Présentation
Les clients utilisent de plus en plus Amazon S3 pour stocker des jeux de données partagés, dans lesquels les données sont globalisées et accessibles par plusieurs applications, équipes et personnes, que ce soit à des fins d'analyse, de machine learning, de surveillance en temps réel ou pour d'autres cas d'utilisation de lacs de données. La gestion de l'accès à ce compartiment partagé ne nécessite qu'une seule politique qui contrôle l'accès pour des dizaines, voire des centaines d'applications aux niveaux d'autorisation différents. La politique en matière de compartiments devient plus complexe, plus longue à gérer et doit être auditée pour s'assurer que les changements n'ont pas d'impact inattendu sur une autre application à mesure qu'un jeu d'applications se développe.
Les points d'accès Amazon S3 – une fonction de S3 – simplifient l'accès aux données pour tout service AWS ou application client qui stocke des données dans S3. Avec les points d'accès S3, les clients peuvent créer des politiques de contrôle d'accès uniques pour chaque point d'accès afin de contrôler facilement l'accès aux jeux de données partagés. Les clients disposant de jeux de données partagés, notamment des lacs de données, des archives médiatiques et du contenu généré par les utilisateurs, peuvent facilement adapter l'accès à des centaines d'applications en créant des points d'accès individualisés avec des noms et des autorisations personnalisés pour chaque application. Tout point d'accès peut être limité à un cloud privé virtuel (VPC) pour assurer une protection pare-feu de l'accès aux données S3 des réseaux privés des clients, tandis que les politiques de contrôle des services AWS peuvent être exploitées pour veiller à ce que tous les points d'accès soient limités au VPC. Les points d'accès S3 sont disponibles dans toutes les régions sans frais supplémentaires.
Fonctionnement des points d’accès S3
Chaque point d’accès S3 est configuré avec une stratégie d’accès spécifique à un cas d’utilisation ou à une application. Par exemple, pour votre compartiment S3, vous pouvez créer un point d'accès qui accorde l'accès à votre lac de données à des groupes d'utilisateurs ou d'applications. Un point d'accès peut prendre en charge un seul utilisateur ou une seule application, ou des groupes d'utilisateurs ou d'applications au sein d'un même compte ou entre plusieurs comptes, ce qui permet une gestion distincte de chaque point d'accès.
Chaque point d'accès est associé à un seul compartiment et contient un contrôle de l'origine réseau et un contrôle de blocage de l'accès public. Par exemple, vous pouvez créer un point d'accès avec un contrôle de l'origine réseau qui n'autorise l'accès au stockage que depuis votre cloud privé virtuel, une section isolée de manière logique du cloud AWS. Vous pouvez également créer un point d'accès dont la politique est configurée pour n'autoriser l'accès qu'à des objets ayant un préfixe défini, ou des étiquètes spécifiques. Si vous souhaitez fournir un accès public à vos données à l'aide de points d'accès, vous devez désactiver l'option Bloquer l'accès public au niveau du bucket. L'option Bloquer l'accès public est activée par défaut pour tous les nouveaux compartiments.
Vous pouvez accéder aux données dans les compartiments partagés par le biais d'un point d'accès de l'une des deux manières suivantes. Pour les opérations sur les objets S3, vous pouvez utiliser le point d'accès ARN à la place d'un nom de compartiment. Pour les demandes nécessitant un nom de compartiment au format standard de nom de compartiment S3, vous pouvez utiliser plutôt un alias de point d'accès. Les alias de points d'accès S3 sont automatiquement générés et interchangeables avec les noms de compartiments S3 partout où vous utilisez un nom de compartiment pour l'accès aux données. S3 génère automatiquement un nouvel alias de point d'accès chaque fois que vous créez un point d'accès pour un compartiment. Pour l’ensemble des opérations compatibles et des services AWS, consultez la documentation S3.
Utilisation des points d'accès S3
Les points d'accès S3 simplifient la gestion de l'accès aux données pour votre application configurée pour vos jeux de données partagés sur S3. Vous ne devez plus gérer une stratégie de compartiment unique et complexe avec des centaines de règles d'autorisation différentes qu'il faut écrire, lire, suivre et auditer. Grâce aux points d'accès S3, vous pouvez désormais créer des points d'accès spécifiques à une application et autorisant l'accès aux jeux de données partagés avec des stratégies adaptées pour cette application spécifique.
- Grands jeux de données partagés : Grâce aux points d’accès, vous pouvez décomposer une politique de grands compartiments de données partagées en politiques de points d’accès distinctes et discrètes pour chaque application qui doit accéder au jeu de données partagé. Cela permet de se concentrer sur la définition de la stratégie d'accès correcte pour une application, sans devoir se préoccuper du risque de perturber ce qu'une autre application fait dans le jeu de données partagé.
- Copiez des données en toute sécurité : Copiez des données en toute sécurité et à grande vitesse entre des points d’accès de même région à l’aide de l’API de copie S3 en utilisant les réseaux internes et les VPC d’AWS.
- Limitation de l’accès à un VPC : Un point d’accès S3 peut limiter l’accès à tout le stockage S3 en exigeant qu’il soit effectué à partir d’un Virtual Private Cloud (VPC). Vous pouvez aussi créer une stratégie de contrôle de service (SCP) et exiger que tous les points d'accès soient limités à un VPC (Virtual Private Cloud), créant ainsi un pare-feu pour vos données au sein de vos réseaux privés.
- Test de nouvelles stratégies d’accès : Les points d’accès permettent de tester aisément de nouvelles stratégies d’accès avant la migration des applications sur le point d’accès, ou avant de copier la stratégie sur un point d’accès existant.
- Limitation de l’accès à des ID de compte spécifiques : Avec les points d’accès S3, il est possible de spécifier des stratégies de point de terminaison d’un VPC qui n’autorisent l’accès qu’aux points d’accès (et donc aux compartiments) appartenant à des ID de compte spécifiques. Cela simplifie la création de stratégies d’accès qui autorisent l’accès à des compartiments au sein du même compte, tout en rejetant tout autre accès S3 via le point de terminaison d’un VPC.
- Spécification d’un nom unique : Les points d’accès S3 vous permettent de spécifier le nom de votre choix, pour autant qu’il soit unique dans le compte et la région. Par exemple, vous pouvez désormais avoir un point d'accès « test » dans chaque compte et région.
L'utilisation des points d'accès S3 simplifie le travail de création, de partage et de maintien de l'accès aux données dans vos compartiments S3 partagés, que vous créiez un point d'accès pour l'ingestion ou la transformation de données, l'accès restreint en lecture ou l'accès illimité.
Comment AWS Data Exchange utilise-t-il les points d’accès S3 ?
AWS Data Exchange for Amazon S3 accélère la mise en place d'informations grâce à un accès direct aux données Amazon S3 des fournisseurs de données. AWS Data Exchange pour Amazon S3 vous aide à trouver, à vous abonner et à utiliser facilement des fichiers de données tiers pour optimiser les coûts de stockage, simplifier la gestion des licences de données, etc.
Une fois abonné, vous avez automatiquement accès au compartiment S3 du fournisseur via un point d'accès S3 dédié géré par AWS Data Exchange. Vous pouvez utiliser l'alias du point d'accès S3 pour analyser facilement les fichiers partagés avec les services AWS, tels qu'Amazon Athena, Amazon SageMaker Feature Store et Amazon EMR, sans avoir besoin de créer ou de gérer des copies de données.
Consultez la page produit AWS Data Exchange pour Amazon S3 pour en savoir plus.
Mise en route avec les points d'accès S3
Vous pouvez commencer à créer des points d’accès, sans frais supplémentaires, sur des compartiments nouveaux ou existants via AWS Management Console, l’interface de ligne de commande (CLI) AWS, l’interface de programmation d’applications (API) et le client kit de développement logiciel (SDK) AWS. Vous pouvez aisément ajouter, afficher et supprimer des points d’accès ainsi que modifier des stratégies de point d’accès via la console S3 et l’interface de ligne de commande (CLI). Vous pouvez écrire des stratégies de point d’accès exactement de la même manière qu’une stratégie de compartiment en utilisant des règles IAM pour le contrôle des autorisations.
L’utilisation de modèles CloudFormation facilitera votre prise en main des points d’accès. Vous pouvez surveiller et auditer les opérations des points d'accès, telles que la création et la suppression de points d'accès, via les journaux AWS CloudTrail. Le contrôle de l'utilisation des points d'accès est possible grâce à la prise en charge par AWS Organizations des politiques de contrôle de service (SCP) AWS.
Consultez la documentation sur les points d’accès S3 pour en savoir plus.