Точки доступа Amazon S3

Простое управление доступом к общим наборам данных в Amazon S3

Обзор

Клиенты все чаще используют Amazon S3 для хранения общих наборов данных, где они объединяются и используются различными приложениями, командами и специалистами для аналитики, машинного обучения, мониторинга в реальном времени или других примеров использования озера данных. Для управления доступом к общей корзине требуется единая политика, которая контролирует доступ десятков и сотен приложений с разными уровнями разрешений. По мере роста набора приложений политика корзины становится более комплексной, требует много времени для управления и нуждается в проверке, ведь важно убедиться, что изменения не затрагивают другие приложения.

Функция Amazon S3 Access Points упрощает доступ к хранящимся в S3 данным для любого сервиса AWS или клиентского приложения. С помощью точек доступа S3 клиенты могут создавать индивидуальные политики контроля доступа для каждой точки, чтобы с легкостью управлять доступом к общим наборам данных. Клиенты с общими наборами данных, включая озера данных, мультимедийные архивы и пользовательский контент, могут легко масштабировать доступ для сотен приложений, создавая индивидуальные точки доступа с названиями и разрешениями, настроенными для каждого приложения. Любую точку доступа можно ограничить для виртуального частного облака (VPC), чтобы защитить доступ к данным S3 в частных сетях клиентов, а политики управления сервисами AWS (SCP) можно использовать для проверки этих ограничений. Функция S3 Access Points доступна бесплатно во всех регионах.

Как работает S3 Access Points?

Каждый компонент S3 Access Point настраивается с особой политикой для каждого примера использования и приложения. Например, можно создать точку доступа к корзине S3, которая предоставляет доступ группам пользователей или приложений к озеру данных. Компонент Access Point поддерживает как одного пользователя или приложение, так и группы пользователей и приложений в рамках одного или нескольких аккаунтов, что позволяет раздельно управлять каждой точкой доступа.

Каждая точка доступа связана с одной корзиной и содержит элемент управления источником сети и компонент управления Block Public Access. Например, можно создать точку доступа со средством контроля сетевого источника, которое разрешает доступ к хранилищу только из Virtual Private Cloud, логически изолированного раздела облака AWS. Кроме того, существует возможность создать точку доступа и настроить политику доступа для нее так, чтобы допускались только объекты с определенными префиксами или с конкретными тегами. Если вы хотите предоставить публичный доступ к своим данным с помощью точек доступа, вы должны отключить блокировку публичного доступа на уровне корзины. Во всех новых корзинах по умолчанию включена функция блокировки публичного доступа.

Есть два способа получить данные из общих корзин через точку доступа. Для операций с объектами S3 можно использовать точку доступа ARN вместо имени корзины. Для запросов, требующих имя корзины в стандартном формате S3, можно использовать псевдоним точки доступа. Псевдонимы точек доступа S3 генерируются автоматически и взаимозаменяемы с именами корзин S3 везде, где это имя используется для доступа к данным. Каждый раз при создании точки доступа для корзины, S3 автоматически создает новый псевдоним. Полный список совместимых операций и сервисов AWS см. в документации S3.

Когда использовать точки доступа S3

Точки доступа S3 упрощают управление доступом к данным для вашего приложения, настроенного для общих наборов данных в S3. Больше не нужно управлять единой комплексной политикой корзин с сотнями различных правил разрешений, которые необходимо записывать, читать, отслеживать и проверять. Точки доступа S3 позволяют создавать для конкретных приложений точки доступа, которые разрешают доступ к общим наборам данных с помощью политик, соответствующих конкретным приложениям.

  • Большие общие наборы данных. С помощью точек доступа можно разделить большую политику корзины на отдельные политики точек доступа для каждого приложения, которому требуется доступ к общим наборам данных. Это позволяет сосредоточиться на создании правильной политики доступа для приложения и не беспокоиться о нарушениях, вызванных работой других приложений с общими наборами данных.
  • Безопасное копирование данных. Копируйте данные между точками доступа одного региона безопасно и с высокой скоростью с помощью API S3 Copy, внутренних сетей AWS и VPC.
  • Ограничение доступа к VPC. Точка доступа S3 может полностью ограничить доступ к хранилищу S3 из виртуального частного облака (VPC). Можно также создать политику управления сервисами (SCP) и сделать обязательным требованием для всех точек доступа получение запросов только из Virtual Private Cloud (VPC). Это позволит защитить данные в частных сетях.
  • Тестирование новых политик доступа. С помощью точек доступа можно легко тестировать новые политики управления доступом перед миграцией приложений к точке доступа или копированием политики для существующей точки доступа.
  • Ограничение доступа для определенных ID аккаунтов. Точки доступа S3 позволяют указать политики адреса VPC, разрешающие доступ только к тем точкам (следовательно и к корзине), которые принадлежат определенным ID аккаунтов. Это упрощает создание политик доступа, которые разрешают доступ к корзинам в пределах одного аккаунта и блокируют любой другой доступ к S3 с использованием адреса VPC.
  • Создание уникального названия. Точки доступа S3 позволяют выбрать любое название, уникальное в пределах аккаунта и региона. Например, теперь можно создать точку доступа test во всех аккаунтах и регионах.

Независимо от того, создается ли точка доступа для сбора данных, трансформации, ограниченного или неограниченного доступа для чтения, использование S3 Access Points упрощает создание, общее использование и поддержание доступа к данным общих корзин S3.

Как Обмен данными AWS использует Точки доступа S3?

Обмен данными AWS для Amazon S3 ускоряет время получения информации благодаря прямому доступу к данным Amazon S3 от поставщиков данных. Обмен данными AWS для Amazon S3 помогает легко искать данные, подписываться на них и использовать файлы данных сторонних производителей для оптимизации затрат на хранение, упрощенного управления лицензированием данных и многого другого. 

После подписки вам автоматически предоставляется доступ к корзине S3 поставщика через специальную точку доступа S3, управляемую сервисом Обмен данными AWS. Вы можете использовать псевдоним точки доступа S3, чтобы легко анализировать общие файлы с помощью сервисов AWS, таких как Amazon Athena, Хранилище функций Amazon SageMaker и Amazon EMR, без необходимости создавать копии данных или управлять ими. 

Посетите страницу решения Обмен данными AWS для Amazon S3, чтобы узнать больше.

Начало работы с точками доступа S3

Создание точек доступа для новых и существующих корзин можно начать без каких-либо дополнительных затрат. Вы можете использовать Консоль управления AWS, Интерфейс командной строки AWS (CLI), интерфейс прикладных задач (API) и клиент пакета средств для разработки приложений AWS (SDK). Можно легко добавлять, просматривать и удалять точки доступа, а также изменять политики точек доступа через консоль S3 и интерфейс командной строки. Можно писать политики точек доступа, также как политику корзины, с помощью правил IAM для управления разрешениями.

Вы также сможете использовать шаблоны CloudFormation, чтобы начать работу с точками доступа. С помощью журналов AWS CloudTrail можно отслеживать и проверять операции с точками доступа, например их создание и удаление. Вы можете контролировать использование точек доступа с помощью поддержки Организаций AWS для SCP AWS.

Чтобы ознакомиться с более подробной информацией, см. документацию о Точках доступа S3.