Verwalten des Zugriffs auf freigegebene Datensätze in S3
Kunden setzen zunehmend auf Amazon S3, um freigegebene Datensätze zu speichern. Diese enthalten aggregierte Daten, auf die verschiedene Anwendungen, Teams und einzelne Benutzer für Analysen, Machine Learning, Echtzeitüberwachung oder andere Data-Lake-Anwendungsfälle zugreifen. Die Zugriffsverwaltung für diesen freigegebenen Bucket erfordert eine zentrale Bucket-Richtlinie, mit deren Hilfe der Zugriff Dutzender bis Hunderter Anwendungen mit unterschiedlichen Berechtigungsstufen gesteuert wird. Mit zunehmender Anzahl von Anwendungen wird die Bucket-Richtlinie immer komplexer und ihre Verwaltung wird zeitaufwendiger. Außerdem muss sie regelmäßig geprüft werden, um zu verhindern, dass Änderungen für eine Anwendung unerwartete Auswirkungen auf eine andere Anwendung haben.
Amazon S3 Access Points ist eine S3-Funktion, die die Verwaltung des skalierten Anwendungszugriffs auf freigegebene Datensätze in S3 vereinfacht. Zugriffspunkte sind eindeutige Hostnamen, die von Kunden erstellt werden, um spezifische Berechtigungen und Netzwerkkontrollen für alle Anforderungen durchzusetzen, die den Zugriffspunkt passieren. Kunden mit freigegebenen Datensätzen wie Data Lakes, Medienarchiven und von Benutzern erstellten Inhalten können den Zugriff mühelos auf Hunderte Anwendungen skalieren, indem sie individualisierte Zugriffspunkte mit benutzerdefinierten Namen und Berechtigungen für jede Anwendung erstellen. Jeder Zugriffspunkt kann auf eine Virtual Private Cloud (VPC) beschränkt werden, um den Zugriff auf S3-Daten in privaten Kundennetzwerken wie eine Firewall zu schützen. Durch den Einsatz von AWS-Service-Kontrollrichtlinien kann sichergestellt werden, dass alle Zugriffspunkte VPC-beschränkt sind. S3 Access Points können jetzt kostenlos in allen Regionen verwendet werden.
Wie funktionieren S3 Access Points?
Für jeden S3 Access Point ist eine Zugriffsrichtlinie konfiguriert, die auf einen Anwendungsfall oder eine Anwendung ausgerichtet ist. Sie können z. B. einen Zugriffspunkt für einen S3-Bucket erstellen, der Benutzer- oder Anwendungsgruppen Zugriff auf Ihren Data Lake gewährt. Ein S3 Access Point kann einzelne Benutzer und Anwendungen oder Gruppen von Benutzern bzw. Anwendungen unterstützen. Das ermöglicht die getrennte Verwaltung jedes Zugriffspunkts.
Jeder Zugriffspunkt ist einem einzelnen Bucket zugeordnet und enthält eine Netzwerkursprungskontrolle sowie eine Kontrolle zum Blockieren öffentlicher Zugriffe. Sie können z. B. einen Zugriffspunkt mit einer Netzwerkursprungskontrolle erstellen, die den Speicherzugriff nur über Ihre Virtual Private Cloud zulässt, einen logisch isolierten Bereich in der AWS Cloud. Sie können auch einen Zugriffspunkt erstellen, dessen Richtlinie nur den Zugriff auf Objekte mit einem bestimmten Präfix zulässt, z. B. "Finanzen".
Da jeder Zugriffspunkt einen eindeutigen DNS-Namen hat, können Sie vorhandenen und neuen Buckets jetzt jeden beliebigen Namen geben, der innerhalb des AWS-Kontos und der Region eindeutig ist. Mit Zugriffspunkten, die auf eine VPC beschränkt sind, können Sie einfach und nachprüfbar sicherstellen, dass S3-Daten innerhalb Ihrer VPC verbleiben. Außerdem können Sie mit AWS-Service-Kontrollrichtlinien jetzt festlegen, dass jeder neue Zugriffspunkt in Ihrem Unternehmen nur auf die VPC zugreifen kann.
Verwenden von S3 Access Points
S3 Access Points vereinfachen die Verwaltung des Zugriffs Ihrer Anwendungen auf freigegebene Datensätze in S3. Sie müssen keine allgemeingültige, komplexe Bucket-Richtlinie mehr verwalten, die Hunderte verschiedener Berechtigungsregeln enthält, die geschrieben, gelesen, nachverfolgt und geprüft werden müssen. Mit S3 Access Points können Sie anwendungsbezogene Zugriffspunkte erstellen, die den Zugriff auf freigegebene Datensätze über anwendungsspezifische Richtlinien gewähren.
- Große freigegebene Datensätze: Mit Access Points können Sie eine umfangreiche Bucket-Richtlinie in separate, diskrete Zugriffspunktrichtlinien aufgliedern, sodass jede dieser Richtlinien für eine Anwendung gilt, die auf den freigegebenen Datensatz zugreifen muss. Dadurch können Sie sich darauf konzentrieren, die richtige Zugriffsrichtlinie für eine Anwendung zu entwickeln, und müssen sich keine Gedanken darüber machen, ob der Zugriff anderer Anwendungen auf den freigegebenen Datensatz möglicherweise unterbrochen wird.
- VPC-Zugriff beschränken: Ein S3 Access Point kann sämtliche S3-Speicherzugriffe von einer Virtual Private Cloud (VPC) beschränken. Sie können auch eine Service Control Policy (SCP) erstellen und angeben, dass alle Zugriffspunkte auf eine Virtual Private Cloud (VPC) beschränkt sein sollen. Dadurch werden Ihre Daten wie durch eine Firewall innerhalb Ihrer privaten Netzwerke geschützt.
- Neue Zugriffspunkte testen: Mithilfe von Zugriffspunkten können Sie neue Zugriffskontrollrichtlinien testen, bevor Sie Anwendungen an den Zugriffspunkt migrieren oder die Richtlinie an einen vorhandenen Zugriffspunkt kopieren.
- Zugriff auf spezifische Konto-IDs beschränken: Mit S3 Access Points können Sie VPC-Endpunktrichtlinien festlegen, die den Zugriff auf Zugriffspunkte (und dadurch auf Buckets) beschränken, die spezifischen Konto-IDs zugeordnet sind. Das vereinfacht die Erstellung von Richtlinien für den Zugriff auf Buckets im selben Konto. Gleichzeitig wird jeder andere S3-Zugriff über den VPC-Endpunkt verwehrt.
- Eindeutigen Namen vergeben: S3 Access Points ermöglichen Ihnen die Angabe beliebiger Namen, die innerhalb des Kontos und der Region eindeutig sind. Dadurch haben Sie jetzt z. B. die Möglichkeit, in jedem Konto und jeder Region einen Zugriffspunkt namens "Test" einzurichten.
S3 Access Points vereinfachen das Erstellen und Verwalten des Zugriffs auf freigegebene S3-Buckets – ganz egal, ob Sie einen Zugriffspunkt für die Datenaufnahme, für die Transformation, mit Schreibschutz oder mit unbeschränktem Zugriff benötigen.
Erste Schritte mit S3 Access Points
Sie können neue Zugriffspunkte ohne zusätzliche Kosten auf neuen und bereits bestehenden Buckets erstellen. Dazu können Sie die AWS-Managementkonsole, die AWS-CLI (Befehlszeilenschnittstelle), die API (Application Programming Interface) und den AWS SDK-Client (Software Development Kit) verwenden. So lassen sich Zugriffspunkte mühelos hinzufügen, aufrufen und löschen. Zudem können Sie Zugriffspunktrichtlinien über die S3-Konsole und die CLI bearbeiten. Zugriffspunktrichtlinien werden genauso geschrieben wie Bucket-Richtlinien und mit IAM-Regeln steuern Sie die Berechtigungen.
Zum Einstieg mit Zugriffspunkten können Sie außerdem CloudFormation-Vorlagen verwenden. Sie können Zugriffspunktvorgänge wie "Zugriffspunkt erstellen" und "Zugriffspunkt löschen" über AWS CloudTrail-Protokolle überwachen und prüfen. Die Nutzung von Zugriffspunkten lässt sich mithilfe der AWS Organizations-Unterstützung für AWS-SCPs steuern.
Sie zahlen nur für das, was Sie nutzen. Es gibt keine Mindestgebühr.
Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent.
Beginnen Sie mit dem Erstellen mit Amazon S3 in der AWS-Managementkonsole.