S3 访问点的工作原理是什么?

Diagram_S3_Access_Points

每个 S3 访问点都配置有针对用例或应用程序的访问策略。例如,您可以为 S3 存储桶创建一个访问点,为数据湖的用户或应用程序组授予访问权限。S3 访问点可以支持单个用户或应用程序,也可以支持一组用户或应用程序,因此可以对每个访问点进行单独管理。

每个访问点都与一个存储桶相关联,并包含一个网络源站控件和一个阻止公共访问控件。例如,您可以创建带有网络源站控件的访问点,该控件仅允许从您的 Virtual Private Cloud(AWS 云的逻辑隔离部分)进行存储访问。您还可以创建一个访问点,将访问点策略配置为仅允许访问具有指定前缀(例如“finance”)的对象。

由于每个访问点都包含一个唯一的 DNS 名称,因此您现在可以使用任何在 AWS 账户和区域内唯一的所选名称来寻址现有存储桶和新存储桶。使用限制在某 VPC 的访问点,您现在可以采用一种简单、可审计的方式来确保 S3 数据保留在您的 VPC 内。此外,您现在可以使用 AWS 服务控制策略,要求组织中的任何新访问点均仅支持 VPC 访问。

何时使用 S3 访问点

S3 访问点简化了管理应用程序集对 S3 上共享数据集的数据访问的方式。您不再需要使用数以百计的需要编写、读取、跟踪和审计的不同权限规则来管理单个复杂的存储桶策略。使用 S3 访问点,您现在可以创建特定于应用程序的访问点,从而允许使用针对特定应用程序量身定制的策略来访问共享数据集。

  • 大型共享数据集:使用访问点,您可以针对需要访问共享数据集的每个应用程序,将一个大型存储桶策略分解为多个单独的离散访问点策略。这样可以更轻松地集中精力为应用程序制定正确的访问策略,而不必担心打断共享数据集中任何其他应用程序正在执行的操作。
  • 将访问方式限于 VPC:S3 访问点可以将所有 S3 存储访问限制为通过 Virtual Private Cloud (VPC) 执行。 您还可以创建服务控制策略 (SCP),并要求将所有访问点都限制在 Virtual Private Cloud (VPC) 中,从而通过防火墙将数据隔离在专用网络中。
  • 测试新的访问策略:使用访问点,您可以在将应用程序迁移到访问点或将策略复制到现有访问点之前,轻松测试新的访问控制策略。
  • 将访问方式限于特定账户 ID:使用 S3 访问点,您可以指定 VPC 终端节点策略,该策略仅允许访问特定账户 ID 所拥有的访问点(以及相应的存储桶)。这简化了访问策略的创建,允许访问同一账户中的存储桶,同时拒绝通过 VPC 终端节点进行的任何其他 S3 访问。
  • 提供唯一的名称:S3 访问点允许您指定在账户和区域范围内唯一的任何名称。例如,您现在在每个账户和区域中都可以有一个“测试”访问点。

使用 S3 访问点,无论是为数据提取、转换、受限读取访问还是无限制访问创建访问点,都可以更轻松地完成创建和维护对共享 S3 存储桶的访问的工作。

开始使用 S3 访问点

您可以通过 AWS 管理控制台、AWS 命令行界面 (CLI)、应用程序编程接口 (API) 和 AWS 软件开发工具包 (SDK) 客户端,在新存储桶以及现有存储桶上免费创建访问点。您可以通过 S3 控制台和 CLI 轻松添加、查看和删除访问点以及编辑访问点策略。您可以像使用存储桶策略一样编写访问点策略,使用 IAM 规则来治理权限。

您还可以使用 CloudFormation 模板开始使用访问点。您可以通过 AWS CloudTrail 日志监视和审计访问点操作,例如“创建访问点”和“删除访问点”。您可以使用 AWS Organizations 对 AWS SCP 的支持来控制访问点的使用。

Product-Page_Standard-Icons_01_Product-Features_SqInk
了解有关产品定价的更多信息

仅按实际使用量付费。没有最低收费。

了解更多 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
注册免费账户

立即享受 AWS 免费套餐。 

注册 
Product-Page_Standard-Icons_03_Start-Building_SqInk
开始在控制台中构建

在 AWS 管理控制台中,使用 Amazon S3 开始构建。

登录