In un ambiente di produzione, ci imbattiamo spesso in un punto in cui dobbiamo fornire ai nostri servizi e applicazioni con la possibilità di accedere ai nostri secchi S3. Dobbiamo mantenere queste autorizzazioni molto specifiche per ciascun servizio o utente. Quindi, ognuno di loro ottiene solo quelle autorizzazioni necessarie per loro; Altrimenti, potremmo ottenere problemi di privacy e sicurezza. Ora, questo tipo di autorizzazione di accesso non può essere gestito dalle politiche IAM in quanto agiscono in modo simile a tutti i nostri utenti e applicazioni dei clienti. Per risolvere questo problema, AWS ha escogitato un altro metodo per creare punti di accesso per ciascun servizio in modo che ogni utente possa essere collegato a un singolo bucket S3 utilizzando diversi punti di accesso. Ogni punto di accesso può essere gestito separatamente utilizzando la propria politica, che funziona con la politica del bucket originale. È possibile creare mille punti di accesso in ciascuna regione AWS per impostazione predefinita, ma questo limite può essere aumentato richiedendo AWS. Questi punti di accesso sono anche noti come punti di accesso alla rete.
Questo articolo vedrà come creare e gestire i punti di accesso alla rete per i nostri secchi S3 in AWS.
Creazione del punto di accesso S3 utilizzando la console di gestione
Innanzitutto, devi accedere al tuo account AWS nel browser utilizzando un nome utente e una password. Poiché gestiremo i punti di accesso per i secchi S3, l'utente deve avere le autorizzazioni per gestire e accedere al servizio S3.
Nella console di gestione, cerca S3 nella barra di ricerca superiore e seleziona il servizio S3 dai risultati che vengono visualizzati di seguito.
Qui creeremo un nuovo secchio S3 nel nostro account, quindi fai clic su Crea il secchio.
Ora nel secchio, crea una sezione; È necessario fornire un nome di secchio. Il nome del secchio deve essere unico nell'intero database AWS poiché i secchi S3 sono siti Web praticamente ospitati, quindi le regole di denominazione del bucket sono proprio come i nostri ruoli DNS.
Quindi devi selezionare la regione AWS in cui si desidera creare un nuovo secchio. Le regioni AWS si trovano in tutto il mondo in molti paesi diversi e ogni regione può avere due o più data center fisicamente isolati, che chiamiamo zone di disponibilità. Come politica sulla privacy AWS, i dati degli utenti non lasciano mai una regione senza il consenso del proprietario. Indipendentemente dal posizionamento del nostro secchio S3, è possibile accedere ai dati al suo interno utilizzando qualsiasi regione a livello globale.
Successivamente, troverai altre impostazioni in questa sezione come versione, crittografia e accesso pubblico ecc., Ma puoi semplicemente lasciarli come predefinito e scorrere verso il basso per fare clic sul secchio Crea nell'angolo in basso a destra per finire il processo di creazione del secchio.
Quindi, infine, abbiamo creato un nuovo secchio S3 nel nostro account AWS.
Ora il nostro secchio è pronto, possiamo gestire i punti di accesso. Basta selezionare il secchio per il quale si desidera creare un punto di accesso e fare clic sui punti di accesso dalla barra di menu in alto.
Fai clic su Crea un punto di accesso per iniziare a configurarlo per il tuo secchio.
In questa sezione, in primo luogo, devi definire un nome per il tuo punto di accesso.
Successivamente, devi scegliere se si desidera che il tuo punto di accesso sia accessibile solo all'interno della tua rete privata virtuale (VPC) o desideri renderlo accessibile al pubblico su Internet. Se si desidera che i tuoi punti di accesso siano disponibili su Internet, assicurati di applicare correttamente le impostazioni e le politiche di accesso pubblico, poiché ciò potrebbe disturbare la sicurezza e la privacy dei dati.
Infine, ogni punto di accesso può essere gestito utilizzando una politica diversa che abbiamo allegato ad esso. Sia la politica del bucket che la politica dei punti di accesso agiranno in modo combinato per decidere se un utente può ottenere l'accesso ai dati utilizzando il punto di accesso. Qui andiamo semplicemente con la politica predefinita.
Per completare il processo di creazione, fare clic su Crea un punto di accesso nell'angolo a destra del pulsante.
Dopo la creazione, è possibile visualizzare e gestire facilmente questi punti di accesso nella sezione dei punti di accesso
Quindi abbiamo creato e configurato correttamente un punto di accesso S3 utilizzando la console di gestione.
Configurare il punto di accesso S3 utilizzando AWS CLI
La console di gestione AWS fornisce un modo semplice per gestire i servizi e le risorse AWS utilizzando una bella interfaccia utente grafica, ma dal punto di vista industriale, questo ha molte limitazioni; Ecco perché la maggior parte dei professionisti preferisce utilizzare l'interfaccia della riga di comando AWS per gestire gli account AWS. Puoi impostare AWS CLI su qualsiasi ambiente desktop, Mac, Windows o Linux. Quindi vediamo come possiamo creare un punto di accesso S3 usando la CLI
Innanzitutto, dobbiamo creare un secchio S3 nel nostro account AWS. Per questo, dobbiamo eseguire il seguente comando.
$: AWS S3API Crea-Bucket--Bucket-RegionPuoi anche confermare la creazione di secchi elencando i secchi disponibili nel tuo account AWS. Basta usare il seguente comando.
$: AWS S3API List-BucketUna volta completata la creazione del bucket, ora è possibile configurare il punto di accesso S3. Per questo, è necessario eseguire il seguente comando nel terminale.
$: AWS S3Control Crea-Access-Point --Account-ID--Bucket --NamePuoi anche osservare tutti i punti di accesso configurati nel tuo account utilizzando il comando seguente.
$: AWS S3Control List-Access-Points-Account-IDQuindi abbiamo creato correttamente il nostro punto di accesso alla rete S3 utilizzando l'interfaccia della riga di comando AWS. È inoltre possibile gestire la politica di controllo dell'accesso e accesso di rete utilizzando la CLI.
Conclusione
I punti di accesso S3 sono molto utili se si desidera fornire un accesso limitato a ciascun servizio e applicazione utente. Utilizzando la politica del bucket, tutti gli utenti possono avere le stesse autorizzazioni ma utilizzare i punti di accesso; Se un'applicazione ottiene l'autorizzazione GetObject, l'altra può ottenere diritti di PutObject. Quindi possono garantire la privacy e la sicurezza del secchio, garantendo al contempo che ogni consumatore ottenga il giusto set di autorizzazioni di cui ha bisogno per svolgere il proprio lavoro con successo.