Übersicht
Kunden setzen zunehmend auf Amazon S3, um freigegebene Datensätze zu speichern. Diese enthalten aggregierte Daten, auf die verschiedene Anwendungen, Teams und einzelne Benutzer für Analysen, Machine Learning, Echtzeitüberwachung oder andere Data-Lake-Anwendungsfälle zugreifen. Die Zugriffsverwaltung für diesen freigegebenen Bucket erfordert eine zentrale Bucket-Richtlinie, mit deren Hilfe der Zugriff Dutzender bis Hunderter Anwendungen mit unterschiedlichen Berechtigungsstufen gesteuert wird. Mit zunehmender Anzahl von Anwendungen wird die Bucket-Richtlinie immer komplexer und ihre Verwaltung wird zeitaufwendiger. Außerdem muss sie regelmäßig geprüft werden, um zu verhindern, dass Änderungen für eine Anwendung unerwartete Auswirkungen auf eine andere Anwendung haben.
Amazon S3 Access Points, eine Funktion von S3, vereinfachen den Datenzugriff für alle AWS-Services oder Kundenanwendungen, die Daten in S3 speichern. Mit S3 Access Points können Kunden eindeutige Zugriffskontrollrichtlinien für jeden Access Point erstellen, um den Zugriff auf gemeinsam genutzte Datensätze einfach zu kontrollieren. Kunden mit freigegebenen Datensätzen wie Data Lakes, Medienarchiven und von Benutzern erstellten Inhalten können den Zugriff mühelos auf Hunderte Anwendungen skalieren, indem sie individualisierte Zugriffspunkte mit benutzerdefinierten Namen und Berechtigungen für jede Anwendung erstellen. Jeder Zugriffspunkt kann auf eine Virtual Private Cloud (VPC) beschränkt werden, um den Zugriff auf S3-Daten in privaten Kundennetzwerken wie eine Firewall zu schützen. Durch den Einsatz von AWS-Service-Kontrollrichtlinien kann sichergestellt werden, dass alle Zugriffspunkte VPC-beschränkt sind. S3 Access Points können jetzt kostenlos in allen Regionen verwendet werden.
Wie funktionieren S3 Access Points?
Für jeden S3 Access Point ist eine Zugriffsrichtlinie konfiguriert, die auf einen Anwendungsfall oder eine Anwendung ausgerichtet ist. Sie können beispielsweise einen Zugriffspunkt für Ihren S3 Bucket erstellen, der Gruppen von Benutzern oder Anwendungen Zugriff auf Ihren Data Lake gewährt. Ein Access Point kann einen einzelnen Benutzer oder eine einzelne Anwendung oder Gruppen von Benutzern oder Anwendungen mehrerer Konten unterstützen, wodurch die Verwaltung der einzelnen Access Points getrennt erfolgen kann.
Jeder Zugriffspunkt ist einem einzelnen Bucket zugeordnet und enthält eine Netzwerkursprungskontrolle sowie eine Kontrolle zum Blockieren öffentlicher Zugriffe. Sie können z. B. einen Zugriffspunkt mit einer Netzwerkursprungskontrolle erstellen, die den Speicherzugriff nur über Ihre Virtual Private Cloud zulässt, einen logisch isolierten Bereich in der AWS Cloud. Sie können auch einen Zugriffspunkt erstellen, dessen Zugriffsrichtlinie so konfiguriert ist, dass nur der Zugriff auf Objekte mit bestimmten Präfixen oder auf Objekte mit bestimmten Tags erlaubt ist. Wenn Sie mithilfe von Zugriffspunkten öffentlichen Zugriff auf Ihre Daten gewähren möchten, müssen Sie Block Public Access auf Bucket-Ebene deaktivieren. Bei allen neuen Buckets ist Block Public Access standardmäßig aktiviert.
Der Zugriff auf Daten in gemeinsam genutzten Bereichen kann über einen Zugriffspunkt auf zwei Arten erfolgen. Für S3-Objektoperationen können Sie den ARN des Zugangspunkts anstelle eines Bucket-Namens verwenden. Für Anfragen, die einen Bucket-Namen im Standard-S3-Bucket-Namensformat erfordern, können Sie stattdessen einen Zugriffspunkt-Alias verwenden. Aliase für S3 Zugriffspunkte werden automatisch generiert und sind überall dort, wo Sie einen Bucket-Namen für den Datenzugriff verwenden, mit S3 Bucket-Namen austauschbar. Jedes Mal, wenn Sie einen Zugriffspunkt für einen Bucket erstellen, generiert S3 einen neuen Zugriffspunkt-Alias. Eine vollständige Liste der kompatiblen Vorgänge und AWS-Services finden Sie in der S3-Dokumentation.
Verwenden von S3 Access Points
S3-Zugriffspunkte vereinfachen die Verwaltung des Datenzugriffs für Ihren Anwendungssatz auf Ihre freigegebenen Datensätze in S3. Sie müssen keine allgemeingültige, komplexe Bucket-Richtlinie mehr verwalten, die Hunderte verschiedener Berechtigungsregeln enthält, die geschrieben, gelesen, nachverfolgt und geprüft werden müssen. Mit S3 Access Points können Sie anwendungsbezogene Zugriffspunkte erstellen, die den Zugriff auf freigegebene Datensätze über anwendungsspezifische Richtlinien gewähren.
- Große freigegebene Datensätze: Mit Access Points können Sie eine umfangreiche Bucket-Richtlinie in separate, diskrete Zugriffspunktrichtlinien aufgliedern, sodass jede dieser Richtlinien für eine Anwendung gilt, die auf den freigegebenen Datensatz zugreifen muss. Dadurch können Sie sich darauf konzentrieren, die richtige Zugriffsrichtlinie für eine Anwendung zu entwickeln, und müssen sich keine Gedanken darüber machen, ob der Zugriff anderer Anwendungen auf den freigegebenen Datensatz möglicherweise unterbrochen wird.
- Sicheres Kopieren von Daten: Kopieren Sie Daten sicher und mit hoher Geschwindigkeit zwischen Access Points in derselben Region mit der S3-Copy-API über AWS-interne Netzwerke und VPCs.
- VPC-Zugriff beschränken: Ein S3 Access Point kann sämtliche S3-Speicherzugriffe von einer Virtual Private Cloud (VPC) beschränken. Sie können auch eine Service Control Policy (SCP) erstellen und angeben, dass alle Access Points auf eine Virtual Private Cloud (VPC) beschränkt sein sollen. Dadurch werden Ihre Daten wie durch eine Firewall innerhalb Ihrer privaten Netzwerke geschützt.
- Neue Zugriffspunkte testen: Mithilfe von Zugriffspunkten können Sie neue Zugriffskontrollrichtlinien testen, bevor Sie Anwendungen an den Zugriffspunkt migrieren oder die Richtlinie an einen vorhandenen Zugriffspunkt kopieren.
- Zugriff auf spezifische Konto-IDs beschränken: Mit S3 Access Points können Sie VPC-Endpunktrichtlinien festlegen, die den Zugriff auf Zugriffspunkte (und dadurch auf Buckets) beschränken, die spezifischen Konto-IDs zugeordnet sind. Das vereinfacht die Erstellung von Richtlinien für den Zugriff auf Buckets im selben Konto. Gleichzeitig wird jeder andere S3-Zugriff über den VPC-Endpunkt verwehrt.
- Eindeutigen Namen vergeben: S3 Access Points ermöglichen Ihnen die Angabe beliebiger Namen, die innerhalb des Kontos und der Region eindeutig sind. Zum Beispiel können Sie jetzt in jedem Konto und jeder Region einen "Test"-Zugangspunkt haben.
Ganz gleich, ob Sie einen Zugriffspunkt für die Datenaufnahme, -umwandlung, den eingeschränkten Lesezugriff oder den uneingeschränkten Zugriff erstellen, die Verwendung von S3-Zugriffspunkten vereinfacht die Erstellung, Freigabe und Verwaltung des Zugriffs auf Daten in Ihren freigegebenen S3 Buckets.
Wie verwendet AWS Data Exchange S3 Access Points?
AWS Data Exchange für Amazon S3 beschleunigt die Zeit bis zur Erkenntnis durch direkten Zugriff auf die Amazon S3-Daten der Datenanbieter. AWS Data Exchange für Amazon S3 hilft Ihnen, Datendateien von Drittanbietern zu finden, zu abonnieren und zu nutzen, um die Speicherkosten zu optimieren, die Verwaltung der Datenlizenzen zu vereinfachen und vieles mehr.
Sobald Sie ein Abonnement abgeschlossen haben, erhalten Sie automatisch Zugriff auf den S3-Bucket des Anbieters über einen speziellen S3-Zugriffspunkt, der von AWS Data Exchange verwaltet wird. Sie können den S3-Access-Point-Alias verwenden, um die gemeinsam genutzten Dateien mit AWS-Services wie Amazon Athena, Amazon SageMaker Feature Store und Amazon EMR zu analysieren, ohne dass Sie Datenkopien erstellen oder verwalten müssen.
Besuchen Sie die Produktseite von AWS Data Exchange für Amazon S3, um mehr zu erfahren.
Erste Schritte mit S3 Access Points
Sie können neue Zugriffspunkte ohne zusätzliche Kosten auf neuen und bereits bestehenden Buckets erstellen. Dazu können Sie die AWS-Managementkonsole, die AWS-CLI (Befehlszeilenschnittstelle), die API (Application Programming Interface) und den AWS SDK-Client (Software Development Kit) verwenden. So lassen sich Zugriffspunkte mühelos hinzufügen, aufrufen und löschen. Zudem können Sie Zugriffspunktrichtlinien über die S3-Konsole und die CLI bearbeiten. Zugriffspunktrichtlinien werden genauso geschrieben wie Bucket-Richtlinien und mit IAM-Regeln steuern Sie die Berechtigungen.
Zum Einstieg mit Zugriffspunkten können Sie außerdem CloudFormation-Vorlagen verwenden. Sie können Zugriffspunktvorgänge wie "Zugriffspunkt erstellen" und "Zugriffspunkt löschen" über AWS CloudTrail-Protokolle überwachen und prüfen. Die Nutzung von Zugriffspunkten lässt sich mithilfe der AWS-Organizations-Unterstützung für AWS-SCPs steuern.
Besuchen Sie die S3-Access-Points-Dokumentation, um mehr zu erfahren.