S3 Access Points 如何運作?

Diagram_S3_Access_Points

每個 S3 Access Point 針對用例或應用程式設定的存取規則。例如,您可以為 S3 儲存貯體建立一個存取點,將資料湖泊的存取權限授予一組使用者或應用程式。S3 Access Point 可以支援單個使用者或應用程式,或一組使用者或應用程式,單獨管理每個存取點。

每個存取點都關聯一個儲存貯體,並包含一個網路原始控制和一個區塊公共存取控制。例如,您可以建立帶有網路原始控制的存取點,僅允許從您的 Virtual Private Cloud,AWS 雲端的邏輯隔離區段,進行存儲存取。您還可以建立存取點,利用存取點規則僅允許存取具有自定首碼,例如 “finance”,的物件。

由於每個存取點都包含一個唯一的 DNS 名稱,因此您現在可以在 AWS 帳戶和區域內選擇任何唯一的名稱,用以定址現有和新的儲存貯體。您現在可透過受 VPC 限制的存取點,以簡易、可稽核的方式確保 S3 資料保留在您的 VPC 內。此外,您現在可以透過 AWS 服務控制政策,要求組織中任何新存取點都僅限 VPC 存取。

使用 S3 Access Point 的時機

S3 Access Point 簡化了管理資料存取的方式,讓您的應用程式集在 S3 上存取您的共享資料集。您不再需要透過上百個不同權限規則,每個都需要撰寫、閱讀、追踪、稽核,才能管理單一複雜的儲存貯體規則。透過 S3 Access Point,您現在可以建立個別應用程式的存取點,允許使用針對特定應用程式定制的規則來存取共享資料集。

  • 大共享資料集:透過 Access Points,您可以針對需要存取共享資料集的每個應用程式,將一個較大的儲存貯體規則拆解為單獨分散的存取點規則。流程變得更加簡單,使用者可專注於為應用程式建立正確的存取規則,而不必擔心影響其他正在存取共享資料集的應用程式。
  • 限制存取 VPC:S3 Access Point 可將所有 S3 存儲存取限制為來自 Virtual Private Cloud (VPC)。 您還可以建立服務控制政策 (SCP),並要求將所有存取點都限制在 Virtual Private Cloud (VPC) 中,讓您的資料受到專用網路的防火牆保護。
  • 測試新的存取規則:透過存取點,您可以先輕鬆測試新的存取控制規則,再將應用程式遷移至存取點,或將規則複製到現有存取點。
  • 限制特定帳戶 ID 的存取:透過 S3 Access Point,您可以指定 VPC 端點規則,僅允許存取特定帳戶 ID 所擁有的存取點 (即儲存貯體)。這簡化了存取規則的建立,允許存取相同帳戶中的儲存貯體,同時拒絕透過 VPC 端點進行任何其他 S3 存取。
  • 提供唯一名稱:S3 Access Point 允許您指定帳戶和區域內任何唯一的名稱。例如,您現在可以在每個帳戶和區域中都有個「測試」存取點。

無論是提取、轉換、限制讀取權限、或無限制存取資料,透過 S3 Access Points,建立存取點,都可以簡化建立與維護的工作,存取共享的 S3 儲存貯體。

S3 Access Point 入門

您可以透過 AWS 管理主控台、AWS 命令列介面 (CLI),應用程式開發介面 (API) 和 AWS 軟體開發工具包 (SDK) 用戶端,在新儲存貯體以及現有儲存貯體上免費建立存取點。您可以透過 S3 主控台和 CLI 輕鬆新增、查看和刪除存取點,以及編輯存取點規則。和存儲區規則一樣,您可以編寫存取點規則,透過 IAM 規則來管理權限。

您還可以利用 CloudFormation 範本開始使用存取點。您可以透過 AWS CloudTrail 日誌監視與稽核存取點操作,例如「建立存取點」和「刪除存取點」。您可以利用 AWS Organizations 對 AWS SCP 的支援來控制存取點的用量。

Product-Page_Standard-Icons_01_Product-Features_SqInk
進一步了解產品定價

Pay only for what you use.There is no minimum fee.

Learn more 
Product-Page_Standard-Icons_02_Sign-Up_SqInk
Sign up for a free account

Instantly get access to the AWS Free Tier. 

Sign up 
Product-Page_Standard-Icons_03_Start-Building_SqInk
開始在主控台進行建置

開始在 AWS 管理主控台使用 Amazon S3 進行建置。

登入