Création de points d’accès restreints à un virtual private cloud - FSx pour ONTAP

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création de points d’accès restreints à un virtual private cloud

Lorsque vous créez un point d'accès, vous pouvez choisir de le rendre accessible depuis Internet, ou vous pouvez spécifier que toutes les demandes effectuées via ce point d'accès doivent provenir d'un Amazon Virtual Private Cloud spécifique. Un point d’accès accessible depuis Internet est dit avoir une origine réseau d’Internet. Il peut être utilisé depuis n'importe où sur Internet, sous réserve de toute autre restriction d'accès en place pour le point d'accès, le bucket sous-jacent ou le FSx volume Amazon, et les ressources associées, telles que les objets demandés. Un point d'accès accessible uniquement depuis un Amazon VPC spécifique a pour origine réseauVPC, et Amazon S3 rejette toute demande adressée au point d'accès qui ne provient pas de cet Amazon VPC.

Important

Vous ne pouvez spécifier l’origine réseau d’un point d’accès qu’au moment de la création du point d’accès. Après avoir créé le point d’accès, vous ne pouvez pas modifier son origine réseau.

Pour restreindre un point d'accès à Amazon VPC uniquement, vous devez inclure le VpcConfiguration paramètre dans la demande de création du point d'accès. Dans le VpcConfiguration paramètre, vous spécifiez l'identifiant Amazon VPC que vous souhaitez utiliser pour utiliser le point d'accès. Si une demande est faite via le point d'accès, elle doit provenir d'Amazon VPC, sinon Amazon S3 la rejettera.

Vous pouvez récupérer l'origine réseau d'un point d'accès à l'aide de AWS CLI AWS SDKs, ou REST APIs. Si une configuration Amazon VPC est spécifiée pour un point d'accès, son origine réseau est. VPC Sinon, l’origine réseau du point d’accès est Internet.

Exemple : créer un point d'accès limité à l'accès Amazon VPC

L'exemple suivant crée un point d'accès nommé example-vpc-ap d'après le bucket amzn-s3-demo-bucket in account 123456789012 qui autorise l'accès uniquement depuis vpc-1a2b3c Amazon VPC. L’exemple vérifie ensuite que le nouveau point d’accès a une origine réseau de VPC.

AWS CLI
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
   VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
   --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
$ {
  {
     "S3AccessPointAttachment": {
        "Lifecycle": "CREATING",
        "CreationTime": 1728935791.8,
        "Name": "example-vpc-ap",
        "OntapConfiguration": {
            "VolumeId": "fsvol-0123456789abcdef9",
            "FileSystemIdentity": {
                "Type": "UNIX",
                "UnixUser": {
                    "Name": "my-unix-user"
                }
            }
        },
        "S3AccessPoint": {
            "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
            "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
            "VpcConfiguration": { 
                "VpcId": "vpc-1a2b3c"
            }
        }
     }
  }

Pour utiliser un point d'accès avec un Amazon VPC, vous devez modifier la politique d'accès de votre point de terminaison Amazon VPC. Les points de terminaison Amazon VPC permettent au trafic de circuler de votre Amazon VPC vers Amazon S3. Ils ont des politiques de contrôle d'accès qui contrôlent la manière dont les ressources d'Amazon VPC sont autorisées à interagir avec Amazon S3. Les demandes de votre Amazon VPC à Amazon S3 n'aboutissent via un point d'accès que si la politique de point de terminaison Amazon VPC autorise l'accès à la fois au point d'accès et au compartiment sous-jacent.

Note

Pour rendre les ressources accessibles uniquement au sein d'un Amazon VPC, assurez-vous de créer une zone hébergée privée pour votre point de terminaison Amazon VPC. Pour utiliser une zone hébergée privée, modifiez vos paramètres Amazon VPC afin que les attributs enableDnsHostnames du réseau Amazon VPC soient définis sur. enableDnsSupport true

L'exemple de déclaration de politique suivant configure un point de terminaison Amazon VPC pour autoriser les appels GetObject et un point d'accès nommé. example-vpc-ap

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
Note

La déclaration Resource de cet exemple utilise un Amazon Resource Name (ARN) pour spécifier le point d’accès.

Pour plus d'informations sur les politiques relatives aux points de terminaison Amazon VPC, consultez la section Points de terminaison Gateway pour Amazon S3 dans le guide de l'utilisateur Amazon VPC.