创建多区域访问点
要在 Amazon S3 中创建多区域访问点,请指定名称,在每个您想要伺服多区域访问点请求的 Amazon Web Services 区域 中选择一个存储桶,并为多区域访问点配置 Amazon S3 阻止公共访问设置。您可以在创建请求中提供此信息,Amazon S3 将异步处理该请求。Amazon S3 为您提供了一个令牌,您可以使用该令牌监控异步创建请求状态。
确保保存策略之前解决来自 Amazon Identity and Access Management Access Analyzer 的安全警告、错误、一般警告和建议。IAM Access Analyzer 将根据 IAM policy grammar(策略语法)和 best practices(最佳实践)运行策略检查,以验证您的策略。这些检查项生成结果并提供可操作的建议,可帮助您编写可操作且符合安全最佳实践的策略。要了解有关使用 IAM Access Analzer 验证策略的更多信息,请参阅的 IAM 用户指南中的 IAM Access Analyzer 策略验证。要查看 IAM Access Analyzer 返回的警告、错误和建议的列表,请参阅 IAM Access Analyzer 策略检查引用。
使用 API 时,创建多区域访问点的请求是异步的。当提交创建多区域访问点的请求时,Amazon S3 会同步授权该请求。然后,它会立即返回一个您可以用来跟踪创建请求进度的令牌。有关跟踪异步请求以创建和管理多区域访问点的详细信息,请参阅 管理多区域访问点。
创建多区域访问点后,可以为其创建访问控制策略。每个多区域访问点都可以有一个关联的策略。多区域访问点策略是一个基于资源的策略,您可以按资源、用户或其他条件限制多区域访问点的使用。
注意
要使应用程序或用户能够通过多区域访问点访问对象,多区域访问点访问策略和包含该对象的底层存储桶的访问策略都必须允许请求。这两个策略不同时,限制性较强的策略优先。
通过现有存储桶名称或 Amazon Resource Name (ARN) 访问存储桶时,使用带多区域访问点结合的存储桶不会更改存储桶的行为。针对存储桶的所有现有操作将继续像以前一样运行。您在多区域访问点策略中包括的限制仅适用于通过多区域访问点发出的请求。
您可以在创建多区域访问点后更新策略,但无法删除该策略。删除策略最接近的近似方法是更新多区域访问点策略以拒绝所有权限。
主题
命名 Amazon S3 多区域访问点的规则
创建多区域访问点时,您可以为其指定一个名称,该名称是您选择的字符串。创建多区域访问点后,无法更改该访问点的名称。名称在您的 Amazon Web Services 账户 中必须唯一,必须符合 多区域访问点限制和限制 中列出的命名要求。要帮助您识别多区域访问点,请使用对您、您的组织有意义或能够反映场景的名称。
在调用多区域访问点管理操作,如 GetMultiRegionAccessPoint 和 PutMultiRegionAccessPointPolicy,您使用此名称。该名称不用于向多区域访问点发送请求,也不需要向使用多区域访问点发出请求的客户端公开。
Amazon S3 创建多区域访问点时,会自动为其分配一个别名。此别名是唯一结尾为 .mrap 的字母数字字符串。别名用于构建多区域访问点的主机名和 Amazon Resource Name (ARN)。完全限定名称还基于多区域访问点的别名。
您无法根据其别名确定多区域访问点的名称,因此您可以泄露别名,而不会暴露多区域访问点的名称、用途或所有者。Amazon S3 会为每个新的多区域访问点选择别名,不能更改别名。有关多区域访问点寻址的更多信息,请参阅 使用多区域访问点发出请求。
多区域访问点的别名始终是唯一的,不基于多区域访问点的名称或配置。如果创建一个多区域访问点,然后将其删除并创建另一个具有相同名称和配置的访问点,第二个多区域访问点将具有与第一个不同的别名。新的多区域访问点不得具有与之前的多区域访问点相同的别名。
为 Amazon S3 多区域访问点选择存储桶的规则
每个多区域访问点都与您要满足请求的区域相关联。多区域访问点必须与每个区域中的一个存储桶相关联。您可以在请求中指定每个存储桶的名称来创建多区域访问点。每个支持多区域访问点的存储桶必须由拥有多区域访问点相同的 Amazon Web Services 账户 负责。
多个多区域访问点可以使用同一个存储桶。
重要
-
您只能在创建多区域访问点时指定与多区域访问点关联的存储桶。创建该存储桶后,您无法从多区域访问点配置中添加、修改或删除存储桶。要更改存储桶,您必须删除整个多区域访问点,然后创建新的访问点。
-
您无法删除属于多区域访问点的存储桶。如果要删除附加到多区域访问点的存储桶,请先删除多区域访问点。
-
拥有多区域访问点的 Amazon Web Services 账户 也必须拥有关联的存储桶。有关多区域访问点使用权限的更多信息,请参阅 多区域访问点权限。
-
并非所有区域都支持多区域访问点。要查看支持的区域列表,请参阅 多区域访问点限制和限制。
您可以创建复制规则在存储桶之间同步数据。这些规则让您能够自动将数据从源存储桶复制到目标存储桶。将存储桶连接到多区域访问点不会影响复制的工作方式。后面的部分将介绍如何使用多区域访问点配置复制。
重要的是要意识到您向多区域访问点发出请求时,多区域访问点不会考虑哪个存储桶可以满足该请求。这就是为什么建议进行复制的原因。否则,多区域访问点中的某个存储桶可能具有必要的数据,但无法保证它会收到请求。有关更多信息,请参阅 配置用于多区域访问点的存储桶复制。
用 Amazon S3 多区域访问点阻止公有访问
每个多区域访问点都有不同的 Amazon S3 阻止公有访问设置。这些设置与多区域访问点下的存储桶以及同时 Amazon Web Services 账户 拥有多区域访问点和基础存储桶的阻止公共访问设置一起操作。
当 Amazon S3 授权请求时,会应用这些设置的最严格组合。如果任何这些资源(多区域访问点、底层存储桶或所有者账户)的阻止公共访问设置阻止对请求的操作或资源的访问,Amazon S3 将拒绝该请求。
除非您特别需要禁用其中任何设置,我们建议您启用所有阻止公共访问设置。默认情况下,为多区域访问点启用所有阻止公有访问设置。请注意,如果启用了阻止公共访问,则多区域访问点将无法接受基于互联网的请求。
重要
Amazon S3 当前不支持在创建多区域访问点之后更改访问点的阻止公有访问设置。
有关 Amazon S3 阻止公有访问的更多信息,请参阅 阻止对您的 Amazon S3 存储的公有访问。
创建 Amazon S3 多区域访问点
以下示例演示如何使用 Amazon Web Services Management Console 创建多区域访问点。
创建多区域访问点
登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon S3 控制台:https://console.aws.amazon.com/s3/
。 -
在导航窗格中,选择多区域访问点。
-
在多区域访问点名称字段中,为多区域访问点提供名称。
-
要选择将与此多区域访问点关联的存储桶,请选择添加存储桶。
要新建存储桶,请选择新建存储桶。创建存储桶后,选择添加存储桶将存储桶添加到多区域访问点。
有关创建存储桶的更多信息,请参阅创建存储桶。
-
在阻止访问点的公有访问设置下,选择要应用于多区域访问点的阻止公有访问设置。默认情况下为新的多区域访问点启用所有阻止公有访问设置。除非您有特定的需求要禁用任何一个设置,我们建议您保持启用所有设置。
注意
Amazon S3 当前不支持在创建多区域访问点之后更改多区域访问点的阻止公有访问设置。
-
选择创建多区域访问点。
您可以使用 Amazon CLI 创建多区域访问点。请记住,创建多区域访问点时,您需要提供要支持的所有存储桶。创建多区域访问点后,无法将存储桶添加到多区域访问点。
以下示例用 Amazon CLI 创建一个具有两个存储桶的多区域访问点。
aws s3control create-multi-region-access-point --account-id111122223333--details '{ "Name": "simple-multiregionaccesspoint-with-two-regions", "PublicAccessBlock": { "BlockPublicAcls": true, "IgnorePublicAcls": true, "BlockPublicPolicy": true, "RestrictPublicBuckets": true }, "Regions": [ { "Bucket": "" }, { "Bucket": "DOC-EXAMPLE-BUCKET1" } ] }' --region us-west-2DOC-EXAMPLE-BUCKET2