Wie funktionieren S3 Access Points?

Diagram_S3_Access_Points

Für jeden S3 Access Point ist eine Zugriffsrichtlinie konfiguriert, die auf einen Anwendungsfall oder eine Anwendung ausgerichtet ist. Sie können z. B. einen Zugriffspunkt für einen S3-Bucket erstellen, der Benutzer- oder Anwendungsgruppen Zugriff auf Ihren Data Lake gewährt. Ein S3 Access Point kann einzelne Benutzer und Anwendungen oder Gruppen von Benutzern bzw. Anwendungen unterstützen. Das ermöglicht die getrennte Verwaltung jedes Zugriffspunkts.

Jeder Zugriffspunkt ist einem einzelnen Bucket zugeordnet und enthält eine Netzwerkursprungskontrolle sowie eine Kontrolle zum Blockieren öffentlicher Zugriffe. Sie können z. B. einen Zugriffspunkt mit einer Netzwerkursprungskontrolle erstellen, die den Speicherzugriff nur über Ihre Virtual Private Cloud zulässt, einen logisch isolierten Bereich in der AWS Cloud. Sie können auch einen Zugriffspunkt erstellen, dessen Richtlinie nur den Zugriff auf Objekte mit einem bestimmten Präfix zulässt, z. B. "Finanzen".

Da jeder Zugriffspunkt einen eindeutigen DNS-Namen hat, können Sie vorhandenen und neuen Buckets jetzt jeden beliebigen Namen geben, der innerhalb des AWS-Kontos und der Region eindeutig ist. Mit Zugriffspunkten, die auf eine VPC beschränkt sind, können Sie einfach und nachprüfbar sicherstellen, dass S3-Daten innerhalb Ihrer VPC verbleiben. Außerdem können Sie mit AWS-Service-Kontrollrichtlinien jetzt festlegen, dass jeder neue Zugriffspunkt in Ihrem Unternehmen nur auf die VPC zugreifen kann.

Verwenden von S3 Access Points

S3 Access Points vereinfachen die Verwaltung des Zugriffs Ihrer Anwendungen auf freigegebene Datensätze in S3. Sie müssen keine allgemeingültige, komplexe Bucket-Richtlinie mehr verwalten, die Hunderte verschiedener Berechtigungsregeln enthält, die geschrieben, gelesen, nachverfolgt und geprüft werden müssen. Mit S3 Access Points können Sie anwendungsbezogene Zugriffspunkte erstellen, die den Zugriff auf freigegebene Datensätze über anwendungsspezifische Richtlinien gewähren.

  • Große freigegebene Datensätze: Mit Access Points können Sie eine umfangreiche Bucket-Richtlinie in separate, diskrete Zugriffspunktrichtlinien aufgliedern, sodass jede dieser Richtlinien für eine Anwendung gilt, die auf den freigegebenen Datensatz zugreifen muss. Dadurch können Sie sich darauf konzentrieren, die richtige Zugriffsrichtlinie für eine Anwendung zu entwickeln, und müssen sich keine Gedanken darüber machen, ob der Zugriff anderer Anwendungen auf den freigegebenen Datensatz möglicherweise unterbrochen wird.
  • VPC-Zugriff beschränken: Ein S3 Access Point kann sämtliche S3-Speicherzugriffe von einer Virtual Private Cloud (VPC) beschränken. Sie können auch eine Service Control Policy (SCP) erstellen und angeben, dass alle Zugriffspunkte auf eine Virtual Private Cloud (VPC) beschränkt sein sollen. Dadurch werden Ihre Daten wie durch eine Firewall innerhalb Ihrer privaten Netzwerke geschützt.
  • Neue Zugriffspunkte testen: Mithilfe von Zugriffspunkten können Sie neue Zugriffskontrollrichtlinien testen, bevor Sie Anwendungen an den Zugriffspunkt migrieren oder die Richtlinie an einen vorhandenen Zugriffspunkt kopieren.
  • Zugriff auf spezifische Konto-IDs beschränken: Mit S3 Access Points können Sie VPC-Endpunktrichtlinien festlegen, die den Zugriff auf Zugriffspunkte (und dadurch auf Buckets) beschränken, die spezifischen Konto-IDs zugeordnet sind. Das vereinfacht die Erstellung von Richtlinien für den Zugriff auf Buckets im selben Konto. Gleichzeitig wird jeder andere S3-Zugriff über den VPC-Endpunkt verwehrt.
  • Eindeutigen Namen vergeben: S3 Access Points ermöglichen Ihnen die Angabe beliebiger Namen, die innerhalb des Kontos und der Region eindeutig sind. Dadurch haben Sie jetzt z. B. die Möglichkeit, in jedem Konto und jeder Region einen Zugriffspunkt namens "Test" einzurichten.

S3 Access Points vereinfachen das Erstellen und Verwalten des Zugriffs auf freigegebene S3-Buckets – ganz egal, ob Sie einen Zugriffspunkt für die Datenaufnahme, für die Transformation, mit Schreibschutz oder mit unbeschränktem Zugriff benötigen.

Erste Schritte mit S3 Access Points

Sie können neue Zugriffspunkte ohne zusätzliche Kosten auf neuen und bereits bestehenden Buckets erstellen. Dazu können Sie die AWS-Managementkonsole, die AWS-CLI (Befehlszeilenschnittstelle), die API (Application Programming Interface) und den AWS SDK-Client (Software Development Kit) verwenden. So lassen sich Zugriffspunkte mühelos hinzufügen, aufrufen und löschen. Zudem können Sie Zugriffspunktrichtlinien über die S3-Konsole und die CLI bearbeiten. Zugriffspunktrichtlinien werden genauso geschrieben wie Bucket-Richtlinien und mit IAM-Regeln steuern Sie die Berechtigungen.

Zum Einstieg mit Zugriffspunkten können Sie außerdem CloudFormation-Vorlagen verwenden. Sie können Zugriffspunktvorgänge wie "Zugriffspunkt erstellen" und "Zugriffspunkt löschen" über AWS CloudTrail-Protokolle überwachen und prüfen. Die Nutzung von Zugriffspunkten lässt sich mithilfe der AWS Organizations-Unterstützung für AWS-SCPs steuern.

Product-Page_Standard-Icons_01_Product-Features_SqInk
Weitere Informationen zu Produktpreisen

Sie zahlen nur für das, was Sie nutzen. Es gibt keine Mindestgebühr.

Weitere Informationen 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Registrieren Sie sich und erhalten Sie ein kostenloses Konto

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Product-Page_Standard-Icons_03_Start-Building_SqInk
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit dem Erstellen mit Amazon S3 in der AWS-Managementkonsole.

Anmelden