Как работает S3 Access Points?

Diagram_S3_Access_Points

Каждый компонент S3 Access Point настраивается с особой политикой для каждого примера использования и приложения. Например, можно создать точку доступа к корзине S3, которая предоставляет доступ группам пользователей или приложений к озеру данных. Компонент Access Point поддерживает как одного пользователя или приложение, так и группы пользователей и приложений в рамках одного или нескольких аккаунтов, что позволяет раздельно управлять каждой точкой доступа.

Каждая точка доступа связана с одной корзиной и содержит элемент управления источником сети и компонент управления Block Public Access. Например, можно создать точку доступа со средством контроля сетевого источника, которое разрешает доступ к хранилищу только из Virtual Private Cloud, логически изолированного раздела облака AWS. Кроме того, существует возможность создать точку доступа и настроить политику доступа для нее так, чтобы разрешить доступ только к объектам с определенными префиксами или с конкретными тегами.

Есть два способа получить данные из общих корзин через точку доступа. Для операций с объектами S3 можно использовать точку доступа ARN вместо имени корзины. Для запросов, требующих имя корзины в стандартном формате S3, можно использовать псевдоним точки доступа. Псевдонимы точек доступа S3 генерируются автоматически и взаимозаменяемы с именами корзин S3 везде, где это имя используется для доступа к данным. Каждый раз при создании точки доступа для корзины, S3 автоматически создает новый псевдоним. Полный список совместимых операций и сервисов AWS см. в документации S3.

Когда использовать S3 Access Points

S3 Access Points упрощает управление доступом к данным для вашего приложения, настроенного для общих пакетов данных в службе S3. Больше не нужно управлять единой комплексной политикой корзин с сотнями различных правил разрешений, которые необходимо записывать, читать, отслеживать и проверять. S3 Access Points позволяет создавать точки доступа для конкретного приложения, которые разрешают доступ к общим наборам данных с помощью политик, соответствующих конкретному приложению.

  • Большие общие пакеты данных. С помощью Access Points можно разделить большую политику корзины на отдельные политики точек доступа для каждого приложения, которому требуется доступ к общим наборам данных. Это позволяет сосредоточиться на создании правильной политики доступа для приложения и не беспокоиться о нарушениях, вызванных работой других приложений с общими наборами данных.
  • Безопасное копирование данных. Копируйте данные между точками доступа одного региона безопасно и с высокой скоростью с помощью API S3 Copy, внутренних сетей AWS и VPC.
  • Ограничение доступа к VPC. S3 Access Point может полностью ограничить доступ к хранилищу S3 из Virtual Private Cloud (VPC). Можно также создать политику управлениями сервисами (SCP) и потребовать, чтобы все точки доступа были ограничены для Virtual Private Cloud (VPC), чтобы защитить данные внутри частных сетей.
  • Тестирование новых политик доступа. С помощью точек доступа можно легко тестировать новые политики управления доступом перед миграцией приложений к точке доступа или копированием политики для существующей точки доступа.
  • Ограничение доступа для определенных ID аккаунтов. S3 Access Points позволяет указать политики адреса VPC, которые разрешают доступ только к точкам доступа (следовательно и к корзине), которые принадлежат определенным ID аккаунтов. Это упрощает создание политик доступа, которые разрешают доступ к корзинам в пределах одного аккаунта и блокируют любой другой доступ к S3 с адреса VPC.
  • Создание уникального названия. S3 Access Points позволяет выбрать любое название, уникальное в пределах аккаунта и региона. Например, теперь можно создать точку доступа test во всех аккаунтах и регионах.

Независимо от того, создается ли точка доступа для сбора данных, трансформации, ограниченного или неограниченного доступа для чтения, использование S3 Access Points упрощает создание, общее использование и поддержание доступа к данным общих корзин S3.

Начало работы с S3 Access Points

Создание точек доступа для новых и существующих корзин можно начать без каких-либо дополнительных затрат. Вы можете использовать Консоль управления AWS, Интерфейс командной строки AWS (CLI), интерфейс прикладных задач (API) и клиент пакета средств для разработки приложений AWS (SDK). Можно легко добавлять, просматривать и удалять точки доступа, а также изменять политики точек доступа через консоль S3 и интерфейс командной строки. Можно писать политики точек доступа, также как политику корзины, с помощью правил IAM для управления разрешениями.

Вы также сможете использовать шаблоны CloudFormation, чтобы начать работу с точками доступа. С помощью журналов AWS CloudTrail можно отслеживать и проверять операции с точками доступа, например их создание и удаление. Вы можете контролировать использование точек доступа с помощью поддержки AWS Organizations для SCP AWS.

Чтобы ознакомиться с более подробной информацией, см. документацию S3 Access Points.

Standard Product Icons (Features) Squid Ink
Подробнее об Amazon S3

Хранилище рассчитано на хранение любых объемов данных из любого места.

Подробнее 
Sign up for a free account
Зарегистрировать бесплатный аккаунт

Получите мгновенный доступ к уровню бесплатного пользования AWS. 

Регистрация 
Standard Product Icons (Start Building) Squid Ink
Начало разработки в консоли

Начните разработку с помощью Amazon S3 в Консоли управления AWS.

Вход