri utilizzare con il punto di accesso.

  9. (Facoltativo) In Ambito del punto di accesso, per applicare un ambito a questo punto di accesso, scegli Limita l’ambito di questo punto di accesso utilizzando prefissi o autorizzazioni.

    1. Per limitare l’accesso ai prefissi nel bucket di directory, inserisci uno o più prefissi nel campo Prefissi. Per aggiungere un altro prefisso, scegli Aggiungi prefisso. Per rimuovere un prefisso, scegli Rimuovi.

      Nota

      L’ambito di un punto di accesso ha un limite di caratteri totali pari a 512 caratteri per tutti i prefissi. Puoi vedere il numero di caratteri rimanenti in Aggiungi prefisso.

    2. In Autorizzazioni, scegli una o più operazioni API consentite dal punto di accesso. Per rimuovere un’operazione sui dati, scegli la X accanto al nome dell’operazione sui dati.

  10. Per non applicare un ambito al punto di accesso e consentire l’accesso a tutti i prefissi nel bucket di directory e a tutte le operazioni API tramite il punto di accesso, in Ambito del punto di accesso, scegli Applica l’accesso all’intero bucket.

  11. Scegli Crea punto di accesso per bucket di directory. Il nome del punto di accesso e altre informazioni vengono visualizzati nell’elenco Punti di accesso per bucket di directory.

Il comando di esempio seguente crea un punto di accesso denominato example-ap per il bucket amzn-s3-demo-bucket--zone-id--x-s3 nell’account 111122223333. 

aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3

Per limitare l’accesso al punto di accesso tramite un VPC, includi il parametro --vpc e l’ID del VPC.

aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --vpc vpc-id

Quando crei un punto di accesso per un bucket multi-account, includi il parametro --bucket-account-id. Il comando di esempio seguente crea un punto di accesso nell’Account AWS 111122223333, per il bucket amzn-s3-demo-bucket--zone-id--x-s3, di proprietà di Account AWS 444455556666.

aws s3control create-access-point --name example-ap--zoneID--xa-s3 --account-id 111122223333 --bucket amzn-s3-demo-bucket--zone-id--x-s3 --bucket-account-id 444455556666

Per ulteriori informazioni ed esempi, consulta create-access-point nella documentazione di riferimento dei comandi della AWS CLI.

Il comando di esempio seguente crea un punto di accesso denominato example-ap per il bucket amzn-s3-demo-bucket--zone-id--x-s3 in the account 111122223333 e l’accesso è limitato tramite il VPC vpc-id (facoltativo). 


PUT /v20180820/accesspoint/example-ap--zoneID--xa-s3 HTTP/1.1
Host: s3express-control.region.amazonaws.com
x-amz-account-id: 111122223333
<?xml version="1.0" encoding="UTF-8"?>
<CreateAccessPointRequest>
   <Bucket>amzn-s3-demo-bucket--zone-id--x-s3s</Bucket>
   <BucketAccountId>111122223333</BucketAccountId>
   <VpcConfiguration>
       <VpcId>vpc-id</VpcId>
   </VpcConfiguration>
</CreateAccessPointRequest>

Risposta:


HTTP/1.1 200
<?xml version="1.0" encoding="UTF-8"?>
<CreateAccessPointResult>
   <AccessPointArn>
       "arn:aws:s3express:region:111122223333:accesspoint/example-ap--zoneID--xa-s3"
   </AccessPointArn>
   <Alias>example-ap--zoneID--xa-s3</Alias>
</CreateAccessPointResult>

È possibile utilizzare gli AWS SDK per creare un punto di accesso. Per ulteriori informazioni, consulta l’elenco degli SDK supportati nella Guida di riferimento delle API di Amazon Simple Storage Service.