จัดการการเข้าถึงชุดข้อมูลที่แชร์บน S3 ได้อย่างง่ายดาย
ลูกค้ามีการใช้ Amazon S3 เพื่อจัดเก็บชุดข้อมูลที่แชร์มากขึ้น โดยที่มีการรวบรวมและเข้าถึงข้อมูลโดยแอปพลิเคชัน ทีมงาน และผู้ใช้งานต่างๆ มากมายไม่ว่าจะเป็นการวิเคราะห์ แมชชีนเลิร์นนิ่ง การตรวจสอบแบบเรียลไทม์ หรือกรณีการใช้ข้อมูลที่จัดเก็บข้อมูลดิบอื่นๆ เป็นต้น การจัดการการเข้าถึงของบัคเก็ตที่แชร์นี้ต้องใช้นโยบายบัคเก็ตเดี่ยวที่ควบคุมการเข้าถึงแอปพลิเคชันหลายสิบถึงหลายร้อยรายการที่มีระดับสิทธิ์แตกต่างกันไป เมื่อชุดแอปพลิเคชันเติบโตขึ้น นโยบายบัคเก็ตจะซับซ้อนมากขึ้น ใช้เวลาจัดการนาน และต้องได้รับการตรวจสอบเพื่อให้แน่ใจว่าการเปลี่ยนแปลงจะไม่สร้างผลกระทบที่ไม่คาดคิดต่อแอปพลิเคชันอื่นๆ ด้วย
Amazon S3 Access Points ซึ่งเป็นคุณสมบัติของ S3 ช่วยลดความซับซ้อนในการเข้าถึงข้อมูลให้กับบริการของ AWS หรือแอปพลิเคชันของลูกค้าที่จัดเก็บข้อมูลไว้ใน S3 S3 Access Points ช่วยให้ลูกค้าสามารถสร้างนโยบายควบคุมการเข้าถึงที่ไม่ซ้ำกันสำหรับจุดเข้าถึงแต่ละจุดได้ เพื่อควบคุมการเข้าถึงชุดข้อมูลที่แชร์ได้อย่างง่ายดาย ลูกค้าที่มีชุดข้อมูลที่แชร์ ซึ่งประกอบด้วยที่จัดเก็บข้อมูลดิบ คลังเก็บสื่อถาวร และเนื้อหาที่ผู้ใช้สร้าง จะสามารถปรับการเข้าถึงแอปพลิเคชันหลายร้อยรายการได้อย่างง่ายดายเพียงแค่สร้างจุดเชื่อมต่อเป็นรายบุคคลด้วยชื่อและสิทธิ์ที่กำหนดเองสำหรับแต่ละแอปพลิเคชัน จุดเข้าถึงทุกจุดสามารถจำกัดการใช้งานกับ Virtual Private Cloud (VPC) เพื่อสร้างไฟร์วอลล์การเข้าถึงข้อมูล S3 ภายในเครือข่ายส่วนตัวของลูกค้า และสามารถใช้นโยบายควบคุมการบริการของ AWS เพื่อให้แน่ใจได้ว่าจุดเข้าถึงทุกจุดมีการจำกัด VPC แล้ว ขณะนี้ S3 Access Points มีให้บริการในทุกรีเจี้ยนโดยไม่มีค่าใช้จ่ายเพิ่มเติม
S3 Access Points ใช้งานอย่างไร
Access Points S3 แต่ละจุดจะมีการตั้งค่าตามนโยบายการเข้าถึงของแต่ละกรณีการใช้งานหรือแอปพลิเคชัน ตัวอย่างเช่น คุณสามารถสร้างจุดเข้าถึงของบัคเก็ต S3 ที่อนุญาตให้กลุ่มผู้ใช้หรือแอปพลิเคชันสามารถเข้าถึงที่จัดเก็บข้อมูลดิบได้ Access Point สามารถรองรับผู้ใช้หรือแอปพลิเคชันรายการเดียว หรือกลุ่มผู้ใช้หรือแอปพลิเคชันภายในและข้ามบัญชีต่างๆ ได้ ทำให้จุดเข้าถึงแต่ละจุดมีการจัดการที่ไม่เหมือนกันได้
จุดเข้าถึงทุกจุดเชื่อมโยงเข้ากับบัคเก็ตเดี่ยว และมีการควบคุมจุดเริ่มต้นของเครือข่าย และการควบคุม Block Public Access ตัวอย่างเช่น คุณสามารถสร้างจุดเข้าถึงที่มีการควบคุมจุดเริ่มต้นของเครือข่ายที่อนุญาตให้มีการเข้าถึงพื้นที่จัดเก็บได้จาก Virtual Private Cloud ของคุณเท่านั้น ซึ่งเป็นส่วนแยกเชิงตรรกะของ AWS Cloud และคุณยังสามารถสร้างจุดเข้าถึงด้วยนโยบายจุดเข้าถึงที่มีการกำหนดค่าให้เข้าถึงได้เฉพาะอ็อบเจ็กต์ที่มีคำนำหน้าที่กำหนดหรืออ็อบเจ็กต์ที่มีแท็กเฉพาะเท่านั้น
คุณสามารถเข้าถึงข้อมูลในบัคเก็ตที่แชร์ผ่านจุดเข้าถึงด้วยวิธีใดวิธีหนึ่งจากสองวิธีนี้ได้ สำหรับการดำเนินการอ็อบเจ็กต์ S3 คุณสามารถใช้จุดเข้าถึง ARN แทนชื่อบัคเก็ตได้ สำหรับคำขอที่ต้องใช้ชื่อบัคเก็ตในรูปแบบชื่อบัคเก็ต S3 มาตรฐาน คุณสามารถใช้นามแฝงของจุดเข้าถึงแทนได้ ระบบจะสร้างนามแฝงของ S3 Access Points โดยอัตโนมัติ และสามารถใช้แทนกันได้กับชื่อบัคเก็ต S3 ทุกที่ที่คุณใช้ชื่อบัคเก็ตสำหรับการเข้าถึงข้อมูล ทุกครั้งที่คุณสร้างจุดเข้าถึงสำหรับบัคเก็ต S3 จะสร้างนามแฝงของ Access Point ใหม่โดยอัตโนมัติ สำหรับชุดการดำเนินงานที่เข้ากันได้และบริการของ AWS ทั้งหมด โปรดไปที่เอกสารประกอบ S3
เวลาที่ควรใช้ S3 Access Points
S3 Access Points ลดความซับซ้อนของวิธีการจัดการการเข้าถึงข้อมูลสำหรับแอปพลิเคชันของคุณที่กำหนดให้กับชุดข้อมูลที่แชร์ใน S3 คุณไม่ต้องจัดการนโยบายบัคเก็ตที่ซับซ้อนเดียวซึ่งมีกฎการอนุญาตมากมายหลายร้อยข้อ ที่ต้องเขียน อ่าน ติดตาม และตรวจสอบอีกต่อไป S3 Access Points จะช่วยให้คุณสามารถสร้างจุดเชื่อมต่อเฉพาะแอปพลิเคชันได้ ซึ่งจะมีการอนุญาตให้เข้าถึงชุดข้อมูลที่แชร์โดยมีนโยบายที่ปรับให้เหมาะกับแอปพลิเคชันนั้นๆ
- ชุดข้อมูลที่แชร์ขนาดใหญ่: การใช้ Access Points จะทำให้คุณจัดแบ่งนโยบายบัคเก็ตขนาดใหญ่หนึ่งนโยบายออกเป็นนโยบายจุดเข้าถึงย่อยๆ สำหรับแต่ละแอปพลิเคชันที่ต้องการเข้าถึงชุดข้อมูลที่แชร์ได้ และช่วยทำให้เป็นเรื่องง่ายขึ้นหากต้องการสร้างนโยบายการเข้าถึงที่เหมาะกับแอปพลิเคชัน ทั้งยังไม่ต้องกังวลกับการที่แอปพลิเคชันอื่นๆ ภายในชุดข้อมูลที่แชร์ต้องประสบปัญหาการรบกวน
- คัดลอกข้อมูลได้อย่างปลอดภัย: คัดลอกข้อมูลได้อย่างปลอดภัยด้วยความเร็วสูงระหว่าง Access Points ในรีเจี้ยนเดียวกันโดยใช้ S3 Copy API ที่ใช้เครือข่ายภายในของ AWS และ VPC
- จำกัดการเข้าถึง VPC: S3 Access Point สามารถจำกัดการเข้าถึงพื้นที่จัดเก็บ S3 ทั้งหมดจาก Virtual Private Cloud (VPC) ได้ นอกจากนี้คุณยังสามารถสร้างนโยบายการควบคุมการบริการ (SCP) และกำหนดให้จุดเชื่อมต่อทั้งหมดถูกจำกัดไว้ที่ Virtual Private Cloud (VPC) และสร้างไฟร์วอลล์ให้กับข้อมูลของคุณภายในเครือข่ายส่วนตัวของคุณได้อีกด้วย
- ทดสอบนโยบายการเข้าถึงใหม่: การใช้จุดเข้าถึงจะช่วยให้คุณสามารถทดสอบนโยบายควบคุมการเข้าถึงใหม่ได้อย่างง่ายดายก่อนที่จะย้ายแอปพลิเคชันไปยังจุดเชื่อมต่อหรือคัดลอกนโยบายไปยังจุดเชื่อมต่ออื่นๆ ที่มีอยู่แล้ว
- จำกัดการเข้าถึง ID บัญชีเฉพาะ: จุดเข้าถึง S3 จะช่วยให้คุณสามารถระบุนโยบายตำแหน่งข้อมูล VPC ที่อนุญาตการเข้าถึงเฉพาะจุดเชื่อมต่อ (และบัคเก็ต) ที่ ID บัญชีเฉพาะเป็นเจ้าของ สิ่งนี้ช่วยให้การสร้างนโยบายการเข้าถึงซึ่งอนุญาตการเข้าถึงบัคเก็ตในบัญชีเดียวกันในขณะที่ปฏิเสธการเข้าถึง S3 อื่นๆ ผ่านทางตำแหน่งข้อมูล VPC เป็นเรื่องที่ง่ายขึ้น
- การป้อนชื่อเฉพาะ: S3 Access points ช่วยให้คุณระบุชื่อเฉพาะของแต่ละบัญชีและภูมิภาคได้ ตัวอย่างเช่น คุณสามารถสร้างจุดเข้าถึงเพื่อ “การทดสอบ” ของทุกบัญชีและภูมิภาคได้
ไม่ว่าจะเป็นการสร้างจุดเข้าถึงสำหรับการนำเข้าข้อมูล การแปลง การเข้าถึงแบบอ่านอย่างจำกัด หรือการเข้าถึงแบบไม่จำกัด การใช้ S3 Access Points จะลดความยุ่งยากในการสร้าง การแชร์ และการรักษาการเข้าถึงข้อมูลในบัคเก็ต S3 ที่แชร์ของคุณ
การเริ่มต้นใช้งาน S3 Access Points
คุณสามารถเริ่มสร้างจุดเข้าถึงได้โดยไม่เสียค่าใช้จ่ายเพิ่มเติมบนบัคเก็ตของคุณได้ทั้งบัคเก็ตใหม่และเก่า โดยใช้ AWS Management Console, AWS Command Line Interface (CLI), Application Programming Interface (API) และ AWS Software Development Kit (SDK) คุณสามารถเพิ่ม ดู และลบจุดเข้าถึงได้อย่างง่ายดายรวมทั้งแก้ไขนโยบายจุดเข้าถึงผ่านคอนโซล S3 และ CLI คุณสามารถกำหนดนโยบายจุดเข้าถึงได้เหมือนกับนโยบายบัคเก็ต โดยใช้กฎ IAM เพื่อจัดการระบบอนุญาต
คุณจะสามารถใช้เทมเพลต CloudFormation เพื่อเริ่มต้นการใช้งานจุดเข้าถึงได้ คุณสามารถควบคุมและตรวจสอบการทำงานของจุดเข้าถึงได้ เช่น "สร้างจุดเข้าถึง" และ "ลบจุดเข้าถึง" โดยใช้บันทึก AWS CloudTrail คุณสามารถควบคุมการใช้จุดเข้าถึงได้โดยใช้การสนับสนุน AWS Organizations สำหรับ AWS SCP ได้
พื้นที่จัดเก็บที่สร้างขึ้นเพื่อจัดเก็บข้อมูลที่ต้องการได้จากทุกที่
