Amazon S3 Access Points

Access Points S3 แต่ละจุดจะมีการตั้งค่าตามนโยบายการเข้าถึงของแต่ละกรณีการใช้งานหรือแอปพลิเคชัน ตัวอย่างคือคุณอาจสร้างจุดเข้าถึงของบัคเก็ต S3 ที่อนุญาตให้มีการเข้าถึงกลุ่มผู้ใช้หรือแอปพลิเคชันที่จัดเก็บข้อมูลดิบได้ S3 Access Point จะรองรับผู้ใช้หรือแอปพลิเคชันเดี่ยว หรือกลุ่มผู้ใช้หรือแอปพลิเคชัน ทำให้จุดเข้าถึงแต่ละจุดมีการจัดการที่ไม่เหมือนกันได้

จุดเข้าถึงทุกจุดเชื่อมโยงเข้ากับบัคเก็ตเดี่ยว และมีการควบคุมจุดเริ่มต้นของเครือข่าย และการควบคุม Block Public Access ตัวอย่าง คุณอาจสร้างจุดเข้าถึงที่มีการควบคุมจุดเริ่มต้นของเครือข่ายที่อนุญาตให้มีการเข้าถึงการจัดเก็บได้จาก Virtual Private Cloud ของคุณเท่านั้น ซึ่งเป็นส่วนแยกเชิงตรรกะของ AWS Cloud และคุณยังอาจสร้างจุดเข้าถึง โดยที่นโยบายจุดเข้าถึงนั้นได้มีการตั้งค่าให้เข้าถึงได้เฉพาะวัตถุที่มีคำนำหน้าที่ระบุไว้แล้ว เช่น “การเงิน” เท่านั้น

เพราะจุดเข้าถึงแต่ละจุดมีชื่อ DNS เฉพาะ ทำให้คุณจัดการบัคเก็ตที่มีอยู่และใหม่ได้โดยใช้ชื่อตามที่คุณเลือกเองและไม่เหมือนกับชื่ออื่นๆ ตามบัญชีและภูมิภาคของ AWS เมื่อคุณใช้จุดเข้าถึงที่มีการจำกัดการใช้งานเข้ากับ VPC ก็จะแน่ใจได้ว่าข้อมูล S3 นั้นจะเก็บไว้ใน VPC ของท่านได้อย่างง่ายและสามารถตรวจสอบได้ นอกจากนี้ ในปัจจุบันคุณยังสามารถใช้ AWS Service Control Policies เพื่อสั่งให้จุดเข้าถึงใหม่ในองค์กรเชื่อมโยงกับการเข้าถึง VPC เท่านั้น

S3 Access Points ลดความซับซ้อนของวิธีการจัดการการเข้าถึงข้อมูลสำหรับแอปพลิเคชันของคุณที่กำหนดให้กับชุดข้อมูลที่แชร์ใน S3 คุณไม่ต้องจัดการนโยบายบัคเก็ตที่ซับซ้อนเดียวซึ่งมีกฎการอนุญาตมากมายหลายร้อยข้อ ที่ต้องเขียน อ่าน ติดตาม และตรวจสอบอีกต่อไป S3 Access Points จะช่วยให้คุณสามารถสร้างจุดเชื่อมต่อเฉพาะแอปพลิเคชันได้ ซึ่งจะมีการอนุญาตให้เข้าถึงชุดข้อมูลที่แชร์โดยมีนโยบายที่ปรับให้เหมาะกับแอปพลิเคชันนั้นๆ

• ชุดข้อมูลที่แชร์ขนาดใหญ่: การใช้ Access Points จะทำให้คุณจัดแบ่งนโยบายบัคเก็ตขนาดใหญ่หนึ่งนโยบายออกเป็นนโยบายจุดเข้าถึงย่อยๆ สำหรับแต่ละแอปพลิเคชันที่ต้องการเข้าถึงชุดข้อมูลที่แชร์ได้ และช่วยทำให้เป็นเรื่องง่ายขึ้นหากต้องการสร้างนโยบายการเข้าถึงที่เหมาะกับแอปพลิเคชัน ทั้งยังไม่ต้องกังวลกับการที่แอปพลิเคชันอื่นๆ ภายในชุดข้อมูลที่แชร์ต้องประสบปัญหารบกวน
  
• การเข้าถึง VPC แบบจำกัด: Access Points S3 สามารถจำกัดการจัดเก็บ S3 ทั้งหมดจาก Virtual Private Cloud (VPC) ได้ นอกจากนี้คุณยังสามารถสร้างนโยบายการควบคุมการบริการ (SCP) และกำหนดให้จุดเชื่อมต่อทั้งหมดถูกจำกัดไว้ที่ Virtual Private Cloud (VPC) และสร้างไฟร์วอลล์ให้กับข้อมูลของคุณภายในเครือข่ายส่วนตัวของคุณได้อีกด้วย
• ทดสอบนโยบายการเข้าถึงใหม่: การใช้จุดเข้าถึงจะช่วยให้คุณสามารถทดสอบนโยบายควบคุมการเข้าถึงใหม่ได้อย่างง่ายดายก่อนที่จะย้ายแอปพลิเคชันไปยังจุดเชื่อมต่อหรือคัดลอกนโยบายไปยังจุดเชื่อมต่ออื่นๆ ที่มีอยู่แล้ว
• จำกัดการเข้าถึง ID บัญชีเฉพาะ: จุดเข้าถึง S3 จะช่วยให้คุณสามารถระบุนโยบายตำแหน่งข้อมูล VPC ที่อนุญาตการเข้าถึงเฉพาะจุดเชื่อมต่อ (และบัคเก็ต) ที่ ID บัญชีเฉพาะเป็นเจ้าของ สิ่งนี้ช่วยให้การสร้างนโยบายการเข้าถึงซึ่งอนุญาตการเข้าถึงบัคเก็ตในบัญชีเดียวกันในขณะที่ปฏิเสธการเข้าถึง S3 อื่นๆ ผ่านทางตำแหน่งข้อมูล VPC เป็นเรื่องที่ง่ายขึ้น
• การป้อนชื่อเฉพาะ: S3 Access points ช่วยให้คุณระบุชื่อเฉพาะของแต่ละบัญชีและภูมิภาคได้ ตัวอย่าง คุณสามารถสร้างจุดเข้าถึงเพื่อการทดสอบของทุกบัญชีและภูมิภาคได้

ไม่ว่าจะเป็นการสร้างจุดเชื่อมต่อสำหรับการส่งผ่านข้อมูลการแปลงการเข้าถึงแบบอ่านอย่างจำกัด หรือการเข้าถึงแบบไม่จำกัด การใช้ S3 Access Points จะช่วยให้การสร้างสรรค์และบำรุงรักษาการเข้าถึงบัคเก็ต S3 ที่แชร์ทำได้ง่ายขึ้น

คุณสามารถเริ่มสร้างจุดเข้าถึงได้โดยไม่เสียค่าใช้จ่ายเพิ่มเติมบนบัคเก็ตของคุณได้ทั้งบัคเก็ตใหม่และเก่า โดยใช้ AWS Management Console, AWS Command Line Interface (CLI), Application Programming Interface (API) และ AWS Software Development Kit (SDK) คุณสามารถเพิ่ม ดู และลบจุดเข้าถึงได้อย่างง่ายดายรวมทั้งแก้ไขนโยบายจุดเข้าถึงผ่านคอนโซล S3 และ CLI คุณสามารถกำหนดนโยบายจุดเข้าถึงได้เหมือนกับนโยบายบัคเก็ต โดยใช้กฎ IAM เพื่อจัดการระบบอนุญาต

คุณจะสามารถใช้เทมเพลต CloudFormation เพื่อเริ่มต้นการใช้งานจุดเข้าถึงได้ คุณสามารถควบคุมและตรวจสอบการทำงานของจุดเข้าถึงได้ เช่น "สร้างจุดเข้าถึง" และ "ลบจุดเข้าถึง" โดยใช้บันทึก AWS CloudTrail คุณสามารถควบคุมการใช้จุดเข้าถึงได้โดยใช้การสนับสนุน AWS Organizations สำหรับ AWS SCP ได้