Amazon S3 访问点

轻松管理对 Amazon S3 上共享数据集的访问

概览

客户越来越多地使用 Amazon S3 存储共享数据集,其中数据被不同的应用程序、团队和个人所聚合和访问,用于分析、机器学习、实时监控或者其他数据湖用例。管理对这种共享存储桶的访问需要一项存储桶策略,以控制数十个到数百个具有不同权限级别的应用程序的访问。随着应用程序集的扩大,存储桶策略会变得更加复杂,管理起来十分耗时,并且需要通过审计来确保更改不会对另一个应用程序产生意外影响。

S3 的 Amazon S3 访问点功能可简化在 S3 中存储数据的任何 AWS 服务或客户应用程序的数据访问。通过 S3 访问点,客户可以为每个访问点创建独有的访问控制策略,以轻松地控制对共享数据集的访问权限。拥有共享数据集(包括数据湖、媒体存档和用户生成的内容)的客户可以通过创建针对每个应用程序定制名称和权限的个性化访问点,轻松扩展数百个应用程序的访问范围。可以将任何访问点限制为 Virtual Private Cloud (VPC),以将 S3 数据访问范围限制在客户的防火墙之后,并且可以使用 AWS 服务控制策略确保所有访问点均受 VPC 限制。S3 访问点可在所有区域免费使用。

S3 访问点的工作原理是什么?

每个 S3 访问点都配置有针对用例或应用程序的访问策略。例如,您可以为 S3 存储桶创建一个访问点,为数据湖的用户或应用程序组授予访问权限。访问点可以支持单个用户或应用程序,也可以支持账户内部或跨账户的一组用户或应用程序,因此可以对每个访问点进行单独管理。

每个访问点都与一个存储桶相关联,并包含一个网络源站控件和一个阻止公共访问控件。例如,您可以创建带有网络源站控件的访问点,该控件仅允许从您的 Virtual Private Cloud(AWS 云的逻辑隔离部分)进行存储访问。您还可以创建一个访问点,将访问点策略配置为仅允许访问具有指定前缀的对象或具有特定标签的对象。 如果您希望通过访问点提供对数据的公共访问权限,则必须在存储桶级别关闭“阻止公共访问”。默认情况下,所有新存储桶均已启用“阻止公共访问”。

您可以使用两种方式之一通过访问点访问共享存储桶中的数据。对于 S3 对象操作,您可以使用访问点 ARN 代替存储桶名称。对于要求存储桶名称使用标准 S3 存储桶名称格式的请求,您可以使用访问点别名。S3 访问点的别名是自动生成的,并且可以在您使用存储桶名称进行数据访问的任何位置与 S3 存储桶名称互换。每次为存储桶创建访问点时,S3 都会自动生成一个新的访问点别名。对于全套可兼容操作和 AWS 服务,请访问 S3 文档

何时使用 S3 访问点

S3 访问点简化了管理应用程序集对 S3 上共享数据集的数据访问的方式。您不再需要使用数以百计的需要编写、读取、跟踪和审计的不同权限规则来管理单个复杂的存储桶策略。使用 S3 访问点,您现在可以创建特定于应用程序的访问点,从而允许使用针对特定应用程序量身定制的策略来访问共享数据集。

  • 大型共享数据集:使用接入点,您可以针对需要访问共享数据集的每个应用程序,将一个大型存储桶策略分解为多个单独的离散接入点策略。这样可以更轻松地集中精力为应用程序制定正确的访问策略,而不必担心打断共享数据集中任何其他应用程序正在执行的操作。
  • 安全地复制数据:借助使用 AWS 内部网络和 VPC 的 S3 复制 API,在相同区域的接入点之间高速且安全地复制数据。
  • 将访问方式限于 VPC:S3 接入点可以将所有 S3 存储访问限制为通过 Virtual Private Cloud(VPC)执行。 您还可以创建服务控制策略 (SCP),并要求将所有访问点都限制在 Virtual Private Cloud (VPC) 中,从而通过防火墙将数据隔离在专用网络中。
  • 测试新的访问策略:使用接入点,您可以在将应用程序迁移到接入点或将策略复制到现有接入点之前,轻松测试新的访问控制策略。
  • 将访问方式限于特定账户 ID:使用 S3 接入点,您可以指定 VPC 端点策略,该策略仅允许访问特定账户 ID 所拥有的接入点(以及相应的存储桶)。这简化了访问策略的创建,允许访问同一账户中的存储桶,同时拒绝通过 VPC 终端节点进行的任何其他 S3 访问。
  • 提供唯一的名称:S3 接入点允许您指定在账户和区域范围内唯一的任何名称。例如,您现在在每个账户和区域中都可以有一个“测试”访问点。

使用 S3 访问点,无论是为数据提取、转换、受限读取访问还是无限制访问创建访问点,都可以更轻松地完成创建、共享和维护共享 S3 存储桶中的数据访问权限的工作。

AWS Data Exchange 如何使用 S3 接入点?

AWS Data Exchange for Amazon S3 通过直接访问数据提供商的 Amazon S3 数据来加速获得洞察。AWS Data Exchange for Amazon S3 可帮助您轻松查找、订阅和使用第三方数据文件,以优化存储成本、简化数据许可管理等。 

订阅后,您将自动获得通过 AWS Data Exchange 管理的专用 S3 访问点访问提供商的 S3 存储桶的权限。您可以使用 S3 访问点别名轻松分析与 AWS 服务(例如 Amazon Athena、Amazon SageMaker Feature Store 和 Amazon EMR)共享的文件,而无需创建或管理数据副本。 

访问适用于 Amazon S3 的 AWS Data Exchange 产品页面以了解更多信息。

开始使用 S3 访问点

您可以通过 AWS 管理控制台、AWS 命令行界面 (CLI)、应用程序编程接口 (API) 和 AWS 软件开发工具包 (SDK) 客户端,在新存储桶以及现有存储桶上免费创建访问点。您可以通过 S3 控制台和 CLI 轻松添加、查看和删除访问点以及编辑访问点策略。您可以像使用存储桶策略一样编写访问点策略,使用 IAM 规则来治理权限。

您还可以使用 CloudFormation 模板开始使用访问点。您可以通过 AWS CloudTrail 日志监视和审计访问点操作,例如“创建访问点”和“删除访问点”。您可以使用 AWS Organizations 对 AWS SCP 的支持来控制访问点的使用。

访问 S3 接入点文档以了解更多信息。