Hvordan konfigurere tilgangspunkter i S3

Amazon S3 (enkel lagringstjeneste) er en skybasert lagringstjeneste som gir et stort antall andre bransjestandard fordeler som skalerbarhet, holdbarhet, datareplikering, personvern og mye mer. På grunn av disse fordelene brukes S3 i stor grad som backend -lagring for mange applikasjoner og nettsteder.

I et produksjonsmiljø kommer vi ofte over et punkt hvor vi trenger å tilby våre tjenester og applikasjoner muligheten til å få tilgang til S3 -bøttene våre. Vi må holde disse tillatelsene veldig spesifikke for hver tjeneste eller bruker. Derfor får hver og en av dem bare de tillatelsene som er nødvendige for dem; Ellers kan vi få personvern og sikkerhetsproblemer. Nå kan denne typen tilgangstillatelse ikke administreres av IAM -retningslinjene når de opptrer på en lignende måte for alle våre brukere og kundeapplikasjoner. For å løse dette problemet har AWS kommet med en annen metode for å lage tilgangspunkter for hver tjeneste slik at hver bruker kan kobles til en enkelt S3 -bøtte ved å bruke forskjellige tilgangspunkter. Hvert tilgangspunkt kan administreres separat ved å bruke sin egen policy, som fungerer med den opprinnelige bøtteens policy. Du kan opprette tusen tilgangspunkter i hvert AWS -region som standard, men denne grensen kan økes ved å be om AWS. Disse tilgangspunktene er også kjent som nettverkstilgangspunkter.

Denne artikkelen vil se hvordan du oppretter og administrerer nettverkstilgangspunkter for våre S3 -bøtter i AWS.

Opprette S3 -tilgangspunkt ved hjelp av administrasjonskonsoll

Først må du logge inn på AWS -kontoen din i nettleseren din ved å bruke et brukernavn og passord. Siden vi administrerer tilgangspunkter for S3 -bøtter, må brukeren ha tillatelser til å administrere og få tilgang til S3 -tjenesten.

I administrasjonskonsollen, søk etter S3 i den øverste søkefeltet og velg S3 -tjenesten fra resultatene som vises nedenfor.

Her oppretter vi en ny S3 -bøtte på kontoen vår, så bare klikk på Opprett bøtta.

Nå i bøtta, lag en seksjon; du må oppgi et bøtte navn. Bøttenavnet må være unikt i hele AWS -databasen, da S3 -bøtter er praktisk talt hostede nettsteder, så Bøttenavnsregler er akkurat som våre DNS -roller.

Da må du velge AWS -regionen der du vil lage en ny bøtte. AWS -regioner er lokalisert over hele verden i mange forskjellige land, og hver region kan ha to eller flere fysisk isolerte datasentre, som vi kaller tilgjengelighetssoner. Som en AWS -personvernregler forlater brukerenes data aldri en region uten eierens samtykke. Uansett plassering av vår S3 -bøtte, kan du få tilgang til dataene i et hvilket som helst område globalt.

Deretter finner du andre innstillinger i denne delen som versjonering, kryptering og offentlig tilgang osv., Men du kan ganske enkelt la dem være som standard og bla ned for å klikke på Create Bucket nederst til høyre for å fullføre prosessen.

Så endelig har vi opprettet en ny S3 -bøtte i AWS -kontoen vår.

Nå er bøtta vår klar, vi kan administrere tilgangspunktene. Bare velg bøtta du vil opprette et tilgangspunkt for og klikk på tilgangspunktene fra toppmenyen.

Klikk på Opprett et tilgangspunkt for å begynne å konfigurere det for bøtta.

I denne delen må du først definere et navn for tilgangspunktet ditt.

Deretter må du velge om du vil at tilgangspunktet ditt bare skal være tilgjengelig i det virtuelle private nettverket (VPC), eller du vil gjøre det offentlig tilgjengelig over Internett. Hvis du vil at tilgangspunktene dine skal være tilgjengelige over Internett, må du sørge for å anvende innstillinger og retningslinjer for offentlig tilgang.

Til slutt kan hvert tilgangspunkt administreres ved hjelp av en annen policy vi har knyttet til den. Både bøttepolitikken og tilgangspunktets policy vil fungere på en kombinert måte for å avgjøre om en bruker kan få tilgang til dataene ved å bruke tilgangspunktet. Her går vi ganske enkelt med standardpolitikken.

For å fullføre opprettelsesprosessen, klikker du på Opprett et tilgangspunkt i knappen høyre hjørne.

Etter opprettelse kan du enkelt se og administrere disse tilgangspunktene under Access Point -delen

Så vi har opprettet og konfigurert et S3 -tilgangspunkt ved hjelp av styringskonsollen.

Konfigurer S3 tilgangspunkt ved hjelp av AWS CLI

AWS Management Console gir en enkel måte å administrere AWS -tjenester og ressurser ved å bruke et fint grafisk brukergrensesnitt, men fra et industrielt synspunkt har dette mange begrensninger; Det er grunnen til at de fleste fagfolk foretrekker å bruke AWS-kommandolinjegrensesnittet for å håndtere AWS-kontoer. Du kan stille AWS CLI på hvilket som helst stasjonære miljø, enten Mac, Windows eller Linux. Så la oss se hvordan vi kan lage et S3 -tilgangspunkt ved hjelp av CLI

Først må vi opprette en S3 -bøtte i AWS -kontoen vår. For dette må vi kjøre følgende kommando.

$: AWS S3API Create-Bucket--Bucket-Region

Du kan også bekrefte bøtten ved å liste opp tilgjengelige bøtter i AWS -kontoen din. Bare bruk følgende kommando.

$: AWS S3API List-Buckets

Når Bucket Creation er fullført, kan du nå konfigurere S3 -tilgangspunktet. For dette må du kjøre følgende kommando i terminalen.

$: AWS S3Control Create-Access-Point-Account-ID--Bucket-Navn

Du kan også observere alle tilgangspunkter som er konfigurert i kontoen din ved å bruke følgende kommando.

$: AWS S3Control List-Access-Points-Account-ID

Så vi har opprettet vårt S3 Network Access Point ved å bruke AWS-kommandolinjegrensesnittet. Du kan også administrere nettverkstilgangskontroll og tilgangspunktpolitikk ved hjelp av CLI.

Konklusjon

S3 -tilgangspunkter er veldig nyttige hvis du vil gi begrenset tilgang til hver tjeneste og brukerapplikasjon. Ved å bruke bøttepolitikken får alle brukerne ha de samme tillatelsene, men bruker tilgangspunkter; Hvis den ene søknaden får GetObject -tillatelsen, kan den andre få Rights Rights. Så de kan sikre at du bøttes personvern og sikkerhet, samtidig som de sikrer at hver forbruker får det rette settet med tillatelser han trenger for å utføre jobben sin.