Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind - FSx für ONTAP

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind

Wenn Sie einen Access Point erstellen, können Sie wählen, ob der Access Point über das Internet zugänglich sein soll, oder Sie können angeben, dass alle Anfragen, die über diesen Access Point gestellt werden, von einer bestimmten Amazon Virtual Private Cloud stammen müssen. Ein Zugangspunkt, der über das Internet zugänglich ist, soll einen Netzwerkursprung von Internet haben. Es kann von überall im Internet aus verwendet werden, vorbehaltlich aller anderen Zugriffsbeschränkungen für den Access Point, den zugrunde liegenden Bucket oder das FSx Amazon-Volume und verwandte Ressourcen, wie z. B. die angeforderten Objekte. Ein Access Point, auf den nur von einer bestimmten Amazon VPC aus zugegriffen werden kann, hat einen Netzwerkursprung vonVPC, und Amazon S3 lehnt alle Anfragen an den Access Point ab, die nicht von dieser Amazon VPC stammen.

Wichtig

Sie können den Netzwerkursprung eines Zugriffspunkts nur angeben, wenn Sie den Zugriffspunkt erstellen. Nachdem Sie den Zugriffspunkt erstellt haben, können Sie seinen Netzwerkursprung nicht mehr ändern.

Um einen Access Point auf den Zugriff nur mit Amazon VPC zu beschränken, fügen Sie den VpcConfiguration Parameter der Anforderung zur Erstellung des Access Points bei. Im VpcConfiguration Parameter geben Sie die Amazon VPC-ID an, mit der Sie den Access Point verwenden möchten. Wenn eine Anfrage über den Access Point gestellt wird, muss die Anfrage von der Amazon VPC stammen. Andernfalls lehnt Amazon S3 sie ab.

Sie können den Netzwerkursprung eines Access Points mithilfe von AWS CLI AWS SDKs, oder REST APIs abrufen. Wenn für einen Access Point eine Amazon VPC-Konfiguration angegeben ist, ist VPC sein Netzwerkursprung. Andernfalls ist der Netzwerkursprung des Zugriffspunkts Internet.

Beispiel: Erstellen Sie einen Access Point, der auf Amazon VPC-Zugriff beschränkt ist

Im folgenden Beispiel wird ein Access Point mit dem Namen example-vpc-ap Bucket amzn-s3-demo-bucket in Account erstellt123456789012, der den Zugriff nur von der vpc-1a2b3c Amazon VPC aus ermöglicht. Das Beispiel überprüft dann, ob der neue Zugriffspunkt den Netzwerkursprung VPC hat.

AWS CLI
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
   VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
   --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
$ {
  {
     "S3AccessPointAttachment": {
        "Lifecycle": "CREATING",
        "CreationTime": 1728935791.8,
        "Name": "example-vpc-ap",
        "OntapConfiguration": {
            "VolumeId": "fsvol-0123456789abcdef9",
            "FileSystemIdentity": {
                "Type": "UNIX",
                "UnixUser": {
                    "Name": "my-unix-user"
                }
            }
        },
        "S3AccessPoint": {
            "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
            "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
            "VpcConfiguration": { 
                "VpcId": "vpc-1a2b3c"
            }
        }
     }
  }

Um einen Access Point mit einer Amazon VPC zu verwenden, müssen Sie die Zugriffsrichtlinie für Ihren Amazon VPC-Endpunkt ändern. Amazon VPC-Endpunkte ermöglichen den Datenfluss von Ihrer Amazon VPC zu Amazon S3. Sie verfügen über Zugriffskontrollrichtlinien, die kontrollieren, wie Ressourcen innerhalb der Amazon VPC mit Amazon S3 interagieren dürfen. Anfragen von Ihrer Amazon VPC an Amazon S3 werden nur dann über einen Access Point erfolgreich ausgeführt, wenn die Amazon VPC-Endpunktrichtlinie Zugriff sowohl auf den Access Point als auch auf den zugrunde liegenden Bucket gewährt.

Anmerkung

Um Ressourcen nur innerhalb einer Amazon VPC zugänglich zu machen, stellen Sie sicher, dass Sie eine private gehostete Zone für Ihren Amazon VPC-Endpunkt erstellen. Um eine private gehostete Zone zu verwenden, ändern Sie Ihre Amazon VPC-Einstellungen so, dass die Amazon VPC-Netzwerkattribute enableDnsHostnames und auf eingestellt enableDnsSupport sind. true

In der folgenden Beispiel-Richtlinienanweisung wird ein Amazon VPC-Endpunkt so konfiguriert, dass er Anrufe an GetObject und einen Zugriffspunkt mit dem Namen zulässt. example-vpc-ap

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
Anmerkung

Die Resource-Deklaration in diesem Beispiel verwendet einen Amazon-Ressourcennamen (ARN) zur Angabe des Zugriffspunkts.

Weitere Informationen zu Amazon VPC-Endpunktrichtlinien finden Sie unter Gateway-Endpunkte für Amazon S3 im Amazon VPC-Benutzerhandbuch.