配置多区域接入点选择加入区域 - Amazon Simple Storage Service
在 Amazon 选择加入区域中使用多区域接入点禁用活动的 Amazon 选择加入区域启用之前禁用的 Amazon 选择加入区域多区域接入点策略和多个 Amazon 账户Amazon 选择加入区域注意事项
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

配置多区域接入点选择加入区域

Amazon 选择加入区域是默认情况下未在您的 Amazon 账户中启用的区域。相比之下,默认情况下启用的区域称为 Amazon Web Services 区域或商业区域。

要开始在 Amazon 选择加入区域中使用多区域接入点,必须在创建多区域接入点之前,手动为您的 Amazon 账户启用选择加入区域。启用选择加入区域后,可以使用选定的选择加入区域中的存储桶创建多区域接入点。有关如何为您的 Amazon 账户或 Amazon 组织启用或禁用选择加入区域的说明,请参阅 Enable or disable a Region for standalone accountsEnable or disable a Region in your organization

注意

目前仅通过 Amazon SDK 和 Amazon CLI 来支持多区域接入点选择加入区域。

S3 多区域接入点支持以下 Amazon 选择加入区域:

  • Africa (Cape Town)

  • Asia Pacific (Hong Kong)

  • Asia Pacific (Jakarta)

  • Asia Pacific (Melbourne)

  • Asia Pacific (Hyderabad)

  • Canada West (Calgary)

  • Europe (Zurich)

  • Europe (Milan)

  • Europe (Spain)

  • Israel (Tel Aviv)

  • Middle East (Bahrain)

  • Middle East (UAE)

注意

启用选择加入区域不需要额外费用。但是,在多区域接入点中创建或使用资源会产生账单费用。

在 Amazon 选择加入区域中使用多区域接入点

要在多区域接入点上执行数据面板操作,所有关联的 Amazon 账户都必须启用作为多区域接入点一部分的选择加入区域。此要求适用于请求者账户、多区域接入点拥有者、S3 存储桶拥有者和 VPC 端点拥有者。如果其中的任何账户未启用 Amazon 选择加入区域,则多区域接入点请求将失败。有关 InvalidTokenAllAccessDisabled 错误的更多信息,请参阅 List of error codes

注意

控制面板操作(例如,更新多区域接入点策略或更新失效转移配置)不受作为多区域接入点一部分的任何区域的选择加入区域状态影响。在删除多区域接入点之前,也不需要禁用任何活动的选择加入区域。

禁用活动的 Amazon 选择加入区域

如果禁用作为多区域接入点一部分的选择加入区域,则路由到此区域的请求将导致 403 AllAccessDisabled 错误。为了安全地禁用选择加入区域,我们建议您首先在多区域接入点配置中确定一个备用区域,以便将流量路由到该区域。然后,可以使用多区域接入点失效转移控制措施来将备用区域标记为主动区域,并将要禁用的区域标记为被动区域。更改失效转移控制措施后,可以禁用要选择退出的区域。

启用之前禁用的 Amazon 选择加入区域

要启用之前为多区域接入点禁用的选择加入 Amazon 区域,请务必更新您的 Amazon 账户设置。重新启用选择加入区域后,运行 PutMultiRegionAccessPointPolicy API 操作,以便将多区域接入点策略应用于选择加入区域。

如果通过 VPC 端点访问多区域接入点,我们建议您更新 VPCE 策略,并使用 ModifyVpcEndpoint API 操作将更新后的 VPC 端点策略应用于重新启用的选择加入区域。

多区域接入点策略和多个 Amazon 账户

如果多区域接入点策略向多个 Amazon 账户授予访问权限,则所有请求者账户还必须在其账户设置中启用相同的选择加入区域。如果请求者账户提交多区域接入点请求,但没有启用作为多区域接入点一部分的选择加入区域,则会导致 400 InvalidToken 错误。

Amazon 选择加入区域注意事项

从选择加入区域访问多区域接入点时,请注意以下几点:

  • 启用选择加入区域后,就可以使用该选择加入区域中的存储桶来创建多区域接入点了。禁用选择加入区域后,选择加入区域将不再支持多区域接入点。如果您不再想为多区域接入点启用选择加入区域,请务必先为您的账户禁用该区域。然后,使用您首选的选择加入区域列表创建一个新的多区域接入点。

  • 如果尝试使用禁用的选择加入区域来创建多区域接入点,则会收到 403 InvalidRegion 错误。启用选择加入区域后,再次尝试创建多区域接入点。

  • 一个多区域接入点支持的最大区域数为 17 个区域。这包括选择加入区域和商业区域。有关更多信息,请参阅多区域接入点限制和局限性

  • 即使您没有选择加入任何区域,对多区域接入点的控制面板请求也会起作用。

  • 首次尝试创建多区域接入点时,必须选择加入所有作为多区域接入点一部分的区域。

  • 通过多区域接入点策略获得对 S3 多区域接入点的访问权限的任何 Amazon 账户,也必须启用作为多区域接入点一部分的相同选择加入区域。