Creazione di access point limitati a un cloud privato virtuale - FSx per ONTAP

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di access point limitati a un cloud privato virtuale

Quando crei un punto di accesso, puoi scegliere di renderlo accessibile da Internet oppure puoi specificare che tutte le richieste effettuate tramite quel punto di accesso devono provenire da uno specifico Amazon Virtual Private Cloud. Un access point accessibile da Internet ha l'origine di rete Internet. Può essere utilizzato da qualsiasi punto di Internet, fatte salve eventuali altre restrizioni di accesso in vigore per il punto di accesso, il bucket sottostante o FSx il volume Amazon e le risorse correlate, come gli oggetti richiesti. Un punto di accesso accessibile solo da uno specifico Amazon VPC ha un'origine di rete di VPC e Amazon S3 rifiuta qualsiasi richiesta effettuata al punto di accesso che non provenga da tale Amazon VPC.

Importante

Puoi specificare l'origine di rete di un access point solo quando crei l'access point. Dopo aver creato l'access point, non è più possibile modificare l'origine di rete.

Per limitare un punto di accesso all'accesso solo ad Amazon VPC, includi il VpcConfiguration parametro nella richiesta di creazione del punto di accesso. Nel VpcConfiguration parametro, specifichi l'ID Amazon VPC che desideri utilizzare per l'access point. Se viene effettuata una richiesta tramite il punto di accesso, la richiesta deve provenire da Amazon VPC o Amazon S3 la rifiuterà.

Puoi recuperare l'origine di rete di un punto di accesso utilizzando AWS CLI, AWS SDKs o REST. APIs Se per un punto di accesso è specificata una configurazione Amazon VPC, la sua origine di rete è. VPC In caso contrario, l'origine della rete dell'access point è Internet.

Esempio: creare un punto di accesso limitato all'accesso ad Amazon VPC

L'esempio seguente crea un punto di accesso denominato example-vpc-ap bucket amzn-s3-demo-bucket in account 123456789012 che consente l'accesso solo da vpc-1a2b3c Amazon VPC. L'esempio verifica quindi che il nuovo access point abbia l'origine di rete VPC.

AWS CLI
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
   VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
   --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
$ {
  {
     "S3AccessPointAttachment": {
        "Lifecycle": "CREATING",
        "CreationTime": 1728935791.8,
        "Name": "example-vpc-ap",
        "OntapConfiguration": {
            "VolumeId": "fsvol-0123456789abcdef9",
            "FileSystemIdentity": {
                "Type": "UNIX",
                "UnixUser": {
                    "Name": "my-unix-user"
                }
            }
        },
        "S3AccessPoint": {
            "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
            "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
            "VpcConfiguration": { 
                "VpcId": "vpc-1a2b3c"
            }
        }
     }
  }

Per utilizzare un punto di accesso con un Amazon VPC, devi modificare la politica di accesso per il tuo endpoint Amazon VPC. Gli endpoint Amazon VPC consentono al traffico di fluire dal tuo Amazon VPC ad Amazon S3. Dispongono di politiche di controllo degli accessi che controllano il modo in cui le risorse all'interno di Amazon VPC possono interagire con Amazon S3. Le richieste dal tuo Amazon VPC ad Amazon S3 hanno successo tramite un punto di accesso solo se la policy degli endpoint di Amazon VPC consente l'accesso sia al punto di accesso che al bucket sottostante.

Nota

Per rendere le risorse accessibili solo all'interno di un Amazon VPC, assicurati di creare una zona ospitata privata per il tuo endpoint Amazon VPC. Per utilizzare una zona ospitata privata, modifica le impostazioni di Amazon VPC in modo che gli attributi di rete Amazon VPC siano enableDnsHostnames impostati enableDnsSupport su. true

La seguente dichiarazione politica di esempio configura un endpoint Amazon VPC per consentire le chiamate verso un punto GetObject di accesso denominato. example-vpc-ap

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
Nota

La dichiarazione Resource in questo esempio utilizza un Amazon Resource Name (ARN) per specificare l'access point.

Per ulteriori informazioni sulle politiche degli endpoint di Amazon VPC, consulta Gateway endpoints for Amazon S3 nella Amazon VPC User Guide.