Wie funktionieren S3 Access Points?

Diagram_S3_Access_Points

Für jeden S3 Access Point ist eine Zugriffsrichtlinie konfiguriert, die auf einen Anwendungsfall oder eine Anwendung ausgerichtet ist. Sie können beispielsweise einen Zugriffspunkt für Ihren S3 Bucket erstellen, der Gruppen von Benutzern oder Anwendungen Zugriff auf Ihren Data Lake gewährt. Ein Access Point kann einen einzelnen Benutzer oder eine einzelne Anwendung oder Gruppen von Benutzern oder Anwendungen mehrerer Konten unterstützen, wodurch die Verwaltung der einzelnen Access Points getrennt erfolgen kann.

Jeder Zugriffspunkt ist einem einzelnen Bucket zugeordnet und enthält eine Netzwerkursprungskontrolle sowie eine Kontrolle zum Blockieren öffentlicher Zugriffe. Sie können z. B. einen Zugriffspunkt mit einer Netzwerkursprungskontrolle erstellen, die den Speicherzugriff nur über Ihre Virtual Private Cloud zulässt, einen logisch isolierten Bereich in der AWS Cloud. Sie können auch einen Zugriffspunkt erstellen, dessen Zugriffsrichtlinie so konfiguriert ist, dass nur der Zugriff auf Objekte mit bestimmten Präfixen oder auf Objekte mit bestimmten Tags erlaubt ist.

Der Zugriff auf Daten in gemeinsam genutzten Bereichen kann über einen Zugangspunkt auf zwei Arten erfolgen. Für S3-Objektoperationen können Sie den ARN des Zugangspunkts anstelle eines Bucket-Namens verwenden. Für Anfragen, die einen Bucket-Namen im Standard-S3-Bucket-Namensformat erfordern, können Sie stattdessen einen Zugriffspunkt-Alias verwenden. Aliase für S3 Zugriffspunkte werden automatisch generiert und sind überall dort, wo Sie einen Bucket-Namen für den Datenzugriff verwenden, mit S3 Bucket-Namen austauschbar. Jedes Mal, wenn Sie einen Zugriffspunkt für einen Bucket erstellen, generiert S3 einen neuen Zugriffspunkt-Alias. Eine vollständige Liste der kompatiblen Vorgänge und AWS-Services finden Sie in der S3-Dokumentation.

Verwenden von S3 Access Points

S3 Access Points vereinfachen die Verwaltung des Zugriffs Ihrer Anwendungen auf freigegebene Datensätze in S3. Sie müssen keine allgemeingültige, komplexe Bucket-Richtlinie mehr verwalten, die Hunderte verschiedener Berechtigungsregeln enthält, die geschrieben, gelesen, nachverfolgt und geprüft werden müssen. Mit S3 Access Points können Sie anwendungsbezogene Zugriffspunkte erstellen, die den Zugriff auf freigegebene Datensätze über anwendungsspezifische Richtlinien gewähren.

  • Große freigegebene Datensätze: Mit Access Points können Sie eine umfangreiche Bucket-Richtlinie in separate, diskrete Zugriffspunktrichtlinien aufgliedern, sodass jede dieser Richtlinien für eine Anwendung gilt, die auf den freigegebenen Datensatz zugreifen muss. Dadurch können Sie sich darauf konzentrieren, die richtige Zugriffsrichtlinie für eine Anwendung zu entwickeln, und müssen sich keine Gedanken darüber machen, ob der Zugriff anderer Anwendungen auf den freigegebenen Datensatz möglicherweise unterbrochen wird.
  • Sicheres Kopieren von Daten: Kopieren Sie Daten sicher und mit hoher Geschwindigkeit zwischen Access Points in derselben Region mit der S3-Copy-API über AWS-interne Netzwerke und VPCs.
  • VPC-Zugriff beschränken: Ein S3 Access Point kann sämtliche S3-Speicherzugriffe von einer Virtual Private Cloud (VPC) beschränken. Sie können auch eine Service Control Policy (SCP) erstellen und angeben, dass alle Zugriffspunkte auf eine Virtual Private Cloud (VPC) beschränkt sein sollen. Dadurch werden Ihre Daten wie durch eine Firewall innerhalb Ihrer privaten Netzwerke geschützt.
  • Neue Zugriffspunkte testen: Mithilfe von Zugriffspunkten können Sie neue Zugriffskontrollrichtlinien testen, bevor Sie Anwendungen an den Zugriffspunkt migrieren oder die Richtlinie an einen vorhandenen Zugriffspunkt kopieren.
  • Zugriff auf spezifische Konto-IDs beschränken: Mit S3 Access Points können Sie VPC-Endpunktrichtlinien festlegen, die den Zugriff auf Zugriffspunkte (und dadurch auf Buckets) beschränken, die spezifischen Konto-IDs zugeordnet sind. Das vereinfacht die Erstellung von Richtlinien für den Zugriff auf Buckets im selben Konto. Gleichzeitig wird jeder andere S3-Zugriff über den VPC-Endpunkt verwehrt.
  • Eindeutigen Namen vergeben: S3 Access Points ermöglichen Ihnen die Angabe beliebiger Namen, die innerhalb des Kontos und der Region eindeutig sind. Zum Beispiel können Sie jetzt in jedem Konto und jeder Region einen "Test"-Zugangspunkt haben.

Ganz gleich, ob Sie einen Zugriffspunkt für die Datenaufnahme, -umwandlung, den eingeschränkten Lesezugriff oder den uneingeschränkten Zugriff erstellen, die Verwendung von S3-Zugriffspunkten vereinfacht die Erstellung, Freigabe und Verwaltung des Zugriffs auf Daten in Ihren freigegebenen S3 Buckets.

Erste Schritte mit S3 Access Points

Sie können neue Zugriffspunkte ohne zusätzliche Kosten auf neuen und bereits bestehenden Buckets erstellen. Dazu können Sie die AWS-Managementkonsole, die AWS-CLI (Befehlszeilenschnittstelle), die API (Application Programming Interface) und den AWS SDK-Client (Software Development Kit) verwenden. So lassen sich Zugriffspunkte mühelos hinzufügen, aufrufen und löschen. Zudem können Sie Zugriffspunktrichtlinien über die S3-Konsole und die CLI bearbeiten. Zugriffspunktrichtlinien werden genauso geschrieben wie Bucket-Richtlinien und mit IAM-Regeln steuern Sie die Berechtigungen.

Zum Einstieg mit Zugriffspunkten können Sie außerdem CloudFormation-Vorlagen verwenden. Sie können Zugriffspunktvorgänge wie "Zugriffspunkt erstellen" und "Zugriffspunkt löschen" über AWS CloudTrail-Protokolle überwachen und prüfen. Die Nutzung von Zugriffspunkten lässt sich mithilfe der AWS-Organizations-Unterstützung für AWS-SCPs steuern.

Besuchen Sie die Seite S3-Zugriffspunkte, um mehr zu erfahren.

Standard Product Icons (Features) Squid Ink
Weitere Informationen zu Amazon S3

Speicher, der für die Speicherung beliebiger Datenmengen von jedem Ort aus ausgelegt ist.

Weitere Informationen 
Sign up for a free account
Für ein kostenloses Konto registrieren

Sie erhalten sofort Zugriff auf das kostenlose AWS-Kontingent. 

Registrieren 
Standard Product Icons (Start Building) Squid Ink
Beginnen Sie mit der Entwicklung in der Konsole

Beginnen Sie mit dem Erstellen mit Amazon S3 in der AWS-Managementkonsole.

Anmelden