Jak skonfigurować punkty dostępu w S3
W środowisku produkcyjnym często spotykamy punkt, w którym musimy świadczyć nasze usługi i aplikacje możliwość dostępu do naszych wiader S3. Musimy zachować te uprawnienia bardzo specyficzne dla każdej usługi lub użytkownika. Stąd każdy z nich otrzymuje tylko te uprawnienia, które są dla nich niezbędne; W przeciwnym razie możemy uzyskać problemy z prywatnością i bezpieczeństwem. Teraz tego rodzaju uprawnieniu do dostępu nie mogą zarządzać zasadami IAM, ponieważ działają one w podobny sposób dla wszystkich naszych użytkowników i aplikacji klientów. Aby rozwiązać ten problem, AWS opracował inną metodę tworzenia punktów dostępu dla każdej usługi, aby każdy użytkownik mógł być połączony z pojedynczym wiadrem S3 za pomocą różnych punktów dostępu. Każdy punkt dostępu można zarządzać osobno za pomocą własnej zasady, która działa z zasadami oryginalnego Bucket. Możesz domyślnie utworzyć tysiąc punktów dostępu w każdym regionie AWS, ale limit ten można zwiększyć, żądając AWS. Te punkty dostępu są również znane jako punkty dostępu do sieci.
W tym artykule zobaczy, jak tworzyć i zarządzać punktami dostępu do naszych wiader S3 w AWS.
Tworzenie punktu dostępu S3 za pomocą konsoli zarządzania
Najpierw musisz zalogować się na swoje konto AWS w przeglądarce za pomocą nazwy użytkownika i hasła. Ponieważ będziemy zarządzać punktami dostępu dla wiader S3, użytkownik musi mieć uprawnienia do zarządzania i uzyskiwania dostępu do usługi S3.
W konsoli zarządzania wyszukaj S3 w górnym pasku wyszukiwania i wybierz usługę S3 z wyników, które pojawiają się poniżej.
Tutaj utworzymy nowe wiadro S3 na naszym koncie, więc po prostu kliknij Utwórz wiadro.
Teraz w wiadrze utwórz sekcję; Musisz podać nazwę wiadra. Nazwa wiadra musi być unikalna w bazie danych całej AWS, ponieważ wiadra S3 są praktycznie hostowanymi stronami internetowymi, więc reguły nazywania wiadra są takie jak nasze role DNS.
Następnie musisz wybrać region AWS, w którym chcesz utworzyć nowe wiadro. Regiony AWS znajdują się na całym świecie w wielu różnych krajach, a każdy region może mieć dwa lub więcej fizycznie izolowanych centrów danych, które nazywamy strefami dostępności. Jako polityka prywatności AWS, dane użytkowników nigdy nie opuszczają regionu bez zgody właściciela. Niezależnie od umieszczenia naszego wiadra S3, do niego można uzyskać dane za pomocą dowolnego regionu na całym świecie.
Następnie w tej sekcji znajdziesz inne ustawienia, takie jak wersja, szyfrowanie i dostęp publiczny itp., Ale możesz po prostu zostawić je jako domyślne i przewinąć w dół, aby kliknąć kliknięcie Utwórz w prawym dolnym rogu, aby zakończyć proces tworzenia wiadra.
Wreszcie, stworzyliśmy nowy wiadro S3 na naszym koncie AWS.
Teraz nasze wiadro jest gotowe, możemy zarządzać punktami dostępu. Po prostu wybierz wiadro, dla którego chcesz utworzyć punkt dostępu i kliknij punkty dostępu z górnego paska menu.
Kliknij Kliknij punkt dostępu, aby rozpocząć konfigurowanie go dla swojego wiadra.
W tej sekcji najpierw musisz zdefiniować nazwę swojego punktu dostępu.
Następnie musisz wybrać, czy chcesz, aby punkt dostępu był dostępny tylko w wirtualnej sieci prywatnej (VPC), czy też chcesz, aby publicznie był dostępny przez Internet. Jeśli chcesz, aby Twoje punkty dostępu były dostępne przez Internet, pamiętaj, aby poprawnie zastosować ustawienia i zasady dostępu publicznego, ponieważ może to mieć problem z bezpieczeństwem danych i prywatnością.
Wreszcie, każdy punkt dostępu można zarządzać za pomocą innej załączonej zasady. Zarówno zasady kubełka, jak i zasady punktu dostępu będą działać w połączony sposób, aby zdecydować, czy użytkownik może uzyskać dostęp do danych za pomocą punktu dostępu. Tutaj po prostu wybieramy domyślną politykę.
Aby zakończyć proces tworzenia, kliknij Utwórz punkt dostępu w prawym przycisku.
Po utworzeniu możesz łatwo przeglądać i zarządzać tym punktami dostępu w sekcji punktu dostępu
Dlatego pomyślnie utworzyliśmy i skonfigurowaliśmy punkt dostępu S3 za pomocą konsoli zarządzania.
Skonfiguruj punkt dostępu S3 za pomocą AWS CLI
Konsola zarządzania AWS zapewnia łatwy sposób zarządzania usługami i zasobami AWS przy użyciu ładnego graficznego interfejsu użytkownika, ale z przemysłowego punktu widzenia ma wiele ograniczeń; Właśnie dlatego większość profesjonalistów woli korzystać z interfejsu wiersza polecenia AWS, aby zajmować się kontami AWS. Możesz ustawić AWS CLI na dowolnym środowisku komputerowym, Mac, Windows lub Linux. Zobaczmy więc, jak możemy utworzyć punkt dostępu S3 za pomocą CLI
Najpierw musimy utworzyć wiadro S3 na naszym koncie AWS. W tym celu musimy uruchomić następujące polecenie.
$: AWS S3API Create-Bucket-Bucket --regionMożesz także potwierdzić tworzenie wiadra, wymieniając dostępne wiadra na koncie AWS. Po prostu użyj następującego polecenia.
$: AWS S3API-BucketsPo zakończeniu tworzenia wiadra możesz teraz skonfigurować punkt dostępu S3. W tym celu musisz uruchomić następujące polecenie w terminalu.
$: AWS S3Control Create-Access-Point-Apact-ID-Bucket --NameMożesz także obserwować wszystkie punkty dostępu skonfigurowane na koncie za pomocą następującego polecenia.
$: AWS S3Control List-Access-Punks-Apact-IDDlatego pomyślnie utworzyliśmy nasz punkt dostępu do sieci S3 za pomocą interfejsu wiersza polecenia AWS. Możesz także zarządzać zasadą kontroli dostępu do sieci i punktów dostępu za pomocą CLI.
Wniosek
S3 Punkty dostępu są bardzo pomocne, jeśli chcesz zapewnić ograniczony dostęp do każdej usługi i aplikacji użytkownika. Korzystając z zasady kubełka, wszyscy użytkownicy mogą mieć takie same uprawnienia, ale używają punktów dostępu; Jeśli jedna aplikacja otrzyma zgodę GetObject, druga może uzyskać prawa PutObject. Aby zapewnić prywatność i bezpieczeństwo wiadra, zapewniając jednocześnie, że każdy konsument uzyska odpowiedni zestaw uprawnień.