Verwalten des Zugriffs auf freigegebene Datensätze in S3
Kunden setzen zunehmend auf Amazon S3, um freigegebene Datensätze zu speichern. Diese enthalten aggregierte Daten, auf die verschiedene Anwendungen, Teams und einzelne Benutzer für Analysen, Machine Learning, Echtzeitüberwachung oder andere Data-Lake-Anwendungsfälle zugreifen. Die Zugriffsverwaltung für diesen freigegebenen Bucket erfordert eine zentrale Bucket-Richtlinie, mit deren Hilfe der Zugriff Dutzender bis Hunderter Anwendungen mit unterschiedlichen Berechtigungsstufen gesteuert wird. Mit zunehmender Anzahl von Anwendungen wird die Bucket-Richtlinie immer komplexer und ihre Verwaltung wird zeitaufwendiger. Außerdem muss sie regelmäßig geprüft werden, um zu verhindern, dass Änderungen für eine Anwendung unerwartete Auswirkungen auf eine andere Anwendung haben.
Amazon S3 Access Points, eine Funktion von S3, vereinfachen den Datenzugriff für alle AWS-Services oder Kundenanwendungen, die Daten in S3 speichern. Mit S3 Access Points können Kunden eindeutige Zugriffskontrollrichtlinien für jeden Access Point erstellen, um den Zugriff auf gemeinsam genutzte Datensätze einfach zu kontrollieren. Kunden mit freigegebenen Datensätzen wie Data Lakes, Medienarchiven und von Benutzern erstellten Inhalten können den Zugriff mühelos auf Hunderte Anwendungen skalieren, indem sie individualisierte Zugriffspunkte mit benutzerdefinierten Namen und Berechtigungen für jede Anwendung erstellen. Jeder Zugriffspunkt kann auf eine Virtual Private Cloud (VPC) beschränkt werden, um den Zugriff auf S3-Daten in privaten Kundennetzwerken wie eine Firewall zu schützen. Durch den Einsatz von AWS-Service-Kontrollrichtlinien kann sichergestellt werden, dass alle Zugriffspunkte VPC-beschränkt sind. S3 Access Points können jetzt kostenlos in allen Regionen verwendet werden.
Wie funktionieren S3 Access Points?
Für jeden S3 Access Point ist eine Zugriffsrichtlinie konfiguriert, die auf einen Anwendungsfall oder eine Anwendung ausgerichtet ist. Sie können beispielsweise einen Zugriffspunkt für Ihren S3 Bucket erstellen, der Gruppen von Benutzern oder Anwendungen Zugriff auf Ihren Data Lake gewährt. Ein Access Point kann einen einzelnen Benutzer oder eine einzelne Anwendung oder Gruppen von Benutzern oder Anwendungen mehrerer Konten unterstützen, wodurch die Verwaltung der einzelnen Access Points getrennt erfolgen kann.
Jeder Zugriffspunkt ist einem einzelnen Bucket zugeordnet und enthält eine Netzwerkursprungskontrolle sowie eine Kontrolle zum Blockieren öffentlicher Zugriffe. Sie können z. B. einen Zugriffspunkt mit einer Netzwerkursprungskontrolle erstellen, die den Speicherzugriff nur über Ihre Virtual Private Cloud zulässt, einen logisch isolierten Bereich in der AWS Cloud. Sie können auch einen Zugriffspunkt erstellen, dessen Zugriffsrichtlinie so konfiguriert ist, dass nur der Zugriff auf Objekte mit bestimmten Präfixen oder auf Objekte mit bestimmten Tags erlaubt ist.
Der Zugriff auf Daten in gemeinsam genutzten Bereichen kann über einen Zugangspunkt auf zwei Arten erfolgen. Für S3-Objektoperationen können Sie den ARN des Zugangspunkts anstelle eines Bucket-Namens verwenden. Für Anfragen, die einen Bucket-Namen im Standard-S3-Bucket-Namensformat erfordern, können Sie stattdessen einen Zugriffspunkt-Alias verwenden. Aliase für S3 Zugriffspunkte werden automatisch generiert und sind überall dort, wo Sie einen Bucket-Namen für den Datenzugriff verwenden, mit S3 Bucket-Namen austauschbar. Jedes Mal, wenn Sie einen Zugriffspunkt für einen Bucket erstellen, generiert S3 einen neuen Zugriffspunkt-Alias. Eine vollständige Liste der kompatiblen Vorgänge und AWS-Services finden Sie in der S3-Dokumentation.
Verwenden von S3 Access Points
S3 Access Points vereinfachen die Verwaltung des Zugriffs Ihrer Anwendungen auf freigegebene Datensätze in S3. Sie müssen keine allgemeingültige, komplexe Bucket-Richtlinie mehr verwalten, die Hunderte verschiedener Berechtigungsregeln enthält, die geschrieben, gelesen, nachverfolgt und geprüft werden müssen. Mit S3 Access Points können Sie anwendungsbezogene Zugriffspunkte erstellen, die den Zugriff auf freigegebene Datensätze über anwendungsspezifische Richtlinien gewähren.
- Große freigegebene Datensätze: Mit Access Points können Sie eine umfangreiche Bucket-Richtlinie in separate, diskrete Zugriffspunktrichtlinien aufgliedern, sodass jede dieser Richtlinien für eine Anwendung gilt, die auf den freigegebenen Datensatz zugreifen muss. Dadurch können Sie sich darauf konzentrieren, die richtige Zugriffsrichtlinie für eine Anwendung zu entwickeln, und müssen sich keine Gedanken darüber machen, ob der Zugriff anderer Anwendungen auf den freigegebenen Datensatz möglicherweise unterbrochen wird.
- Sicheres Kopieren von Daten: Kopieren Sie Daten sicher und mit hoher Geschwindigkeit zwischen Access Points in derselben Region mit der S3-Copy-API über AWS-interne Netzwerke und VPCs.
- VPC-Zugriff beschränken: Ein S3 Access Point kann sämtliche S3-Speicherzugriffe von einer Virtual Private Cloud (VPC) beschränken. Sie können auch eine Service Control Policy (SCP) erstellen und angeben, dass alle Zugriffspunkte auf eine Virtual Private Cloud (VPC) beschränkt sein sollen. Dadurch werden Ihre Daten wie durch eine Firewall innerhalb Ihrer privaten Netzwerke geschützt.
- Neue Zugriffspunkte testen: Mithilfe von Zugriffspunkten können Sie neue Zugriffskontrollrichtlinien testen, bevor Sie Anwendungen an den Zugriffspunkt migrieren oder die Richtlinie an einen vorhandenen Zugriffspunkt kopieren.
- Zugriff auf spezifische Konto-IDs beschränken: Mit S3 Access Points können Sie VPC-Endpunktrichtlinien festlegen, die den Zugriff auf Zugriffspunkte (und dadurch auf Buckets) beschränken, die spezifischen Konto-IDs zugeordnet sind. Das vereinfacht die Erstellung von Richtlinien für den Zugriff auf Buckets im selben Konto. Gleichzeitig wird jeder andere S3-Zugriff über den VPC-Endpunkt verwehrt.
- Eindeutigen Namen vergeben: S3 Access Points ermöglichen Ihnen die Angabe beliebiger Namen, die innerhalb des Kontos und der Region eindeutig sind. Zum Beispiel können Sie jetzt in jedem Konto und jeder Region einen "Test"-Zugangspunkt haben.
Ganz gleich, ob Sie einen Zugriffspunkt für die Datenaufnahme, -umwandlung, den eingeschränkten Lesezugriff oder den uneingeschränkten Zugriff erstellen, die Verwendung von S3-Zugriffspunkten vereinfacht die Erstellung, Freigabe und Verwaltung des Zugriffs auf Daten in Ihren freigegebenen S3 Buckets.
Erste Schritte mit S3 Access Points
Sie können neue Zugriffspunkte ohne zusätzliche Kosten auf neuen und bereits bestehenden Buckets erstellen. Dazu können Sie die AWS-Managementkonsole, die AWS-CLI (Befehlszeilenschnittstelle), die API (Application Programming Interface) und den AWS SDK-Client (Software Development Kit) verwenden. So lassen sich Zugriffspunkte mühelos hinzufügen, aufrufen und löschen. Zudem können Sie Zugriffspunktrichtlinien über die S3-Konsole und die CLI bearbeiten. Zugriffspunktrichtlinien werden genauso geschrieben wie Bucket-Richtlinien und mit IAM-Regeln steuern Sie die Berechtigungen.
Zum Einstieg mit Zugriffspunkten können Sie außerdem CloudFormation-Vorlagen verwenden. Sie können Zugriffspunktvorgänge wie "Zugriffspunkt erstellen" und "Zugriffspunkt löschen" über AWS CloudTrail-Protokolle überwachen und prüfen. Die Nutzung von Zugriffspunkten lässt sich mithilfe der AWS-Organizations-Unterstützung für AWS-SCPs steuern.
Besuchen Sie die Seite S3-Zugriffspunkte, um mehr zu erfahren.
Speicher, der für die Speicherung beliebiger Datenmengen von jedem Ort aus ausgelegt ist.
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Beginnen Sie mit dem Erstellen mit Amazon S3 in der AWS-Managementkonsole.