Información general
Los clientes utilizan cada vez más Amazon S3 para almacenar conjuntos de datos compartidos, donde los datos se agregan y a los que acceden diferentes aplicaciones, equipos y personas, ya sea para análisis, machine learning, monitoreo en tiempo real u otros casos de uso de lago de datos. La administración del acceso a este bucket compartido requiere una única política de bucket que controle el acceso para decenas de cientos de aplicaciones con distintos permisos. Cuando un conjunto de aplicaciones crece, la política de buckets se vuelve más compleja, consume más tiempo de administración y debe auditarse para garantizar que los cambios no tengan un impacto inesperado en otra aplicación.
Los puntos de acceso de Amazon S3, una característica de S3, simplifican el acceso a los datos para cualquier servicio de AWS o aplicación del cliente que almacene datos en S3. Con los puntos de acceso de S3, los clientes pueden crear políticas de control de acceso únicas de cada punto de acceso para controlar fácilmente el acceso a los conjuntos de datos compartidos. Los clientes con conjuntos de datos compartidos, lo que incluye lagos de datos, archivos de medios y contenido generado por usuarios, pueden escalar fácilmente el acceso para cientos de aplicaciones creando puntos de acceso individualizados con nombres y permisos personalizados para cada aplicación. Cualquier punto de acceso puede restringirse a una nube privada virtual (VPC) para proteger con un firewall el acceso a los datos de S3 dentro de las redes privadas de los clientes. Además, pueden utilizarse políticas de control de servicios de AWS para garantizar que todos los puntos de acceso están restringidos en VPC. Los puntos de acceso de S3 están disponibles en todas las regiones sin ningún costo adicional.
¿Cómo funcionan los puntos de acceso de S3?
Cada punto de acceso de S3 está configurado con una política de acceso específica para un caso de uso o una aplicación. Por ejemplo, puede crear un punto de acceso para el bucket S3 que otorgue acceso a grupos de usuarios o aplicaciones para su lago de datos. Un punto de acceso puede admitir un solo usuario o aplicación, o bien grupos de usuarios o aplicaciones dentro de las cuentas o entre ellas. Asimismo, permite administrar cada punto de acceso por separado.
Cada punto de acceso está asociado con un bucket único y contiene un control de origen de red y un control de Block Public Access. Por ejemplo, puede crear un punto de acceso con un control de origen de red que solo permita acceso de almacenamiento desde su nube virtual privada, una sección aislada lógicamente de la nube de AWS. También puede crear un punto de acceso con la política de punto de acceso configurada para permitir solo el acceso a objetos con prefijos definidos o a objetos con etiquetas específicas. Si desea proporcionar acceso público a sus datos mediante puntos de acceso, debe desactivar el Bloqueo de acceso público de bucket. Todos los buckets nuevos tienen activado el Bloqueo de acceso público de forma predeterminada.
Puede acceder a los datos de los buckets compartidos a través de un punto de acceso de dos maneras. Para las operaciones con objetos de S3, puede utilizar el ARN del punto de acceso en lugar de un nombre de bucket. En el caso de las solicitudes que requieran un nombre de bucket con el formato estándar de nombre de bucket de S3, se puede utilizar un alias de punto de acceso en su lugar. Los alias de puntos de acceso de S3 se generan de manera automática y son intercambiables con nombres de buckets de S3 en cualquier lugar en el que se utilice un nombre de bucket para acceder a datos. Cada vez que cree un punto de acceso para un bucket, S3 genera automáticamente un nuevo alias de punto de acceso. Para obtener el conjunto completo de operaciones y servicios de AWS compatibles, consulte la documentación de S3.
Cuándo usar puntos de acceso de S3
Los puntos de acceso de S3 simplifican la forma de gestionar el acceso de su conjunto de aplicaciones a los conjuntos de datos compartidos en S3. Ya no es necesario que administre una política única y compleja de buckets con cientos de reglas de permisos distintas que deben escribirse, leerse, controlarse y auditarse. Con los puntos de acceso de S3, ahora puede crear puntos de acceso específicos para cada aplicación y permitir el acceso a conjuntos de datos compartidos con políticas personalizadas para aplicaciones específicas.
- Grandes conjuntos de datos compartidos: mediante el uso de puntos de acceso, puede descomponer una gran política de buckets en políticas de puntos de acceso separadas y discretas para cada aplicación que necesite acceder a los conjuntos de datos compartidos. Esto facilita que pueda centrarse en crear la política de acceso adecuada para una aplicación, sin que deba preocuparse por interrumpir la actividad de otras aplicaciones dentro del conjunto de datos compartidos.
- Copie datos de forma segura: copie datos de forma segura a altas velocidades entre puntos de acceso de la misma región mediante la API de copia de S3 que utiliza redes internas y VPC de AWS.
- Restringir el acceso a la VPC: un punto de acceso de S3 puede limitar todos los accesos de almacenamiento de S3 que se producen desde una nube privada virtual (VPC). También puede crear una política de control de servicios (SCP) y requerir que todos los puntos de acceso estén restringidos a una Virtual Private Cloud (VPC), lo que protege sus datos con un firewall dentro de sus redes virtuales.
- Probar nuevas políticas de acceso: mediante el uso de puntos de acceso, puede probar fácilmente nuevas políticas de control de acceso antes de migrar aplicaciones al punto de acceso o de copiar la política a un punto de acceso existente.
- Limitar el acceso a ID de cuenta específicos: con los puntos de acceso de S3, puede especificar políticas de punto de conexión de VPC que permitan el acceso solo a puntos de acceso (y, por consiguiente, a buckets) que sean propiedad de ID de cuenta específicos. Esto simplifica la creación de políticas de acceso que permiten el acceso a buckets dentro de la misma cuenta, al tiempo que rechazan cualquier otro acceso de S3 a través del punto de enlace de la VPC.
- Proporcionar un nombre único: los puntos de acceso de S3 le permiten especificar cualquier nombre que sea único en la cuenta y la región. Por ejemplo, ahora puede tener un punto de acceso de “prueba” en cada cuenta y región.
Tanto si crea un punto de acceso para la ingesta o la transformación de datos, como si es para el acceso de lectura restringido o el acceso no restringido, el uso de puntos de acceso de S3 simplifica el trabajo de crear, compartir y mantener el acceso a los datos en los buckets compartidos de S3.
¿Cómo utiliza AWS Data Exchange los puntos de acceso de S3?
AWS Data Exchange para Amazon S3 acelera el tiempo de obtención de información con el acceso directo a los datos de Amazon S3 de los proveedores de datos. AWS Data Exchange para Amazon S3 le permite encontrar archivos de datos externos, suscribirse a ellos y usarlos fácilmente a fin de optimizar los costos de almacenamiento, administrar licencias de datos de manera simplificada, etc.
Una vez se haya suscrito, se le concede automáticamente acceso al bucket de S3 del proveedor a través de un punto de acceso de S3 dedicado administrado por AWS Data Exchange. Puede utilizar el alias del punto de acceso de S3 para analizar con facilidad los archivos compartidos con los servicios de AWS, como Amazon Athena, el Almacén de características de Amazon SageMaker y Amazon EMR, sin tener que crear ni administrar copias de datos.
Visite la página del producto de AWS Data Exchange para Amazon S3 para más información.
Introducción a los puntos de acceso de S3
Puede empezar creando puntos de acceso, sin ningún coste adicional, en buckets nuevos así como en buckets existentes mediante la consola de administración de AWS, la interfaz de línea de comandos (CLI) de AWS, la interfaz de programación de aplicaciones (API) y el cliente del kit de desarrollo de software (SDK) de AWS. Puede añadir, ver y eliminar puntos de acceso fácilmente, así como editar políticas de puntos de acceso a través de la consola de S3 y la CLI. Puede escribir una política de punto de acceso del mismo modo que una política de bucket mediante reglas de IAM para controlar los permisos.
También podrá utilizar plantillas de CloudFormation para introducirse en los puntos de acceso. Puede monitorizar y auditar las operaciones de los puntos de acceso, tales como “crear punto de acceso” y “eliminar punto de acceso”, a través de los registros de AWS CloudTrail. Puede controlar el uso de los puntos de acceso mediante la compatibilidad de AWS Organizations con AWS SCP.
Visite la documentación de puntos de acceso de S3 para obtener más información.