# Crear puntos de acceso restringidos a una nube privada virtual
<a name="access-points-vpc"></a>

Al crear un punto de acceso, tiene la opción de elegir hacer que sea accesible desde Internet o especificar que todas las solicitudes realizadas a través de ese punto de acceso deban originarse en una nube privada virtual (VPC) específica. Se dice que el origen de red de un punto de acceso que es accesible desde Internet es `Internet`. Se puede usar desde cualquier lugar de Internet, con sujeción a las restricciones de acceso en vigor para el punto de acceso, el origen de datos subyacente y los recursos relacionados, como los objetos solicitados. El origen de un punto de acceso al que solo se puede acceder desde una VPC es `VPC`. En este caso, Amazon S3 rechazará todas las solicitudes realizadas al punto de acceso cuando el origen de estas no sea esa misma VPC.

**importante**  
Solo se puede especificar el origen de red de un punto de acceso en el momento de crearlo. Una vez creado el punto de acceso, ya no puede cambiar su origen de red.

Para restringir un punto de acceso de modo que sea solo VPC, incluya el parámetro `VpcConfiguration` con la solicitud de creación del punto de acceso. En el parámetro `VpcConfiguration`, especifique el ID de VPC que desee que el punto de acceso pueda utilizar. Si se realiza una solicitud a través del punto de acceso, la solicitud debe originarse en la VPC; de lo contrario, Amazon S3 la rechazará. 

Puede recuperar el origen de red de un punto de acceso mediante la AWS CLI, los AWS SDK o las API de REST. Si para un punto de acceso se ha especificado una configuración de VPC, su origen de red es `VPC`. De lo contrario, el origen de red del punto de acceso es `Internet`.

## Ejemplo: Creación y restricción de un punto de acceso a un ID de la VPC
<a name="access-points-vpc-example1"></a>

En el ejemplo siguiente se crea un punto de acceso denominado `example-vpc-ap` para el bucket `amzn-s3-demo-bucket` en la cuenta `123456789012`, que permite el acceso únicamente desde la VPC `vpc-1a2b3c`. A continuación, el ejemplo comprueba que el origen de red del nuevo punto de acceso sea `VPC`.

------
#### [ AWS CLI ]

```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
```

```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012

{
    "Name": "example-vpc-ap",
    "Bucket": "amzn-s3-demo-bucket",
    "NetworkOrigin": "VPC",
    "VpcConfiguration": {
        "VpcId": "vpc-1a2b3c"
    },
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}
```

------

Para utilizar un punto de acceso con una VPC, debe modificar la política de acceso para el punto de conexión de la VPC. Los puntos de enlace de la VPC permiten que el tráfico fluya desde su VPC hasta Amazon S3. Tienen políticas de control de acceso que controlan cómo pueden interactuar con Amazon S3 los recursos dentro de la VPC. Las solicitudes de la VPC a Amazon S3 solo se realizan correctamente a través de un punto de conexión de VPC si la política de punto de conexión de VPC concede acceso tanto al punto de conexión como al bucket subyacente.

**nota**  
Para que los recursos estén accesibles solo dentro de una VPC, asegúrese de crear una [zona alojada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) para el punto de conexión de VPC. Para usar una zona alojada privada, [modifique la configuración de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating), de modo que los [atributos de red de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` y `enableDnsSupport` estén configurados para `true`.

En el siguiente ejemplo de una instrucción de política, se configura un punto de conexión de la VPC para permitir llamadas a `GetObject` para un bucket denominado `awsexamplebucket1` y un punto de acceso denominado `example-vpc-ap`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*",
            "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
```

------

**nota**  
La declaración `"Resource"` de este ejemplo utiliza un nombre de recurso de Amazon (ARN) para especificar el punto de acceso. Para obtener más información acerca de los ARN de puntos de acceso, consulte [Referencia a puntos de acceso con ARN, alias de punto de acceso o URI de tipo de alojamiento virtual](access-points-naming.md). 

Para obtener más información acerca de las políticas de punto de conexión de VPC, consulte [Utilización de políticas de punto de conexión para Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) en la *Guía del usuario de VPC*.

Para ver un tutorial sobre cómo crear puntos de acceso con puntos de conexión de VPC, consulte [Administración del acceso a Amazon S3 con puntos de conexión de VPC y puntos de acceso](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/).

## Ejemplo: Creación y restricción de un punto de acceso adjunto a un volumen de FSx para OpenZFS a un ID de VPC
<a name="access-points-vpc-example2"></a>

Puede crear un punto de acceso adjunto a un volumen de FSx para OpenZFS mediante la consola de Amazon FSx, la AWS CLI o la API. Una vez adjunto, puede usar las API de objetos de S3 para acceder a los datos de los archivos desde una VPC específica.

Para obtener instrucciones sobre cómo crear y restringir un punto de acceso adjunto a un volumen de FSx para OpenZFS, consulte [Creación de puntos de acceso restringidos a una nube privada virtual (VPC)](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) en la *Guía del usuario de FSx para OpenZFS*.

## Ejemplo: Creación y restricción de un punto de acceso adjunto a un volumen de FSx para ONTAP a un ID de VPC
<a name="access-points-vpc-example3"></a>

Puede crear un punto de acceso adjunto a un volumen de FSx para ONTAP mediante la consola de Amazon FSx, la AWS CLI o la API. Una vez adjunto, puede usar las API de objetos de S3 para acceder a los datos de los archivos desde una VPC específica.

Para obtener instrucciones sobre cómo crear y restringir un punto de acceso asociado a un volumen de FSx para ONTAP, consulte la [https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html).