Panoramica
I clienti utilizzano sempre più Amazon S3 per archiviare set di dati condivisi, nei quali i dati vengono aggregati e sono accessibili da applicazioni, team e individui diversi per casi d'uso di analisi, machine learning, monitoraggio in tempo reale o altri casi d'uso relativi ai data lake. La gestione dell'accesso a questo bucket condiviso richiede un'unica bucket policy per controllare l'accesso di dozzine fino ad arrivare a centinaia di applicazioni con diversi livelli di autorizzazione. A mano a mano che un set di applicazioni cresce, la bucket policy diventa più complessa, richiede più tempo per la gestione e deve essere verificata per assicurarsi che le modifiche non abbiano un impatto imprevisto su un’altra applicazione.
Gli Access Point S3 di Amazon, una caratteristica di S3, semplificano l'accesso ai dati per qualsiasi servizio AWS o applicazione del cliente che archivia i dati in S3. Con Punti di accesso S3, i clienti possono creare criteri di controllo degli accessi univoci per ciascun punto di accesso per controllare facilmente l'accesso ai set di dati condivisi. I clienti con set di dati condivisi tra cui data lake, archivi multimediali e contenuti generati dagli utenti possono facilmente gestire l'accesso di centinaia di applicazioni creando punti di accesso personalizzati con nomi e autorizzazioni personalizzati per ogni applicazione. Qualsiasi punto di accesso può essere limitato a un cloud privato virtuale (VPC) per proteggere con firewall l'accesso ai dati di S3 all'interno delle reti private dei clienti e le policy di controllo dei servizi AWS possono essere utilizzate per garantire che tutti i punti di accesso siano limitati al VPC. I Punti di accesso S3 sono ora disponibili in tutte le regioni senza costi aggiuntivi.
Come funziona Access Point S3?
Ogni Access Point S3 è configurato con una policy di accesso specifica per un caso d'uso o un'applicazione. Ad esempio, puoi creare un punto di accesso per il bucket S3 che conceda a gruppi di utenti o applicazioni l'accesso al data lake. Un Access Point può supportare un singolo utente o un'applicazione, o gruppi di utenti o applicazioni e attraverso gli account, permettendo una gestione separata di ciascun punto di accesso.
Ogni punto di accesso è associato a un singolo bucket e contiene un controllo dell’origine della rete e un controllo di tipo Block Public Access. Ad esempio, puoi creare un punto di accesso con un controllo dell'origine della rete che consenta l'accesso all'archiviazione solo dal tuo cloud privato virtuale, una sezione logicamente isolata di AWS Cloud. Inoltre, puoi creare un punto di accesso configurandone la policy in modo da consentire l'accesso solo agli oggetti con un prefisso definito o agli oggetti con tag specifici. Se desideri fornire l'accesso pubblico ai tuoi dati utilizzando i punti di accesso, devi disattivare il Blocco dell'accesso pubblico a livello di bucket. Per impostazione predefinita, in tutti i nuovi bucket è attivato il Blocco dell'accesso pubblico.
Puoi accedere ai dati nei bucket condivisi attraverso un punto di accesso in due modi. Per le operazioni sugli oggetti S3, puoi utilizzarel’ARN del punto di accesso al posto di un nome di bucket. Per le richieste con un nome bucket nel formato del nome bucket S3 standard, puoi invece utilizzare un alias del punto di accesso. Gli alias per i punti di accesso S3 vengono generati automaticamente e sono intercambiabili con i nomi dei bucket S3 ovunque utilizzi un nome di bucket per l'accesso ai dati. Ogni volta che crei un punto di accesso per un bucket, S3 genera automaticamente un nuovo alias punto di accesso. Per il set completo di operazioni e servizi AWS compatibili, visita la Documentazione S3.
Quando utilizzare Punti di accesso S3
Punti di accesso S3 semplifica la gestione delle modalità di accesso ai set di dati condivisi su S3 da parte delle tue applicazioni. Non è più necessario gestire una singola e complessa policy di bucket con centinaia di diverse regole di autorizzazione che devono essere scritte, lette, tracciate e verificate. Con Punti di accesso S3 ora puoi creare punti di accesso specifici dell'applicazione che consentono l'accesso a set di dati condivisi con policy personalizzate per l'applicazione specifica.
- Grandi set di dati condivisi: utilizzando i punti di accesso, puoi scomporre una policy di bucket di grandi dimensioni in policy di punti di accesso separate e discrete per ogni applicazione che accede al set di dati condiviso. Ciò rende più semplice la creazione della giusta policy di accesso per un'applicazione, senza doversi preoccupare di interrompere l'attività di un'altra applicazione all'interno del set di dati condiviso.
- Copia i dati in modo sicuro: copia i dati in modo sicuro ad alta velocità tra i punti di accesso della stessa regione utilizzando l'API di copia S3 usando reti interne AWS e VPC.
- Limitare l’accesso a VPC: un Punto di accesso S3 può limitare l’accesso a tutti gli archivi S3 da un cloud privato virtuale (VPC). Inoltre, puoi creare una policy di controllo del servizio (SCP) e richiedere che tutti gli access point vengano limitati a un Virtual Private Cloud (VPC), proteggendo i dati all'interno delle tue reti private.
- Testare nuove policy di accesso: con i punti di accesso, puoi testare facilmente nuove policy di controllo degli accessi prima di migrare le applicazioni al punto di accesso o copiare la policy in un punto di accesso esistente.
- Limitare l’accesso a specifici ID account: con Punti di accesso S3, puoi specificare le policy degli endpoint VPC consentendo l’accesso solo ai punti di accesso (e quindi ai bucket) di proprietà di specifici ID account. Ciò semplifica la creazione di policy di accesso che consentono l’accesso ai bucket all’interno dello stesso account, rifiutando qualsiasi altro accesso S3 tramite l’endpoint VPC.
- Fornire un nome univoco: i Punti di accesso S3 consentono di specificare un nome univoco all’interno dell’account e della regione. Ad esempio, ora puoi avere un punto di accesso di "test" in ogni account e regione.
Indipendentemente dalla creazione di un punto di accesso per l'importazione dati, la trasformazione, l'accesso in lettura limitato o l'accesso senza restrizioni dei dati, l'utilizzo di S3 Access Points semplifica il lavoro di creazione, condivisione, e manutenzione dell'accesso ai dati nei bucket S3 condivisi.
In che modo Scambio dati su AWS utilizza Punti di accesso S3?
Scambio dati AWS per Amazon S3 accelera il time to insight con l'accesso diretto ai dati Amazon S3 dei provider di dati. Scambio dati AWS per Amazon S3 ti aiuta a trovare, abbonarti e utilizzare facilmente file di dati di terze parti per l'ottimizzazione dei costi di archiviazione, la gestione semplificata delle licenze dei dati e altro ancora.
Una volta effettuata la sottoscrizione, ti viene concesso automaticamente l'accesso al bucket S3 del provider tramite un punto di accesso S3 dedicato gestito da Scambio dati AWS. È possibile utilizzare l'alias dei punti di accesso S3 per analizzare facilmente i file condivisi con i servizi AWS, come Amazon Athena, Amazon SageMaker Feature Store e Amazon EMR, senza dover creare o gestire copie dei dati.
Visita la pagina del prodotto Scambio dati su AWS per Amazon S3 per maggiori informazioni.
Nozioni di base su Punti di accesso S3
Puoi iniziare a creare access point senza costi aggiuntivi sui bucket nuovi ed esistenti tramite la Console di gestione AWS, l’interfaccia a riga di comando (CLI) di AWS, l’API e il client del kit di sviluppo software AWS (SDK). Puoi aggiungere, visualizzare ed eliminare facilmente gli access point e modificarne le policy tramite la console S3 e l’interfaccia a riga di comando. Puoi scrivere una policy per l'access point proprio come una bucket policy, utilizzando le regole IAM per gestire le autorizzazioni.
Inoltre, potrai utilizzare i modelli CloudFormation per iniziare a utilizzare gli access point. Puoi monitorare e controllare le operazioni dell'access point come "crea access point" ed "elimina access point" tramite i log di AWS CloudTrail. Puoi controllare l'utilizzo dei punti di accesso tramite il supporto di AWS Organizations per gli SCP AWS.
Consulta la documentazione di Punti di accesso S3 per ulteriori informazioni.