Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Administrar el acceso a los puntos de acceso
Puede configurar cada punto de acceso S3 con distintos permisos y controles de red que S3 aplica a cualquier solicitud que se realice mediante ese punto de acceso. Los puntos de acceso S3 admiten políticas de recursos AWS Identity and Access Management (IAM) que puede utilizar para controlar el uso del punto de acceso por recurso, usuario u otras condiciones. Para que una aplicación o un usuario accedan a los archivos a través de un punto de acceso, tanto el punto de acceso como el volumen subyacente deben permitir la solicitud. Para obtener más información, consulte Políticas de puntos de acceso de IAM.
Los puntos de acceso Amazon S3 FSx para ONTAP utilizan un modelo de autorización de doble capa que combina los permisos de AWS IAM con los permisos a nivel del sistema de archivos. Este enfoque garantiza que las solicitudes de acceso a los datos estén debidamente autorizadas tanto a nivel de AWS servicio como a nivel del sistema de archivos subyacente.
Para que una aplicación o un usuario puedan acceder correctamente a los datos a través de un punto de acceso, tanto la política de puntos de acceso S3 como el volumen subyacente FSx de ONTAP deben permitir la solicitud.
Temas
Identidad y autorización del usuario del sistema de archivos
Al crear un punto de acceso S3 FSx para un volumen de ONTAP, se especifica una identidad del sistema de archivos que se utilizará para autorizar todas las solicitudes del sistema de archivos realizadas a través de ese punto de acceso. Esta identidad del sistema de archivos determina el nivel de acceso que se concede a los archivos y directorios subyacentes en función del modelo de permisos del sistema de archivos. El usuario del sistema de archivos es una cuenta de usuario en el sistema de FSx archivos de Amazon subyacente. Si el usuario del sistema de archivos tiene acceso de solo lectura, solo se autorizan las solicitudes de lectura realizadas desde el punto de acceso y se bloquean las solicitudes de escritura. Si el usuario del sistema de archivos tiene acceso de lectura y escritura, se autorizan tanto las solicitudes de lectura como las de escritura al volumen adjunto realizadas mediante el punto de acceso.
La identidad del sistema de archivos puede ser de dos tipos:
Identidad de UNIX: utilice una identidad de UNIX (nombre de usuario) al acceder a los volúmenes con el estilo de seguridad de UNIX
Identidad de Windows: utilice una identidad de Windows (dominio y nombre de usuario) al acceder a los volúmenes con el estilo de seguridad NTFS.
Al especificar una identidad de UNIX o Windows, todas las operaciones de la API de S3 que se realicen a través del punto de acceso se autorizan con los permisos de ese usuario en el sistema de archivos.
La identidad del sistema de archivos que asocie al punto de acceso determina el nivel de acceso a los archivos y directorios. Por ejemplo, si asocia el punto de acceso a la identidad raíz de UNIX (UID 0), que normalmente tiene todos los permisos de acceso a los archivos en el sistema de archivos, se autorizarán todas las operaciones con los archivos. Por el contrario, si asocia el punto de acceso a una identidad de usuario restringida, las operaciones con los archivos se limitarán a los elementos a los que puede acceder el usuario en función del modelo de permisos del sistema de archivos.
Debe usar el tipo de identidad del sistema de archivos UNIX para los volúmenes con el estilo de seguridad UNIX y el tipo de identidad de Windows para los volúmenes con el estilo de seguridad NTFS. Esta alineación garantiza que el modelo de autorización coincida con la configuración de seguridad del volumen.
En el caso de los volúmenes de estilo de seguridad UNIX, el sistema de archivos utiliza bits de modo o NFSv4 ACLs para controlar el acceso. En el caso de los volúmenes de estilo de seguridad NTFS, el sistema de archivos usa Windows ACLs para controlar el acceso.
importante
La conexión de un punto de acceso S3 a un volumen FSx de ONTAP no cambia el comportamiento del volumen cuando se accede al volumen directamente a través de NFS o SMB. Todas las operaciones existentes relacionadas con el volumen seguirán funcionando igual que antes. Las restricciones que incluya en la política de puntos de acceso S3 se aplican únicamente a las solicitudes realizadas mediante el punto de acceso.
Autorización de solicitud de API de S3
Cuando realiza una solicitud de API de S3 a través de un punto de acceso adjunto a un FSx volumen de NetApp ONTAP, Amazon S3 evalúa los permisos de IAM de la persona principal que realiza la llamada comparándolos con la política de recursos de IAM del punto de acceso. La persona principal de IAM que llama debe tener concedidos los permisos necesarios mediante sus políticas basadas en la identidad, y la política de recursos del punto de acceso también debe permitir la acción solicitada.
Amazon S3 evalúa todas las políticas pertinentes, incluidas las políticas de usuario, la política de puntos de acceso, las políticas de puntos de enlace de la VPC y las políticas de control de servicios, para determinar si autoriza la solicitud.
También puede configurar un punto de acceso S3 para que solo acepte solicitudes de una nube privada virtual (VPC) específica para restringir el acceso a los datos. Para obtener más información, consulte Crear puntos de acceso restringidos a una nube privada virtual.
S3 Block Public Access
Los puntos de acceso de Amazon S3 conectados a un volumen FSx de ONTAP se configuran automáticamente con el bloqueo de acceso público activado, que no puede cambiar.
Políticas de puntos de acceso de IAM
Los puntos de acceso Amazon S3 admiten políticas de recursos AWS Identity and Access Management (IAM) que le permiten controlar el uso del punto de acceso por recurso, usuario u otras condiciones. Para que una aplicación o un usuario puedan acceder a los objetos a través de un punto de acceso, tanto el punto de acceso como la fuente de datos subyacente deben permitir la solicitud.
El s3:PutAccessPointPolicy permiso es necesario para crear una política de puntos de acceso opcional.
Tras adjuntar un punto de acceso S3 a un FSx volumen de Amazon, todas las operaciones existentes en el volumen seguirán funcionando como antes. Las restricciones que se incluyen en una política de punto de acceso solo se aplican a las solicitudes realizadas a través de ese punto de acceso. Para obtener más información, consulte Configuración de políticas de IAM para el uso de puntos de acceso en la Guía del usuario de Amazon Simple Storage Service.
Puede configurar una política de puntos de acceso al crear un punto de acceso adjunto a un volumen FSx de ONTAP mediante la FSx consola de Amazon. Para agregar, modificar o eliminar una política de punto de acceso en un punto de acceso S3 existente, puede usar la consola, la CLI o la API de S3.
