Tổng quan
Khách hàng sử dụng Amazon S3 ngày càng nhiều để lưu trữ tập dữ liệu dùng chung, trong đó, các ứng dụng, đội ngũ và cá nhân khác nhau sẽ tổng hợp và truy cập dữ liệu để phân tích, sử dụng công nghệ máy học, giám sát theo thời gian thực hoặc phục vụ các trường hợp sử dụng hồ dữ liệu khác. Để quản lý quyền truy cập vào vùng lưu trữ dùng chung này, bạn cần một chính sách vùng lưu trữ sẽ kiểm soát quyền truy cập cho hàng tá đến hàng trăm ứng dụng với nhiều cấp độ quyền khác nhau. Khi bộ ứng dụng ngày một tăng lên, chính sách vùng lưu trữ cũng trở nên phức tạp hơn, mất nhiều thời gian quản lý hơn và cần kiểm tra để đảm bảo các thay đổi không tạo ra tác động ngoài mong đợi tới ứng dụng khác.
Điểm truy cập Amazon S3, một tính năng của S3, giúp cho việc truy cập dữ liệu cho bất kỳ dịch vụ AWS hoặc ứng dụng khách hàng nào lưu trữ dữ liệu trong S3 trở nên đơn giản. Với Điểm truy cập S3, khách hàng có thể tạo các chính sách kiểm soát truy cập duy nhất cho từng điểm truy cập để dễ dàng kiểm soát quyền truy cập vào tập dữ liệu dùng chung. Khách hàng có tập dữ liệu dùng chung, bao gồm hồ dữ liệu, kho lưu trữ phương tiện và nội dung do người dùng tạo có thể dễ dàng điều chỉnh quy mô quyền truy cập cho hàng trăm ứng dụng bằng cách tạo từng điểm truy cập với tên và quyền tùy chỉnh cho từng ứng dụng. Bạn có thể thiết lập để chỉ cho phép bất kỳ điểm truy cập nào truy cập vào Đám mây riêng ảo (VPC) nhằm tạo tường lửa cho hoạt động truy cập dữ liệu S3 trong mạng riêng tư của khách hàng và bạn có thể dùng Chính sách kiểm soát dịch vụ AWS để đảm bảo tất cả các điểm truy cập chỉ có thể truy cập vào VPC. Điểm truy cập S3 được cung cấp miễn phí cho tất cả các khu vực.
Điểm truy cập S3 hoạt động như thế nào?
Mỗi Điểm truy cập S3 được đặt cấu hình với một chính sách truy cập theo từng trường hợp sử dụng hoặc ứng dụng. Ví dụ: Bạn có thể tạo một điểm truy cập cho vùng lưu trữ S3. Điểm truy cập này sẽ cấp quyền truy cập vào kho dữ liệu của bạn cho các nhóm người dùng hoặc ứng dụng. Điểm truy cập có thể hỗ trợ một người dùng hoặc ứng dụng hay nhiều nhóm người dùng hoặc ứng dụng trong phạm vi hoặc giữa các tài khoản, đồng thời cho phép quản lý riêng từng điểm truy cập.
Mỗi điểm truy cập liên kết với một vùng lưu trữ, gồm có một kiểm soát gốc mạng và một kiểm soát Chặn quyền truy cập công cộng. Ví dụ: Bạn có thể tạo một điểm truy cập với một kiểm soát gốc mạng chỉ cho phép truy cập vào ổ lưu trữ từ Đám mây riêng ảo của bạn, đây là phần bị cô lập theo logic của Đám mây AWS. Bạn cũng có thể tạo một điểm truy cập với chính sách điểm truy cập được đặt cấu hình để chỉ cho phép truy cập vào các đối tượng có tiền tố đã xác định hoặc các đối tượng được gắn thẻ cụ thể. Nếu bạn muốn cung cấp quyền truy cập công khai vào dữ liệu của mình bằng các điểm truy cập, bạn phải tắt Chặn truy cập công cộng ở cấp vùng lưu trữ. Tất cả các vùng lưu trữ mới đều được bật Chặn truy cập công cộng theo mặc định.
Bạn có thể truy cập dữ liệu trong các vùng lưu trữ dùng chung thông qua điểm truy cập theo một trong hai cách. Đối với các hoạt động của đối tượng S3, bạn có thể sử dụng điểm truy cập ARN thay cho tên vùng lưu trữ. Đối với các yêu cầu cần có tên vùng lưu trữ ở định dạng tên vùng lưu trữ S3 tiêu chuẩn, bạn có thể sử dụng bí danh điểm truy cập để thay thế. Bí danh cho Điểm truy cập S3 được tạo tự động và có thể hoán đổi cho nhau bằng tên vùng lưu trữ S3 ở bất kỳ nơi nào bạn sử dụng tên vùng lưu trữ để truy cập dữ liệu. Mỗi khi bạn tạo điểm truy cập cho vùng lưu trữ, S3 sẽ tự động tạo Bí danh điểm truy cập mới. Để biết đầy đủ về các hoạt động và dịch vụ AWS tương thích, hãy truy cập Tài liệu về S3.
Trường hợp nên sử dụng Điểm truy cập S3
Điểm truy cập S3 đơn giản hóa cách bạn quản lý quyền truy cập dữ liệu của bộ ứng dụng đối với các tập dữ liệu dùng chung trên S3. Bạn không còn phải quản lý từng chính sách vùng lưu trữ phức tạp với hàng trăm quy tắc quyền khác nhau cần được ghi, đọc, theo dõi và kiểm tra. Với Điểm truy cập S3, giờ bạn có thể tạo các điểm truy cập dành riêng cho ứng dụng cho phép truy cập vào các tập dữ liệu dùng chung nhờ các chính sách phù hợp với ứng dụng cụ thể.
- Tập dữ liệu chung lớn: Khi sử dụng Điểm truy cập, bạn có thể phân tách một chính sách vùng lưu trữ lớn thành các chính sách điểm truy cập riêng cho từng ứng dụng cần truy cập vào tập dữ liệu chung. Điều này giúp bạn dễ dàng tập trung xây dựng chính sách truy cập phù hợp cho một ứng dụng mà không phải lo lắng rằng mình sẽ can thiệp vào hoạt động của bất kỳ ứng dụng nào khác trong tập dữ liệu dùng chung.
- Sao chép dữ liệu an toàn: Sao chép dữ liệu an toàn ở tốc độ cao giữa các Điểm truy cập trong cùng khu vực bằng cách sử dụng API Sao chép S3 bằng mạng nội bộ AWS và VPC.
- Chỉ cho phép truy cập vào VPC: Điểm truy cập S3 có thể giới hạn toàn bộ hoạt động truy cập vào bộ nhớ S3 ở một Đám mây riêng ảo (VPC). Bạn cũng có thể tạo Chính sách kiểm soát dịch vụ (SCP) và yêu cầu tất cả các điểm truy cập chỉ được truy cập vào một Virtual Private Cloud (VPC), đồng thời tạo tường lửa cho dữ liệu trong mạng riêng của mình.
- Kiểm thử chính sách truy cập mới: Khi sử dụng các điểm truy cập, bạn có thể dễ dàng kiểm thử các chính sách kiểm soát truy cập mới trước khi di chuyển ứng dụng sang điểm truy cập hoặc sao chép chính sách sang một điểm truy cập hiện có.
- Giới hạn quyền truy cập ở ID tài khoản cụ thể: Với Điểm truy cập S3, bạn có thể chỉ định các chính sách Điểm cuối VPC chỉ cho phép các điểm truy cập (và vùng lưu trữ) thuộc sở hữu của các ID tài khoản cụ thể truy cập. Điều này đơn giản hóa việc tạo chính sách truy cập cho phép truy cập vào các bộ chứa trong cùng một tài khoản trong khi từ chối bất kỳ hoạt động truy cập S3 nào khác qua Điểm cuối VPC.
- Cung cấp tên không trùng nhau: Điểm truy cập S3 cho phép bạn chỉ định bất kỳ tên nào không trùng lặp trong tài khoản và khu vực. Ví dụ: Hiện bạn có thể có một điểm truy cập “kiểm thử” trong mọi tài khoản và khu vực.
Dù bạn đang tạo điểm truy cập để nhập dữ liệu, chuyển đổi dữ liệu, tạo điểm truy cập cho quyền truy cập đọc hạn chế hoặc quyền truy cập không hạn chế vào dữ liệu thì Điểm truy cập S3 cũng giúp việc tạo, chia sẻ và duy trì quyền truy cập vào dữ liệu trong các vùng lưu trữ S3 dùng chung trở nên đơn giản.
Trao đổi dữ liệu trên AWS sử dụng Điểm truy cập S3 như thế nào?
Trao đổi dữ liệu trên AWS dành cho Amazon S3 tăng tốc thời gian thu được thông tin chuyên sâu bằng quyền truy cập trực tiếp vào dữ liệu Amazon S3 của nhà cung cấp dữ liệu. Trao đổi dữ liệu trên AWS dành cho Amazon S3 giúp bạn dễ dàng tìm kiếm, đăng ký và sử dụng các tệp dữ liệu của bên thứ ba để tối ưu hóa chi phí lưu trữ, đơn giản hóa việc quản lý cấp phép dữ liệu, v.v.
Sau khi đăng ký, bạn sẽ tự động được cấp quyền truy cập vào vùng lưu trữ S3 của nhà cung cấp thông qua một Điểm truy cập S3 chuyên dụng do dịch vụ Trao đổi dữ liệu trên AWS quản lý. Bạn có thể sử dụng tên gọi khác của Điểm truy cập S3 để dễ dàng phân tích tệp dùng chung cùng các dịch vụ AWS, chẳng hạn như Amazon Athena, Cửa hàng tính năng của Amazon SageMaker và Amazon EMR mà không cần tạo hoặc quản lý các bản sao dữ liệu.
Hãy truy cập trang sản phẩm Trao đổi dữ liệu trên AWS dành cho Amazon S3 để tìm hiểu thêm.
Bắt đầu sử dụng Điểm truy cập S3
Bạn có thể bắt đầu tạo các điểm truy cập miễn phí trên các bộ chứa mới và hiện có thông qua Bảng điều khiển quản lý AWS, Giao diện dòng lệnh (CLI) AWS, Giao diện lập trình ứng dụng (API) và ứng dụng Bộ công cụ phát triển phần mềm (SDK) AWS. Bạn có thể dễ dàng thêm, xem và xóa các điểm truy cập cũng như chỉnh sửa chính sách điểm truy cập thông qua bảng điều khiển S3 và CLI. Bạn có thể viết chính sách điểm truy cập giống như viết chính sách bộ chứa bằng quy tắc IAM để quản lý các quyền.
Bạn cũng sẽ có thể dùng các mẫu CloudFormation để bắt đầu với điểm truy cập. Bạn có thể giám sát và kiểm tra hoạt động của điểm truy cập, chẳng hạn như “tạo điểm truy cập” và “xóa điểm truy cập” thông qua nhật ký AWS CloudTrail. Bạn có thể kiểm soát việc sử dụng điểm truy cập bằng cách sử dụng hỗ trợ Tổ chức AWS cho SCP AWS.
Hãy truy cập tài liệu về Điểm truy cập S3 để tìm hiểu thêm.