S3 on Outposts 的 Amazon PrivateLink - Amazon Simple Storage Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

S3 on Outposts 的 Amazon PrivateLink

通过将 Amazon PrivateLink 用于 Amazon S3 on Outposts,您可以在 Virtual Private Cloud (VPC) 中配置接口 VPC 端点,以通过 S3 on Outposts 存储桶管理端点管理 API 管理 S3 on Outposts 部署。通过虚拟专用网络 (VPN) 或 Amazon Direct Connect,可以直接从部署在 VPC 中或本地的应用程序访问接口 VPC 端点。您可以通过 Amazon PrivateLink 访问存储桶管理和端点管理 API。Amazon PrivateLink 不支持数据传输 API 操作,例如 GET、PUT 和类似的 API。这些操作是通过 S3 on Outposts 端点和访问点配置私密传输的。有关更多信息,请参阅S3 on Outposts 的网络

接口端点由一个或多个弹性网络接口 (ENI) 代表,这些接口是从 VPC 中的子网分配的私有 IP 地址。向 S3 on Outposts 的接口端点发出的请求将自动路由到 Amazon 网络上的 S3 on Outposts 存储桶管理和端点管理 API。您还可以通过 Amazon Direct Connect 或 Amazon Virtual Private Network (Amazon VPN) 从本地部署应用程序访问 VPC 中的接口端点。有关如何将 VPC 与本地网络连接的更多信息,请参阅 Amazon Direct Connect 用户指南Amazon Site-to-Site VPN 用户指南

接口端点通过 Amazon 网络和通过 Amazon PrivateLink 路由对 S3 on Outposts 存储桶管理和端点管理 API 的请求,如下图所示。


            数据流图显示了接口端点如何通过 Amazon 网络和使用 Amazon PrivateLink 路由对 S3 on Outposts 存储桶管理和端点管理 API 的请求。

有关接口端点的一般信息,请参阅 Amazon PrivateLink 指南中的接口 VPC 端点 (Amazon PrivateLink)

当您通过 Amazon PrivateLink 访问 S3 on Outposts 存储桶管理和端点管理 API 时,将适用 VPC 限制。有关更多信息,请参阅 Amazon PrivateLink 指南中的接口端点属性和限制以及 Amazon PrivateLink 配额

此外,Amazon PrivateLink 不支持以下内容:

访问 S3 on Outposts 接口端点

要使用 Amazon PrivateLink 访问 S3 on Outposts 存储桶管理和端点管理 API,您必须 更新应用程序以使用特定于端点的 DNS 名称。创建接口端点时,Amazon PrivateLink 会生成两种特定于端点的 S3 on Outposts 名称:区域可用区

  • 区域 DNS 名称 – 包括唯一的 VPC 端点 ID、服务标识符、Amazon Web Services 区域和 vpce.amazonaws.com,例如 vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com

  • 可用区 DNS 名称 – 包括唯一的 VPC 端点 ID、可用区、服务标识符、Amazon Web Services 区域和 vpce.amazonaws.com,例如 vpce-1a2b3c4d-5e6f-us-east-1a.s3-outposts.us-east-1.vpce.amazonaws.com。如果您的架构隔离了可用区,则可以使用此选项。例如,您可以将可用区 DNS 名称用于故障控制或降低区域数据传输成本。

可以从 S3 on Outposts 公有 DNS 域解析特定于端点的 S3 on Outposts DNS 名称。S3 on Outposts 接口端点也支持接口端点的私有 DNS 功能。有关用于接口端点的私有 DNS 的更多信息,请参阅 Amazon PrivateLink 指南

使用 --region--endpoint-url 参数,通过 S3 on Outposts 接口端点访问存储桶管理和端点管理 API。

例 :使用端点 URL 列出具有 S3 控制 API 的存储桶

在以下示例中,将区域 us-east-1、VPC 端点 URL vpce-1a2b3c4d-5e6f.s3.us-east-1.vpce.amazonaws.com 和账户 ID 111122223333 替换为相应的信息。

aws s3control list-regional-buckets --region us-east-1 --endpoint-url https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com --account-id 111122223333

将 SDK 更新到最新版本,然后将客户端配置为使用端点 URL 访问 S3 on Outposts 接口端点的 S3 控制 API。有关更多信息,请参阅适用于 Amazon PrivateLink 的 Amazon SDK 示例

SDK for Python (Boto3)

例 :使用端点 URL 访问 S3 控制 API

在以下示例中,将区域 us-east-1 和 VPC 端点 URL vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com 替换为相应的信息。

control_client = session.client( service_name='s3control', region_name='us-east-1', endpoint_url='https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com' )
SDK for Java 2.x

例 :使用端点 URL 访问 S3 控制 API

在以下示例中,将 VPC 端点 URL vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com 和区域 Region.US_EAST_1 替换为相应的信息。

// control client Region region = Region.US_EAST_1; s3ControlClient = S3ControlClient.builder().region(region) .endpointOverride(URI.create("https://vpce-1a2b3c4d-5e6f.s3-outposts.us-east-1.vpce.amazonaws.com")) .build()

更新本地 DNS 配置

使用特定于端点的 DNS 名称访问适用于 S3 on Outposts 存储桶管理和端点管理 API 的接口端点时,您不必更新本地 DNS 解析程序。您可以使用来自公有 S3 on Outposts DNS 域的接口端点的私有 IP 地址解析特定于端点的 DNS 名称。

为 S3 on Outposts 创建 VPC 端点

要为 S3 on Outposts 创建 VPC 接口端点,请参阅《Amazon PrivateLink 指南》中的创建 VPC 端点

为 S3 on Outposts 创建存储桶策略和 VPC 端点策略

您可以向 VPC 端点附加用于控制对 S3 on Outposts 的访问的端点策略。您还可以在 S3 on Outposts 存储桶策略中使用 aws:sourceVpce 条件来限制从特定 VPC 端点访问特定的存储桶。使用 VPC 端点策略,您可以控制对 S3 on Outposts 存储桶管理 API 和端点管理 API 的访问。使用存储桶策略,您可以控制对 S3 on Outposts 存储桶管理 API 的访问。但是,您无法使用 aws:sourceVpce 管理对 S3 on Outposts 的对象操作的访问。

S3 on Outposts 的访问策略指定以下信息:

  • 允许或拒绝其操作的 Amazon Identity and Access Management (IAM) 主体。

  • 允许或拒绝的 S3 控制操作。

  • 允许或拒绝其操作的 S3 on Outposts 资源。

以下示例显示了限制对存储桶或端点的访问的策略。有关 VPC 连接的更多信息,请参阅 Amazon 白皮书 Amazon Virtual Private Cloud 连接性选项中的 Network-to-VPC connectivity options(从网络到 VPC 的连接性选项)。

重要
  • 当您如本节所述对 VPC 端点应用示例策略时,您可能会无意中阻止对存储桶的访问权限。存储桶权限会限制存储桶访问源自 VPC 端点的连接,而这可能会阻止到存储桶的所有连接。有关如何修复此问题的信息,请参阅我的存储桶策略有错误的 VPC 或 VPC 端点 ID。Amazon Web Services Support 知识中心内的如何修复策略才能访问存储桶?

  • 在使用以下示例桶策略之前,请将 VPC 端点 ID 替换为适合您的使用案例的值。否则,您将无法访问您的存储桶。

  • 如果您的策略仅允许从特定 VPC 端点访问 S3 on Outposts 存储桶,它将禁用通过控制台访问该存储桶,因为控制台请求不是源自指定的 VPC 端点。

您可以创建一个端点策略以仅允许访问特定的 S3 on Outposts 存储桶。以下策略将 GetBucketPolicy 操作的访问权限仅限于 example-outpost-bucket。要使用此策略,请将示例值替换为您自己的值。

{ "Version": "2012-10-17", "Id": "Policy1415115909151", "Statement": [ { "Sid": "Access-to-specific-bucket-only", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:GetBucketPolicy", "Effect": "Allow", "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket" } ] }

以下 S3 on Outposts 存储桶策略拒绝通过 vpce-1a2b3c4d VPC 端点访问 example-outpost-bucket 存储桶上的 GetBucketPolicy。

aws:sourceVpce 条件指定端点,不需要 VPC 端点资源的 Amazon 资源名称 (ARN),只需要端点 ID。要使用此策略,请将示例值替换为您自己的值。

{ "Version": "2012-10-17", "Id": "Policy1415115909152", "Statement": [ { "Sid": "Deny-access-to-specific-VPCE", "Principal": {"AWS":"111122223333"}, "Action": "s3-outposts:GetBucketPolicy", "Effect": "Deny", "Resource": "arn:aws:s3-outposts:region:123456789012:outpost/op-01ac5d28a6a232904/bucket/example-outpost-bucket", "Condition": { "StringEquals": {"aws:sourceVpce": "vpce-1a2b3c4d"} } } ] }