En un entorno de producción, a menudo nos encontramos con un punto en el que necesitamos proporcionar a nuestros servicios y aplicaciones la capacidad de acceder a nuestros cubos S3. Tenemos que mantener estos permisos muy específicos para cada servicio o usuario. Por lo tanto, cada uno de ellos solo obtiene los permisos que son necesarios para ellos; De lo contrario, podemos obtener problemas de privacidad y seguridad. Ahora, este tipo de permiso de acceso no puede ser administrado por las políticas de IAM, ya que actúan de manera similar para todos nuestros usuarios y aplicaciones de clientes. Para resolver este problema, AWS ha creado otro método para crear puntos de acceso para cada servicio para que cada usuario pueda vincularse a un solo cubo S3 utilizando diferentes puntos de acceso. Cada punto de acceso se puede administrar por separado utilizando su propia política, que funciona con la política del cubo original. Puede crear mil puntos de acceso en cada región de AWS de forma predeterminada, pero este límite se puede aumentar solicitando AWS. Estos puntos de acceso también se conocen como puntos de acceso de red.
Este artículo verá cómo crear y administrar puntos de acceso a la red para nuestros cubos S3 en AWS.
Creación del punto de acceso S3 utilizando la consola de gestión
Primero, debe iniciar sesión en su cuenta de AWS en su navegador utilizando un nombre de usuario y contraseña. Como administraremos los puntos de acceso para los cubos S3, el usuario debe tener los permisos para administrar y acceder al servicio S3.
En la consola de administración, busque S3 en la barra de búsqueda superior y seleccione el servicio S3 de los resultados que aparecen a continuación.
Aquí crearemos un nuevo cubo S3 en nuestra cuenta, así que simplemente haga clic en Crear el cubo.
Ahora en el cubo, cree una sección; Necesita proporcionar un nombre de cubo. El nombre del cubo debe ser único en toda la base de datos de AWS, ya que los cubos S3 son sitios web prácticamente alojados, por lo que las reglas de nombres de cubos son como nuestros roles DNS.
Entonces debe seleccionar la región de AWS donde desea crear un nuevo cubo. Las regiones de AWS se encuentran en todo el mundo en muchos países diferentes, y cada región puede tener dos o más centros de datos físicamente aislados, que llamamos zonas de disponibilidad. Como política de privacidad de AWS, los datos de los usuarios nunca dejan una región sin el consentimiento del propietario. Independientemente de la colocación de nuestro cubo S3, se puede acceder a los datos dentro de él utilizando cualquier región a nivel mundial.
A continuación, encontrará otras configuraciones en esta sección, como versiones, cifrado y acceso público, etc., Pero simplemente puede dejarlos como predeterminado y desplazarse hacia abajo para hacer clic en el cubo de creación en la esquina inferior derecha para finalizar el proceso de creación de cubo.
Entonces, finalmente, hemos creado un nuevo cubo S3 en nuestra cuenta de AWS.
Ahora nuestro cubo está listo, podemos administrar los puntos de acceso. Simplemente seleccione el cubo para el que desea crear un punto de acceso y haga clic en los puntos de acceso en la barra de menú superior.
Haga clic en Crear un punto de acceso para comenzar a configurarlo para su cubo.
En esta sección, primero, debe definir un nombre para su punto de acceso.
A continuación, debe elegir si desea que su punto de acceso solo sea accesible dentro de su red privada virtual (VPC), o si desea que sea accesible públicamente a través de Internet. Si desea que sus puntos de acceso estén disponibles a través de Internet, asegúrese de aplicar la configuración y las políticas de acceso público correctamente, ya que esto puede molestar su seguridad y privacidad de sus datos.
Por último, cada punto de acceso se puede gestionar utilizando una política diferente que adjuntamos a él. Tanto la política del cubo como la política del punto de acceso actuarán de manera combinada para decidir si un usuario puede obtener acceso a los datos utilizando el punto de acceso. Aquí simplemente vamos con la política predeterminada.
Para completar el proceso de creación, haga clic en Crear un punto de acceso en el botón Esquina derecha.
Después de la creación, puede ver y administrar fácilmente estos puntos de acceso en la sección Punto de acceso
Por lo tanto, hemos creado y configurado con éxito un punto de acceso S3 utilizando la consola de administración.
Configurar el punto de acceso S3 usando AWS CLI
La consola de administración de AWS proporciona una manera fácil de administrar los servicios y recursos de AWS utilizando una buena interfaz gráfica de usuario, pero desde un punto de vista industrial, esto tiene muchas limitaciones; Es por eso que la mayoría de los profesionales prefieren usar la interfaz de línea de comandos de AWS para tratar con cuentas de AWS. Puede configurar AWS CLI en cualquier entorno de escritorio, ya sea Mac, Windows o Linux. Así que veamos cómo podemos crear un punto de acceso S3 usando la CLI
Primero, necesitamos crear un cubo S3 en nuestra cuenta de AWS. Para esto, necesitamos ejecutar el siguiente comando.
$: AWS S3API Create-Bucket--Bucket-RegiónTambién puede confirmar la creación de cubos enumerando los cubos disponibles en su cuenta de AWS. Simplemente use el siguiente comando.
$: AWS S3API List-BucketsUna vez que se completa la creación del cubo, ahora puede configurar el punto de acceso S3. Para esto, debe ejecutar el siguiente comando en el terminal.
$: AWS S3Control Create-Access-Point --Count-ID--Bucket--NameTambién puede observar todos los puntos de acceso configurados en su cuenta utilizando el siguiente comando.
$: AWS S3Control List-Access-Points --Count-IDPor lo tanto, hemos creado con éxito nuestro punto de acceso de red S3 utilizando la interfaz de línea de comandos AWS. También puede administrar la política de control de acceso y acceso a la red utilizando la CLI.
Conclusión
Los puntos de acceso S3 son muy útiles si desea proporcionar acceso limitado a cada servicio y aplicación de usuario. Usando la política de deseos, todos los usuarios pueden tener los mismos permisos pero usan puntos de acceso; Si una aplicación obtiene el permiso de GetObject, la otra puede obtener los derechos de Putobject. Para que puedan garantizar la privacidad y la seguridad de su cubo al tiempo que se aseguran de que cada consumidor obtenga el conjunto correcto de permisos que necesita para realizar su trabajo con éxito.