In einer Produktionsumgebung stoßen wir häufig auf einen Punkt, an dem wir unsere Dienste und Anwendungen zur Verfügung stellen müssen, um auf unsere S3 -Eimer zuzugreifen. Wir müssen diese Berechtigungen für jeden Dienst oder Benutzer sehr spezifisch halten. Daher erhält jeder von ihnen nur diese Berechtigungen, die für sie notwendig sind; Andernfalls können wir Datenschutz- und Sicherheitsprobleme erhalten. Diese Art der Zugriffsgenehmigung kann nun nicht von den IAM -Richtlinien verwaltet werden, da sie für alle unsere Benutzer und Kundenanwendungen auf ähnliche Weise wirken. Um dieses Problem zu beheben, hat AWS eine andere Methode entwickelt, um Zugriffspunkte für jeden Dienst zu erstellen, damit jeder Benutzer mit verschiedenen Zugriffspunkten mit einem einzelnen S3 -Bucket verknüpft werden kann. Jeder Zugangspunkt kann separat mit seiner eigenen Richtlinie verwaltet werden, die mit der Richtlinie des ursprünglichen Eimers funktioniert. In jeder AWS -Region können Sie standardmäßig tausend Zugriffspunkte erstellen. Diese Grenze kann jedoch durch Anfordern von AWS erhöht werden. Diese Zugriffspunkte werden auch als Netzwerkzugriffspunkte bezeichnet.
In diesem Artikel wird das Erstellen und Verwalten von Netzwerkzugriffspunkten für unsere S3 -Eimer in AWS erstellt und verwaltet.
Erstellen von S3 Access Point mithilfe der Verwaltungskonsole
Zunächst müssen Sie sich in Ihrem AWS -Konto in Ihrem Browser mit einem Benutzernamen und Passwort anmelden. Da wir Zugriffspunkte für S3 -Eimer verwalten, muss der Benutzer über die Berechtigungen verfügen, um den S3 -Dienst zu verwalten und zugreifen zu können.
Suchen Sie in der Verwaltungskonsole in der oberen Suchleiste nach S3 und wählen Sie S3 -Dienst aus den folgenden Ergebnissen aus.
Hier erstellen wir einen neuen S3 -Bucket in unserem Konto. Klicken Sie einfach auf den Eimer erstellen.
Erstellen Sie jetzt im Eimer einen Abschnitt. Sie müssen einen Eimernamen angeben. Der Bucket -Name muss in der gesamten AWS -Datenbank eindeutig sein, da S3 -Eimer praktisch gehostete Websites sind.
Dann müssen Sie die AWS -Region auswählen, in der Sie einen neuen Eimer erstellen möchten. AWS -Regionen befinden sich weltweit in vielen verschiedenen Ländern, und jede Region kann zwei oder mehr physikalisch isolierte Rechenzentren haben, die wir als Verfügbarkeitszonen bezeichnen. Als AWS -Datenschutzrichtlinie verlassen die Daten der Benutzer eine Region niemals ohne Zustimmung des Eigentümers. Unabhängig von der Platzierung unseres S3 -Eimers können auf die Daten im Inneren mit jeder Region weltweit zugegriffen werden.
Als nächstes finden Sie andere Einstellungen in diesem Abschnitt wie Versioning, Verschlüsselung und öffentlichen Zugriff usw., Sie können sie jedoch einfach als Standard lassen und nach unten scrollen, um in der unteren rechten Ecke auf den Eimer erstellen zu klicken, um den Erstellungsprozess der Eimer zu beenden.
Schließlich haben wir in unserem AWS -Konto einen neuen S3 -Bucket erstellt.
Jetzt ist unser Eimer fertig, wir können die Zugangspunkte verwalten. Wählen Sie einfach den Eimer aus, für den Sie einen Zugriffspunkt erstellen möchten, und klicken Sie auf die Zugriffspunkte in der oberen Menüleiste.
Klicken Sie auf den Zugriffspunkt erstellen, um ihn für Ihren Eimer zu konfigurieren.
In diesem Abschnitt müssen Sie zunächst einen Namen für Ihren Zugriffspunkt definieren.
Als nächstes müssen Sie auswählen, ob Ihr Zugriffspunkt nur in Ihrem virtuellen privaten Netzwerk (VPC) zugänglich ist, oder Sie möchten es über das Internet öffentlich zugänglich machen. Wenn Sie möchten, dass Ihre Zugriffspunkte über das Internet verfügbar sind.
Zuletzt kann jeder Zugriffspunkt mithilfe einer anderen Richtlinie verwaltet werden, die wir ihm beigefügt haben. Sowohl die Richtlinie der Bucket- als auch die Zugriffspunktrichtlinie werden kombiniert handeln, um zu entscheiden, ob ein Benutzer mit dem Zugriffspunkt Zugriff auf die Daten erhalten kann. Hier gehen wir einfach mit der Standardrichtlinie.
Um den Erstellungsvorgang zu vervollständigen.
Nach der Erstellung können Sie diese Zugriffspunkte im Abschnitt Access Point problemlos anzeigen und verwalten
Daher haben wir einen S3 -Zugriffspunkt mit der Verwaltungskonsole erfolgreich erstellt und konfiguriert.
Konfigurieren Sie den S3 -Zugriffspunkt mit AWS CLI
Die AWS -Management -Konsole bietet eine einfache Möglichkeit, AWS -Dienste und -Ressourcen mithilfe einer schönen grafischen Benutzeroberfläche zu verwalten. Aus industrieller Sicht hat dies jedoch viele Einschränkungen. Aus diesem Grund bevorzugen die meisten Fachleute die AWS-Befehlszeilenschnittstelle, um mit AWS-Konten umzugehen. Sie können AWS CLI in jeder Desktop -Umgebung einstellen, entweder Mac, Windows oder Linux. Lassen Sie uns also sehen, wie wir mit der CLI einen S3 -Zugriffspunkt erstellen können
Zunächst müssen wir einen S3 -Bucket in unserem AWS -Konto erstellen. Dafür müssen wir den folgenden Befehl ausführen.
$: AWS S3API CREATE-BUCKET-BUCKET-RegionSie können die Erstellung von Eimer auch bestätigen, indem Sie die verfügbaren Eimer in Ihrem AWS -Konto auflisten. Verwenden Sie einfach den folgenden Befehl.
$: AWS S3API LIST-BICKETSSobald die Erstellung der Eimer abgeschlossen ist, können Sie jetzt den S3 -Zugriffspunkt konfigurieren. Dazu müssen Sie den folgenden Befehl im Terminal ausführen.
$: AWS S3CONTROL CREATE-ACCESS-Punkt-Account-ID--Bucket-Sie können auch alle in Ihrem Konto konfigurierten Zugriffspunkte über den folgenden Befehl beobachten.
$: AWS S3Control List-Access-Punkte-Account-IDDaher haben wir unseren S3-Netzwerkzugriffspunkt mit der AWS-Befehlszeilenschnittstelle erfolgreich erstellt. Sie können auch die Richtlinie zur Steuerung und Zugriffspunkt für Netzwerkzugriffs mit der CLI verwalten.
Abschluss
S3 -Zugriffspunkte sind sehr hilfreich, wenn Sie einen begrenzten Zugriff auf jeden Service und die Benutzeranwendung gewähren möchten. Mithilfe der Bucket -Richtlinie erhalten alle Benutzer die gleichen Berechtigungen, verwenden jedoch Zugriffspunkte. Wenn ein Antrag die Erlaubnis von GetObject erhält, kann die andere PutObject -Rechte erhalten. So können sie Ihre Privatsphäre und Sicherheit Ihres Eimers gewährleisten und gleichzeitig sicherstellen, dass jeder Verbraucher die richtigen Berechtigungen erhält, die er benötigt, um seinen Job erfolgreich auszuführen.