Amazon S3 Access Points

在 Amazon S3 上輕鬆管理共享資料集的存取權

概觀

越來越多客戶使用 Amazon S3 存儲共享資料集,讓不同的應用程式、團隊和個人彙總並存取資料,無論是用於分析、機器學習、實時監控,還是其他資料湖泊使用案例。管理存取共享儲存貯體只需要一套規則,可針對數十個到數百個具有不同權限等級的應用程式控制其存取。隨著應用程式集的增長,儲存貯體政策變得更加複雜,管理耗時,並且需要進行稽核以確保變更不會對另一個應用程式產生意外影響。

Amazon S3 Access Points 是 S3 的一項功能,可簡化任何將資料存放在 S3 中的 AWS 服務或客戶應用程式的資料存取。藉由 S3 Access Points,客戶可針對每個存取點建立獨特的存取控制政策,以便輕鬆控制共用資料集的存取。具有共享資料集的客戶,包括資料湖泊、媒體存檔,和使用者生成內容,可利用定制的名稱與權限為每個應用程式建立個別存取點,輕鬆延伸上百個應用程式的存取範圍。可以將任何存取點限制在 Virtual Private Cloud (VPC),在客戶私有網路的防火牆內存取 S3 資料,並且可以透過 AWS 服務控制政策確保所有存取點均受 VPC 限制。S3 Access Points 可在所有地區免費使用。

S3 Access Points 如何運作?

每個 S3 Access Point 針對用例或應用程式設定的存取規則。例如,您可以為 S3 儲存貯體建立一個存取點,將資料湖泊的存取權限授予一組使用者或應用程式。Access Point 可以支援單個使用者或應用程式,或帳戶內和跨帳戶的一組使用者或應用程式,單獨管理每個存取點。

每個存取點都關聯一個儲存貯體,並包含一個網路原始控制和一個區塊公共存取控制。例如,您可以建立具有網路來源控制的存取點,僅允許從您的 Virtual Private Cloud (AWS 雲端的邏輯隔離區段) 進行儲存存取。您還可以建立存取點,並設定存取點政策,僅允許存取具有自訂前綴詞或具有特定標籤的物件。 如果您希望使用存取點來提供資料的公開存取權,則必須在儲存貯體層級關閉「封鎖公開存取」。所有新的儲存貯體預設都會開啟「封鎖公開存取」。

您可以透過存取點以兩種方式之一存取共用儲存貯體中的資料。對於 S3 物件操作,您可以使用存取點 ARN 取代儲存貯體名稱。對於需要標準 S3 儲存貯體名稱格式的儲存貯體名稱的請求,您可以改用存取點別名。S3 存取點的別名是自動產生的,並且可以在您使用儲存貯體名稱進行資料存取的任何地方與 S3 儲存貯體名稱互換。每次為儲存貯體建立存取點時,S3 會自動產生新的存取點別名。如需完整的相容操作和 AWS 服務集,請參閱 S3 文件。

使用 S3 Access Point 的時機

S3 Access Points 簡化了管理資料存取的方式,讓您的應用程式集在 S3 上存取您的共享資料集。您不再需要透過上百個不同許可規則,每個都需要撰寫、閱讀、追踪、稽核,才能管理單一複雜的儲存貯體政策。透過 S3 Access Points,您現在可以建立個別應用程式的存取點,允許使用針對特定應用程式定制的規則來存取共享資料集。

  • 大型共用資料集:透過 Access Points,您可以針對需要存取共用資料集的每個應用程式,將一個較大的儲存貯體政策拆解為單獨分散的存取點政策。流程變得更加簡單,使用者可專注於為應用程式建立正確的存取政策,而不必擔心影響其他正在存取共享資料集的應用程式。
  • 安全複製資料:藉助 AWS 內部網路和 VPC,使用 S3 Copy API 在同區域存取點之間安全地高速複製資料。
  • 限制存取 VPC:S3 Access Point 可將所有 S3 存儲存取限制為來自虛擬私有雲端 (VPC)。 您還可以建立服務控制政策 (SCP),並要求將所有存取點都限制在 Virtual Private Cloud (VPC) 中,讓您的資料受到專用網路的防火牆保護。
  • 測試新的存取政策:利用存取點,您可以先輕鬆測試新的存取控制政策,再將應用程式遷移至存取點,或將政策複製到現有存取點。
  • 限制特定帳戶 ID 的存取:利用 S3 Access Points,您可以指定 VPC 端點政策,僅允許存取特定帳戶 ID 所擁有的存取點 (即儲存貯體)。這簡化了存取規則的建立,允許存取相同帳戶中的儲存貯體,同時拒絕透過 VPC 端點進行任何其他 S3 存取。
  • 提供唯一名稱:S3 Access Points 允許您指定帳戶和區域內任何唯一的名稱。例如,您現在可以在每個帳戶和區域中都有個「測試」存取點。

無論針對資料擷取、轉換、限制讀取存取還是無限存取建立存取點,使用 S3 Access Point 可簡化建立、共用和維護共用 S3 儲存貯體中資料存取的工作。

AWS Data Exchange 如何使用 S3 Access Points?

AWS Data Exchange for Amazon S3 透過直接存取資料供應商的 Amazon S3 資料來加快洞察時間。AWS Data Exchange for Amazon S3 可協助您輕鬆尋找、訂閱和使用第三方資料檔案,以最佳化儲存成本、簡化資料授權管理等。 

訂閱後,您會自動獲得透過 AWS Data Exchange 管理的專用 S3 存取點,對供應商的 S3 儲存貯體的存取權。您可以使用 S3 存取點別名,輕鬆分析與 AWS 服務 (例如 Amazon Athena、Amazon SageMaker Feature Store 和 Amazon EMR) 共用的檔案,無須建立或管理資料副本。 

請瀏覽 AWS Data Exchange for Amazon S3 產品頁面,以了解詳細資訊。

S3 Access Point 入門

您可以透過 AWS 管理主控台、AWS 命令列介面 (CLI),應用程式開發介面 (API) 和 AWS 軟體開發工具包 (SDK) 用戶端,在新儲存貯體以及現有儲存貯體上免費建立存取點。您可以透過 S3 主控台和 CLI 輕鬆新增、查看和刪除存取點,以及編輯存取點規則。和存儲區規則一樣,您可以編寫存取點規則,透過 IAM 規則來管理權限。

您還可以利用 CloudFormation 範本開始使用存取點。您可以透過 AWS CloudTrail 日誌監視與稽核存取點操作,例如「建立存取點」和「刪除存取點」。您可以利用 AWS Organizations 對 AWS SCP 的支援來控制存取點的用量。

有關詳細資訊,請瀏覽 S3 Access Points 文件