Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Erstellen von Zugriffspunkten, die auf eine Virtual Private Cloud beschränkt sind Wenn Sie einen Access Point erstellen, können Sie wählen, ob der Access Point über das Internet zugänglich sein soll, oder Sie können angeben, dass alle Anfragen, die über diesen Access Point gestellt werden, von einer bestimmten Amazon Virtual Private Cloud stammen müssen. Ein Zugangspunkt, der über das Internet zugänglich ist, soll einen Netzwerkursprung von `Internet` haben. Es kann von überall im Internet aus verwendet werden, vorbehaltlich aller anderen Zugriffsbeschränkungen für den Access Point, den zugrunde liegenden Bucket oder das FSx Amazon-Volume und verwandte Ressourcen, wie z. B. die angeforderten Objekte. Ein Access Point, auf den nur von einer bestimmten Amazon VPC aus zugegriffen werden kann, hat einen Netzwerkursprung von`VPC`, und Amazon S3 lehnt alle Anfragen an den Access Point ab, die nicht von dieser Amazon VPC stammen. **Wichtig** Sie können den Netzwerkursprung eines Zugriffspunkts nur angeben, wenn Sie den Zugriffspunkt erstellen. Nachdem Sie den Zugriffspunkt erstellt haben, können Sie seinen Netzwerkursprung nicht mehr ändern. Um einen Access Point auf den Zugriff nur mit Amazon VPC zu beschränken, fügen Sie den `VpcConfiguration` Parameter der Anforderung zur Erstellung des Access Points bei. Im `VpcConfiguration` Parameter geben Sie die Amazon VPC-ID an, mit der Sie den Access Point verwenden möchten. Wenn eine Anfrage über den Access Point gestellt wird, muss die Anfrage von der Amazon VPC stammen. Andernfalls lehnt Amazon S3 sie ab. Sie können den Netzwerkursprung eines Access Points mithilfe von AWS CLI AWS SDKs, oder REST APIs abrufen. Wenn für einen Access Point eine Amazon VPC-Konfiguration angegeben ist, ist `VPC` sein Netzwerkursprung. Andernfalls ist der Netzwerkursprung des Zugriffspunkts `Internet`. **Example** ***Beispiel: Erstellen Sie einen Access Point, der auf Amazon VPC-Zugriff beschränkt ist*** Im folgenden Beispiel wird ein Access Point mit dem Namen `example-vpc-ap` Bucket `amzn-s3-demo-bucket` in Account erstellt`123456789012`, der den Zugriff nur von der `vpc-1a2b3c` Amazon VPC aus ermöglicht. Das Beispiel überprüft dann, ob der neue Zugriffspunkt den Netzwerkursprung `VPC` hat. ``` $ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \ VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \ --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json ``` ``` $ { { "S3AccessPointAttachment": { "Lifecycle": "CREATING", "CreationTime": 1728935791.8, "Name": "example-vpc-ap", "OntapConfiguration": { "VolumeId": "fsvol-0123456789abcdef9", "FileSystemIdentity": { "Type": "UNIX", "UnixUser": { "Name": "my-unix-user" } } }, "S3AccessPoint": { "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap", "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias", "VpcConfiguration": { "VpcId": "vpc-1a2b3c" } } } } ``` Um einen Access Point mit einer Amazon VPC zu verwenden, müssen Sie die Zugriffsrichtlinie für Ihren Amazon VPC-Endpunkt ändern. Amazon VPC-Endpunkte ermöglichen den Datenfluss von Ihrer Amazon VPC zu Amazon S3. Sie verfügen über Zugriffskontrollrichtlinien, die kontrollieren, wie Ressourcen innerhalb der Amazon VPC mit Amazon S3 interagieren dürfen. Anfragen von Ihrer Amazon VPC an Amazon S3 werden nur dann über einen Access Point erfolgreich ausgeführt, wenn die Amazon VPC-Endpunktrichtlinie Zugriff sowohl auf den Access Point als auch auf den zugrunde liegenden Bucket gewährt. **Anmerkung** Um Ressourcen nur innerhalb einer Amazon VPC zugänglich zu machen, stellen Sie sicher, dass Sie eine [private gehostete Zone](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) für Ihren Amazon VPC-Endpunkt erstellen. Um eine private gehostete Zone zu verwenden, [ändern Sie Ihre Amazon VPC-Einstellungen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) so, dass die [Amazon VPC-Netzwerkattribute](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` und auf eingestellt `enableDnsSupport` sind. `true` In der folgenden Beispiel-Richtlinienanweisung wird ein Amazon VPC-Endpunkt so konfiguriert, dass er Anrufe an `GetObject` und einen Zugriffspunkt mit dem Namen zulässt. `example-vpc-ap` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*" ] }] } ``` ------ **Anmerkung** Die `Resource`-Deklaration in diesem Beispiel verwendet einen Amazon-Ressourcennamen (ARN) zur Angabe des Zugriffspunkts. Weitere Informationen zu Amazon VPC-Endpunktrichtlinien finden Sie unter [Gateway-Endpunkte für Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) im *Amazon VPC-Benutzerhandbuch*.