Điểm truy cập S3 hoạt động như thế nào?

Diagram_S3_Access_Points

Mỗi Điểm truy cập S3 được đặt cấu hình với một chính sách truy cập theo từng trường hợp sử dụng hoặc ứng dụng. Ví dụ: Bạn có thể tạo một điểm truy cập cho vùng lưu trữ S3. Điểm truy cập này sẽ cấp quyền truy cập vào kho dữ liệu của bạn cho các nhóm người dùng hoặc ứng dụng. Điểm truy cập có thể hỗ trợ một người dùng hoặc ứng dụng hay nhiều nhóm người dùng hoặc ứng dụng trong phạm vi hoặc giữa các tài khoản, đồng thời cho phép quản lý riêng từng điểm truy cập.

Mỗi điểm truy cập liên kết với một vùng lưu trữ, gồm có một kiểm soát gốc mạng và một kiểm soát Chặn quyền truy cập công cộng. Ví dụ: Bạn có thể tạo một điểm truy cập với một kiểm soát gốc mạng chỉ cho phép truy cập vào ổ lưu trữ từ Đám mây riêng ảo của bạn, đây là phần bị cô lập theo logic của Đám mây AWS. Bạn cũng có thể tạo một điểm truy cập với chính sách điểm truy cập được đặt cấu hình để chỉ cho phép truy cập vào các đối tượng có tiền tố đã xác định hoặc các đối tượng được gắn thẻ cụ thể.

Bạn có thể truy cập dữ liệu trong các vùng lưu trữ dùng chung thông qua điểm truy cập theo một trong hai cách. Đối với các hoạt động của đối tượng S3, bạn có thể sử dụng điểm truy cập ARN thay cho tên vùng lưu trữ. Đối với các yêu cầu cần có tên vùng lưu trữ ở định dạng tên vùng lưu trữ S3 tiêu chuẩn, bạn có thể sử dụng bí danh điểm truy cập để thay thế. Bí danh cho Điểm truy cập S3 được tạo tự động và có thể hoán đổi cho nhau bằng tên vùng lưu trữ S3 ở bất kỳ nơi nào bạn sử dụng tên vùng lưu trữ để truy cập dữ liệu. Mỗi khi bạn tạo điểm truy cập cho vùng lưu trữ, S3 sẽ tự động tạo Bí danh điểm truy cập mới. Để biết đầy đủ về các hoạt động và dịch vụ AWS tương thích, hãy truy cập Tài liệu về S3.

Trường hợp nên sử dụng Điểm truy cập S3

Điểm truy cập S3 đơn giản hóa cách bạn quản lý việc bộ ứng dụng của bạn truy cập vào các bộ dữ liệu dùng chung trên S3. Bạn không còn phải quản lý từng chính sách bộ chứa phức tạp với hàng trăm quy tắc quyền khác nhau cần được ghi, đọc, theo dõi và kiểm tra. Giờ đây, Điểm truy cập S3 có thể giúp bạn tạo các điểm truy cập dành riêng cho ứng dụng, cho phép truy cập vào các bộ dữ liệu dùng chung với các chính sách phù hợp với ứng dụng cụ thể.

  • Bộ dữ liệu dùng chung lớn: Khi sử dụng Điểm truy cập, bạn có thể phân tách một chính sách bộ chứa lớn thành các chính sách điểm truy cập riêng cho từng ứng dụng cần truy cập vào bộ dữ liệu dùng chung. Khi làm như vậy, bạn có thể dễ dàng tập trung xây dựng chính sách truy cập phù hợp cho một ứng dụng mà không phải lo lắng rằng mình sẽ can thiệp vào hoạt động của bất kỳ ứng dụng nào khác trong bộ dữ liệu được chia sẻ.
  • Sao chép dữ liệu an toàn: Sao chép dữ liệu an toàn ở tốc độ cao giữa các Điểm truy cập trong cùng khu vực bằng cách sử dụng API Sao chép S3 bằng mạng nội bộ AWS và VPC.
  • Chỉ cho phép truy cập vào VPC: Điểm truy cập S3 có thể giới hạn toàn bộ hoạt động truy cập vào bộ lưu trữ S3 ở một Đám mây riêng ảo (VPC). Bạn cũng có thể tạo Chính sách kiểm soát dịch vụ (SCP) và yêu cầu tất cả các điểm truy cập chỉ được truy cập vào một Virtual Private Cloud (VPC), tạo tường lửa cho dữ liệu trong mạng riêng tư của mình.
  • Thử nghiệm chính sách truy cập mới: Khi sử dụng các điểm truy cập, bạn có thể dễ dàng thử nghiệm các chính sách kiểm soát truy cập mới trước khi di chuyển ứng dụng sang điểm truy cập hoặc sao chép chính sách sang một điểm truy cập hiện có.
  • Giới hạn quyền truy cập ở ID tài khoản cụ thể: Với Điểm truy cập S3, bạn có thể chỉ định các chính sách Điểm cuối VPC chỉ cho phép các điểm truy cập (và bộ chứa) thuộc sở hữu của các ID tài khoản cụ thể truy cập. Điều này giúp đơn giản hóa việc tạo chính sách truy cập cho phép truy cập vào các bộ chứa trong cùng một tài khoản trong khi từ chối bất kỳ hoạt động truy cập S3 nào khác qua Điểm cuối VPC.
  • Cung cấp tên không trùng nhau: Điểm truy cập S3 cho phép bạn chỉ định bất kỳ tên nào không trùng lặp trong tài khoản và khu vực. Ví dụ: Hiện bạn có thể có một điểm truy cập “kiểm thử” trong mọi tài khoản và khu vực.

Dù bạn đang tạo điểm truy cập để nhập dữ liệu, chuyển đổi dữ liệu, tạo điểm truy cập cho quyền truy cập đọc hạn chế hoặc quyền truy cập không hạn chế vào dữ liệu thì Điểm truy cập S3 cũng giúp việc tạo, chia sẻ và duy trì quyền truy cập vào dữ liệu trong các vùng lưu trữ S3 dùng chung trở nên đơn giản.

Bắt đầu sử dụng Điểm truy cập S3

Bạn có thể bắt đầu tạo các điểm truy cập miễn phí trên các bộ chứa mới và hiện có thông qua Bảng điều khiển quản lý AWS, Giao diện dòng lệnh (CLI) AWS, Giao diện lập trình ứng dụng (API) và ứng dụng Bộ công cụ phát triển phần mềm (SDK) AWS. Bạn có thể dễ dàng thêm, xem và xóa các điểm truy cập cũng như chỉnh sửa chính sách điểm truy cập thông qua bảng điều khiển S3 và CLI. Bạn có thể viết chính sách điểm truy cập giống như viết chính sách bộ chứa bằng quy tắc IAM để quản lý các quyền.

Bạn cũng sẽ có thể dùng các mẫu CloudFormation để bắt đầu với điểm truy cập. Bạn có thể giám sát và kiểm tra hoạt động của điểm truy cập, chẳng hạn như “tạo điểm truy cập” và “xóa điểm truy cập” thông qua nhật ký AWS CloudTrail. Bạn có thể kiểm soát việc sử dụng điểm truy cập bằng cách sử dụng hỗ trợ AWS Organizations cho SCP AWS.

Truy cập tài liệu về Điểm truy cập S3 để tìm hiểu thêm.

Standard Product Icons (Features) Squid Ink
Tìm hiểu thêm về Amazon S3

Dịch vụ lưu trữ được xây dựng để lưu trữ dữ liệu thuộc mọi kích thước và từ mọi nơi.

Tìm hiểu thêm 
Sign up for a free account
Đăng ký tài khoản miễn phí

Nhận ngay quyền sử dụng Bậc miễn phí của AWS. 

Đăng ký 
Standard Product Icons (Start Building) Squid Ink
Bắt đầu xây dựng trong bảng điều khiển

Bắt đầu xây dựng với Amazon S3 trong Bảng điều khiển quản lý AWS.

Đăng nhập