创建多区域接入点
要在 Amazon S3 中创建多区域接入点,请执行以下操作:
-
指定多区域接入点的名称。
-
在每个 Amazon Web Services 区域中选择一个桶,以便为针对多区域接入点的请求提供服务。
-
为多区域接入点配置 Amazon S3 屏蔽公共访问权限设置。
您可以在创建请求中提供所有这些信息,Amazon S3 将异步处理该请求。Amazon S3 为您提供了一个令牌,您可以使用该令牌监控异步创建请求状态。
确保保存策略之前解决来自 Amazon Identity and Access Management Access Analyzer 的安全警告、错误、一般警告和建议。IAM Access Analyzer 将根据 IAM 策略语法和最佳实践运行策略检查,以验证您的策略。这些检查项生成结果并提供可操作的建议,可帮助您编写可操作且符合安全最佳实践的策略。要了解有关使用 IAM Access Analyzer 验证策略的更多信息,请参阅 IAM 用户指南中的 IAM Access Analyzer 策略验证。要查看 IAM Access Analyzer 返回的警告、错误和建议的列表,请参阅 IAM Access Analyzer 策略检查引用。
使用 API 时,创建多区域接入点的请求是异步的。当提交创建多区域接入点的请求时,Amazon S3 会同步授权该请求。然后,它会立即返回一个您可以用来跟踪创建请求进度的令牌。有关跟踪异步请求以创建和管理多区域接入点的详细信息,请参阅 将多区域接入点与支持的 API 操作结合使用。
创建多区域接入点后,可以为其创建访问控制策略。每个多区域接入点都可以有一个关联的策略。多区域接入点策略是一个基于资源的策略,您可以使用它来按资源、用户或其他条件限制多区域接入点的使用。
注意
要使应用程序或用户能够通过多区域接入点访问对象,以下两个策略都必须允许此请求:
-
多区域接入点的访问策略
-
包含对象的底层桶的访问策略
这两个策略不同时,限制性较强的策略优先。
要简化多区域接入点的权限管理,您可以将桶中的访问控制委托给多区域接入点。有关更多信息,请参阅 多区域接入点策略示例。
通过现有桶名称或 Amazon 资源名称(ARN)访问桶时,将桶与多区域接入点结合使用不会更改桶的行为。针对桶的所有现有操作将继续像以前一样运行。您在多区域接入点策略中包括的限制仅适用于通过多区域接入点发出的请求。
您可以在创建多区域接入点后更新策略,但无法删除该策略。但是,您可以更新多区域接入点策略以拒绝所有权限。