Visão geral
Os clientes usam cada vez mais o Amazon S3 para armazenar conjuntos de dados compartilhados, em que os dados são agregados e acessados por diferentes aplicações, equipes e indivíduos, seja para análise, machine learning, monitoramento em tempo real ou outros casos de uso do data lake. Gerenciar o acesso a este bucket compartilhado requer uma única política de bucket que controla o acesso para dezenas a centenas de aplicações com diferentes níveis de permissão. À medida que um conjunto de aplicativos cresce, a política de bucket se torna mais complexa, demorada para gerenciar e precisa ser auditada para garantir que as alterações não tenham um impacto inesperado em outro aplicativo.
Os pontos de acesso do Amazon S3, um recurso do S3, simplificam o acesso aos dados para qualquer serviço AWS ou aplicativo de cliente que armazena dados no S3. Com o Pontos de Acesso S3, os clientes podem criar políticas de controle de acesso exclusivas para cada ponto de acesso para controlar facilmente o acesso a conjuntos de dados compartilhados. Os clientes com conjuntos de dados compartilhados, incluindo data lakes, arquivos de mídia e conteúdo gerado pelo usuário, podem facilmente escalar o acesso para centenas de aplicações, criando pontos de acesso individualizados com nomes e permissões personalizados para cada aplicação. Qualquer ponto de acesso pode ser restrito a uma Nuvem privada virtual (VPC) para firewall de acesso a dados do S3 nas redes privadas dos clientes, e as políticas de controle de serviços da AWS podem ser usadas para garantir que todos os pontos de acesso sejam restritos à VPC. Agora, os Pontos de Acesso S3 está disponível em todas as regiões, sem custo adicional.
Como funciona o S3 Access Points?
Cada ponto de acesso do S3 é configurado com uma política de acesso específica para um caso de uso ou aplicativo. Por exemplo, você pode criar um ponto de acesso para seu bucket S3 que conceda acesso para grupos de usuários ou aplicativos para seu data lake. Um ponto de acesso pode suportar um único usuário ou aplicativo, ou grupos de usuários ou aplicativos dentro de e entre contas, permitindo o gerenciamento separado de cada ponto de acesso.
Cada ponto de acesso está associado a um único bucket e contém um controle de origem de rede e um controle Bloquear Acesso Público. Por exemplo, você pode criar um ponto de acesso com um controle de origem de rede que só permite o acesso ao armazenamento de sua Virtual Private Cloud, uma seção isolada logicamente da AWS Cloud. Você também pode criar um ponto de acesso com a política de ponto de acesso configurada para permitir acesso apenas a objetos com prefixos definidos ou a objetos com tags específicas. Se quiser fornecer acesso público aos seus dados usando pontos de acesso, você deve desativar o Bloqueio de acesso público no nível do bucket. Todos os novos buckets têm o Bloqueio de Acesso Público ativado por padrão.
Você pode acessar dados em buckets compartilhados por meio de um ponto de acesso de duas maneiras. Para operações de objeto S3, você pode usar o ponto de acesso ARN no lugar de um nome de bucket. Para solicitações que exigem um nome de bucket no formato de nome de bucket S3 padrão, você pode usar um pseudônimo de ponto de acesso. Pseudônimos para Pontos de Acesso S3 são gerados automaticamente e são intercambiáveis com nomes de bucket S3 em qualquer lugar que você use um nome de bucket para acesso a dados. Cada vez que você cria um ponto de acesso para um bucket, o S3 gera automaticamente um novo Pseudônimo de Ponto de Acesso. Para o conjunto completo de operações compatíveis e serviços AWS, visite a Documentação S3.
Quando usar os Pontos de Acesso S3
O S3 Access Points simplifica como você gerencia o acesso a dados para o seu conjunto de aplicações nos conjuntos de dados compartilhados no S3. Você não precisa mais gerenciar uma política de bucket única e complexa com centenas de regras de permissão diferentes que precisam ser gravadas, lidas, rastreadas e auditadas. Com o Pontos de Acesso S3, agora você pode criar pontos de acesso específicos à aplicação, permitindo o acesso a conjuntos de dados compartilhados com políticas personalizadas para a aplicação específica.
- Conjuntos de dados compartilhados grandes: usando Pontos de Acesso, é possível decompor uma política de bucket grande em políticas de ponto de acesso discretas e separadas para cada aplicação que precise acessar o conjunto de dados compartilhados. Isso simplifica o foco na criação da política de acesso correta para uma aplicação, sem precisar se preocupar em interromper o que qualquer outra aplicação está fazendo no conjunto de dados compartilhados.
- Copie os dados com segurança: Copie dados com segurança em altas velocidades entre Pontos de Acesso da mesma região usando a API de cópia S3 usando redes internas da AWS e VPCs.
- Restrinja o acesso à VPC: um Ponto de Acesso do S3 pode limitar todo o acesso ao armazenamento do S3 a partir de uma Virtual Private Cloud (VPC). Você também pode criar uma Política de controle de serviço (SCP) e exigir que todos os pontos de acesso sejam restritos a uma Virtual Private Cloud (VPC), protegendo seus dados com firewall em suas redes privadas.
- Teste novas políticas de acesso: usando pontos de acesso, você pode testar facilmente novas políticas de controle de acesso antes de migrar aplicações para o ponto de acesso ou copiar a política para um ponto de acesso existente.
- Limite o acesso a IDs de conta específicos: com o S3 Access Points, você pode especificar políticas de VPC endpoint que permitam o acesso apenas a pontos de acesso (e, portanto, buckets) pertencentes a IDs de conta específicos. Isso simplifica a criação de políticas de acesso que permitem o acesso a buckets na mesma conta, enquanto rejeita qualquer outro acesso do S3 por meio do VPC endpoint.
- Forneça um nome exclusivo: o S3 Access Points permite especificar qualquer nome exclusivo na conta e na região. Por exemplo, agora você pode ter um ponto de acesso de “teste” em todas as contas e regiões.
Seja criando um ponto de acesso para absorção de dados, transformação, acesso de leitura restrito ou acesso irrestrito, o uso de pontos de acesso S3 simplifica o trabalho de criação, compartilhamento e manutenção do acesso aos dados em seus buckets S3 compartilhados.
Como o AWS Data Exchange usa o Pontos de Acesso S3?
O AWS Data Exchange para Amazon S3 acelera o tempo de obtenção de informações com acesso direto aos dados do Amazon S3 dos provedores de dados. O AWS Data Exchange para Amazon S3 ajuda você a encontrar, assinar e usar facilmente arquivos de dados de terceiros para otimização de custos de armazenamento, gerenciamento simplificado de licenciamento de dados e muito mais.
Uma vez inscrito, você recebe automaticamente acesso ao bucket do S3 do provedor por meio de um Ponto de acesso do S3 dedicado gerenciado pelo AWS Data Exchange. Você pode usar o alias do Ponto de acesso do S3 para analisar facilmente os arquivos compartilhados com serviços da AWS, como Amazon Athena, Amazon SageMaker Feature Store e Amazon EMR, sem precisar criar ou gerenciar cópias de dados.
Acesse a página do produto AWS Data Exchange para Amazon S3 para saber mais.
Introdução ao S3 Access Points
Você pode começar a criar pontos de acesso, sem custo adicional, em novos buckets e em buckets existentes por meio do Console de Gerenciamento da AWS, da Interface de linha de comando (CLI) da AWS, da API (Interface de programação de aplicativo) e do cliente AWS Software Development Kit (SDK). Você pode adicionar, visualizar e excluir facilmente pontos de acesso, bem como editar políticas de pontos de acesso por meio do console do S3 e da CLI. Você pode escrever políticas de ponto de acesso como uma política de bucket, usando regras do IAM para controlar permissões.
Você também poderá usar modelos do CloudFormation para começar a trabalhar com pontos de acesso. Você pode monitorar e auditar operações do ponto de acesso, como "criar ponto de acesso" e "excluir ponto de acesso" através de logs do AWS CloudTrail. Você pode controlar o uso do ponto de acesso usando o suporte do AWS Organizations para AWS SCPs.
Acesse a documentação do Pontos de Acesso S3 para saber mais.