Skip to main content

S3 Access Points

  • สมมติว่าคุณมี S3 bucket ขนาดใหญ่ เช่น มีข้อมูลทางการเงินและข้อมูลการขาย
  • ผู้ใช้หรือกลุ่มต่าง ๆ ต้องการเข้าถึงข้อมูลเฉพาะของตัวเอง
  • การจัดการ ผ่าน bucket policy เดียว จะซับซ้อนมากขึ้นเรื่อย ๆ เมื่อจำนวนผู้ใช้และข้อมูลเพิ่มขึ้น

An image

วิธีแก้ปัญหา: S3 Access Points

  • Access Points คือจุดเชื่อมต่อแยกสำหรับ S3 bucket เพื่อจัดการสิทธิ์การเข้าถึงอย่างง่าย

  • ตัวอย่าง:

    • สร้าง finance access point → เชื่อมกับ prefix ของข้อมูลการเงิน

      • กำหนด access point policy ให้สิทธิ์อ่าน/เขียนเฉพาะ finance prefix

    • สร้าง sales access point → เชื่อมกับ prefix ของข้อมูลการขาย

      • กำหนด policy ให้สิทธิ์อ่าน/เขียนเฉพาะ sales prefix

    • สร้าง analytics access point → ชี้ไปทั้ง finance และ sales แต่ให้ สิทธิ์อ่านอย่างเดียว

  • ผลลัพธ์:

    • แต่ละ access point มี policy ของตัวเอง
    • ผู้ใช้แต่ละกลุ่มเข้าถึงเฉพาะข้อมูลที่เกี่ยวข้อง
    • การจัดการ security ง่ายขึ้นและ scalable

ข้อดีของการใช้ Access Points

  • ลดความซับซ้อนของ bucket policy
  • สามารถกำหนด นโยบายเฉพาะสำหรับแต่ละกลุ่มผู้ใช้
  • ผู้ใช้ finance → เข้าถึงเฉพาะ finance access point
  • ผู้ใช้ sales → เข้าถึงเฉพาะ sales access point
  • ผู้ใช้ analytics → เข้าถึงทั้ง finance และ sales แบบอ่านอย่างเดียว

รายละเอียดของ Access Points

  • แต่ละ access point มี DNS name ของตัวเอง

  • การเชื่อมต่อสามารถทำได้ผ่าน:

    • อินเทอร์เน็ต (public)
    • VPC (private)

  • VPC Origin / Private Access:

    • สามารถกำหนดให้ access point เข้าถึงได้เฉพาะผ่าน VPC
    • EC2 instance ใน VPC สามารถเข้าถึง S3 ผ่าน VPC access point โดยไม่ต้องผ่านอินเทอร์เน็ต
    • ต้องสร้าง VPC endpoint และกำหนด policy ของ endpoint ให้สามารถเข้าถึง access point และ bucket ได้

An image

Layered Security Model (หลายชั้น)

  • VPC endpoint policy → ควบคุมการเชื่อมต่อแบบ private
  • Access point policies → จัดการสิทธิ์การเข้าถึงข้อมูล
  • S3 bucket policies → ควบคุมความปลอดภัยโดยรวม

สรุป

  • S3 Access Points ช่วยจัดการสิทธิ์เข้าถึง S3 bucket ขนาดใหญ่ได้ง่ายและ scalable
  • แต่ละ access point มี policy แยกกัน
  • สามารถเชื่อมต่อผ่านอินเทอร์เน็ตหรือ VPC
  • ใช้ VPC endpoint + policy เพื่อให้เชื่อมต่อแบบ private และปลอดภัย

Key Takeaways

  • Access Points ทำให้การจัดการความปลอดภัยง่ายขึ้นด้วย policy แยกตาม access point
  • กำหนดสิทธิ์อ่าน/เขียนเฉพาะ prefix ใน bucket
  • Access Points มี DNS name ของตัวเอง
  • เชื่อมต่อได้ผ่านอินเทอร์เน็ตหรือ VPC
  • VPC endpoint + policy ช่วยให้เชื่อมต่อ private และปลอดภัยโดยไม่ผ่านอินเทอร์เน็ต