# Creación de un punto de acceso
Puede crear puntos de acceso de S3 mediante la Consola de administración de AWS, AWS Command Line Interface (AWS CLI), los SDK de AWS o la API de REST de Amazon S3. Los puntos de acceso son puntos de conexión de red con nombre adjuntos a un origen de datos, como un bucket, un volumen de Amazon FSx para ONTAP o un volumen de Amazon FSx para OpenZFS.
De forma predeterminada, puede crear hasta 10 000 puntos de acceso por región para cada una de sus Cuentas de AWS. Si necesita más de 10 000 puntos de acceso para una sola cuenta en una sola región, puede solicitar un aumento de la cuota de servicio. Para obtener más información sobre las cuotas de servicio y solicitar un aumento, consulte [Cuotas de servicio de AWS](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) en la *Referencia general de AWS*.
**Topics**
+ [Creación de puntos de acceso con buckets de S3](#create-access-points)
+ [Creación de puntos de acceso con Amazon FSx](#create-access-points-with-fsx)
+ [Crear puntos de acceso restringidos a una nube privada virtual](access-points-vpc.md)
+ [Administración del acceso público a los puntos de acceso para buckets de propósito general](access-points-bpa-settings.md)
## Creación de puntos de acceso con buckets de S3
Un punto de acceso está asociado con exactamente un bucket de propósito general de Amazon S3. Si desea utilizar un bucket en la Cuenta de AWS, primero debe crear un bucket. Para obtener más información acerca de cómo se crean los buckets, consulte [Creación, configuración y trabajo con buckets de propósito general de Amazon S3](creating-buckets-s3.md).
También puede crear un punto de acceso entre cuentas que esté asociado a un bucket en otra Cuenta de AWS, siempre y cuando conozca el nombre del bucket y el ID de cuenta del propietario del bucket. Sin embargo, la creación de puntos de acceso entre cuentas no le permite acceder a los datos del bucket hasta que el propietario del bucket le conceda los permisos. El propietario del bucket debe conceder acceso al bucket a la cuenta del propietario del punto de acceso (su cuenta) mediante la política de bucket. Para obtener más información, consulte [Concesión de permisos para puntos de acceso entre cuentas](access-points-policies.md#access-points-cross-account).
### Uso de la consola de S3
**Para crear un punto de acceso**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En la barra de navegación de la parte superior de la página, elija el nombre de la Región de AWS que aparece. A continuación, elija la región en la que desea crear un punto de acceso. El punto de acceso debe crearse en la misma región que el bucket asociado.
1. En el panel de navegación, elija **Puntos de acceso**.
1. En la página de **Puntos de acceso**, elija **Crear punto de acceso**.
1. Introduzca el nombre que desee para el punto de acceso en el campo **Nombre del punto de acceso**. Para obtener más información acerca de cómo nombrar los puntos de acceso, consulte [Reglas de nomenclatura para los puntos de acceso](access-points-restrictions-limitations-naming-rules.md#access-points-names).
1. Para **Origen de datos**, especifique el bucket de S3 que desea usar con el punto de acceso.
Para usar un bucket en la cuenta, seleccione **Elegir un bucket de esta cuenta** y escriba o examine los nombres del bucket.
Para usar un bucket de otra Cuenta de AWS, elija **Especificar un bucket de otra cuenta** e introduzca el ID Cuenta de AWS y el nombre del bucket. Si está utilizando un bucket de otra Cuenta de AWS, el propietario del bucket debe actualizar la política del bucket para autorizar las solicitudes del punto de acceso. Para ver una política de bucket de ejemplo, consulte [Concesión de permisos para puntos de acceso entre cuentas](access-points-policies.md#access-points-cross-account).
**nota**
Para obtener información sobre el uso de un volumen de FSx para OpenZFS como origen de datos, consulte [Creación de puntos de acceso con Amazon FSx](#create-access-points-with-fsx).
1. Elija un **Origen de red**, ya sea **Internet** o una **nube privada virtual (VPC)**. Si elige **Nube privada virtual (VPC)**, escriba el identificador **ID de VPC** que desea usar con el punto de acceso.
Para obtener más información acerca de los orígenes de red para los puntos de acceso, consulte [Crear puntos de acceso restringidos a una nube privada virtual](access-points-vpc.md).
1. En **Block Public Access settings for this Access Point (Configuración de bloqueo del acceso público a este punto de acceso)**, seleccione la configuración de bloqueo de acceso público que desee aplicar al punto de acceso. Todas las configuraciones de bloqueo de acceso público están habilitadas de forma predeterminada para los puntos de acceso nuevos. Le recomendamos que deje todas las configuraciones habilitadas a menos que sepa que tiene una necesidad específica de desactivar cualquiera de ellas.
**nota**
Después de crear un punto de acceso, no puede cambiar su configuración de bloqueo de acceso público.
Para obtener más información sobre el uso de Amazon S3 Block Public Access con puntos de acceso, consulte [Administración del acceso público a los puntos de acceso para buckets de propósito general](access-points-bpa-settings.md).
1. (Opcional) En **Access point policy - *optional*** (Política de punto de acceso: opcional), especifique la política de punto de acceso. Antes de guardar la política, asegúrese de resolver las advertencias de seguridad, los errores, las advertencias generales y las sugerencias. Para obtener más información acerca de cómo especificar una política de punto de acceso, consulte [Ejemplos de políticas de puntos de acceso](access-points-policies.md#access-points-policy-examples).
1. Elija **Create access point (Crear punto de acceso)**.
### Uso de AWS CLI
El comando de ejemplo siguiente crea un punto de acceso denominado *`example-ap`* para el bucket *`amzn-s3-demo-bucket`* de la cuenta *`111122223333`*. Para crear el punto de acceso, debe enviar una solicitud a Amazon S3 que especifique lo siguiente:
+ El nombre del punto de acceso. Para obtener información sobre las reglas de nomenclatura, consulte [Reglas de nomenclatura para los puntos de acceso](access-points-restrictions-limitations-naming-rules.md#access-points-names).
+ El nombre del bucket al que desea asociar el punto de acceso.
+ El ID de la cuenta para la Cuenta de AWS propietaria del punto de acceso.
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
Cuando cree un punto de acceso mediante un bucket en una Cuenta de AWS diferente, incluya el parámetro `--bucket-account-id`. El comando de ejemplo siguiente crea un punto de acceso en la Cuenta de AWS *`111122223333`*, con el bucket *`amzn-s3-demo-bucket2`*, que está en la Cuenta de AWS *`444455556666`*.
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket --bucket-account-id 444455556666
```
### Uso de la API de REST
Puede utilizar la API de REST para crear un punto de acceso. Para obtener más información, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html) en la *Referencia de la API de Amazon Simple Storage Service*.
## Creación de puntos de acceso con Amazon FSx
Puede crear y adjuntar un punto de acceso a un volumen de FSx para OpenZFS mediante la consola de Amazon FSx, la AWS CLI o la API. Una vez adjuntado, puede usar las API de objetos de S3 para acceder a los datos de los archivos. Los datos seguirán residiendo en el sistema de archivos de Amazon FSx y seguirán siendo directamente accesibles para las cargas de trabajo existentes. Seguirá gestionando su almacenamiento con todas las funciones de gestión del almacenamiento de FSx para OpenZFS, incluidas las copias de seguridad, las instantáneas, las cuotas de usuarios y grupos y la compresión.
Para obtener instrucciones sobre cómo crear un punto de acceso y adjuntarlo a un volumen de FSx para OpenZFS, consulte [Creating an access point](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) en la *Guía del usuario de FSx para OpenZFS*.
# Crear puntos de acceso restringidos a una nube privada virtual
Al crear un punto de acceso, tiene la opción de elegir hacer que sea accesible desde Internet o especificar que todas las solicitudes realizadas a través de ese punto de acceso deban originarse en una nube privada virtual (VPC) específica. Se dice que el origen de red de un punto de acceso que es accesible desde Internet es `Internet`. Se puede usar desde cualquier lugar de Internet, con sujeción a las restricciones de acceso en vigor para el punto de acceso, el origen de datos subyacente y los recursos relacionados, como los objetos solicitados. El origen de un punto de acceso al que solo se puede acceder desde una VPC es `VPC`. En este caso, Amazon S3 rechazará todas las solicitudes realizadas al punto de acceso cuando el origen de estas no sea esa misma VPC.
**importante**
Solo se puede especificar el origen de red de un punto de acceso en el momento de crearlo. Una vez creado el punto de acceso, ya no puede cambiar su origen de red.
Para restringir un punto de acceso de modo que sea solo VPC, incluya el parámetro `VpcConfiguration` con la solicitud de creación del punto de acceso. En el parámetro `VpcConfiguration`, especifique el ID de VPC que desee que el punto de acceso pueda utilizar. Si se realiza una solicitud a través del punto de acceso, la solicitud debe originarse en la VPC; de lo contrario, Amazon S3 la rechazará.
Puede recuperar el origen de red de un punto de acceso mediante la AWS CLI, los AWS SDK o las API de REST. Si para un punto de acceso se ha especificado una configuración de VPC, su origen de red es `VPC`. De lo contrario, el origen de red del punto de acceso es `Internet`.
## Ejemplo: Creación y restricción de un punto de acceso a un ID de la VPC
En el ejemplo siguiente se crea un punto de acceso denominado `example-vpc-ap` para el bucket `amzn-s3-demo-bucket` en la cuenta `123456789012`, que permite el acceso únicamente desde la VPC `vpc-1a2b3c`. A continuación, el ejemplo comprueba que el origen de red del nuevo punto de acceso sea `VPC`.
------
#### [ AWS CLI ]
```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
```
```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012
{
"Name": "example-vpc-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "VPC",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
------
Para utilizar un punto de acceso con una VPC, debe modificar la política de acceso para el punto de conexión de la VPC. Los puntos de enlace de la VPC permiten que el tráfico fluya desde su VPC hasta Amazon S3. Tienen políticas de control de acceso que controlan cómo pueden interactuar con Amazon S3 los recursos dentro de la VPC. Las solicitudes de la VPC a Amazon S3 solo se realizan correctamente a través de un punto de conexión de VPC si la política de punto de conexión de VPC concede acceso tanto al punto de conexión como al bucket subyacente.
**nota**
Para que los recursos estén accesibles solo dentro de una VPC, asegúrese de crear una [zona alojada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) para el punto de conexión de VPC. Para usar una zona alojada privada, [modifique la configuración de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating), de modo que los [atributos de red de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` y `enableDnsSupport` estén configurados para `true`.
En el siguiente ejemplo de una instrucción de política, se configura un punto de conexión de la VPC para permitir llamadas a `GetObject` para un bucket denominado `awsexamplebucket1` y un punto de acceso denominado `example-vpc-ap`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*",
"arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**nota**
La declaración `"Resource"` de este ejemplo utiliza un nombre de recurso de Amazon (ARN) para especificar el punto de acceso. Para obtener más información acerca de los ARN de puntos de acceso, consulte [Referencia a puntos de acceso con ARN, alias de punto de acceso o URI de tipo de alojamiento virtual](access-points-naming.md).
Para obtener más información acerca de las políticas de punto de conexión de VPC, consulte [Utilización de políticas de punto de conexión para Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) en la *Guía del usuario de VPC*.
Para ver un tutorial sobre cómo crear puntos de acceso con puntos de conexión de VPC, consulte [Administración del acceso a Amazon S3 con puntos de conexión de VPC y puntos de acceso](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/).
## Ejemplo: Creación y restricción de un punto de acceso adjunto a un volumen de FSx para OpenZFS a un ID de VPC
Puede crear un punto de acceso adjunto a un volumen de FSx para OpenZFS mediante la consola de Amazon FSx, la AWS CLI o la API. Una vez adjunto, puede usar las API de objetos de S3 para acceder a los datos de los archivos desde una VPC específica.
Para obtener instrucciones sobre cómo crear y restringir un punto de acceso adjunto a un volumen de FSx para OpenZFS, consulte [Creación de puntos de acceso restringidos a una nube privada virtual (VPC)](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) en la *Guía del usuario de FSx para OpenZFS*.
## Ejemplo: Creación y restricción de un punto de acceso adjunto a un volumen de FSx para ONTAP a un ID de VPC
Puede crear un punto de acceso adjunto a un volumen de FSx para ONTAP mediante la consola de Amazon FSx, la AWS CLI o la API. Una vez adjunto, puede usar las API de objetos de S3 para acceder a los datos de los archivos desde una VPC específica.
Para obtener instrucciones sobre cómo crear y restringir un punto de acceso asociado a un volumen de FSx para ONTAP, consulte la [https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html).
# Administración del acceso público a los puntos de acceso para buckets de propósito general
Los puntos de acceso de Amazon S3 admiten configuraciones de *Bloqueo de acceso público* independientes para cada punto de acceso. Al crear un punto de acceso, puede especificar la configuración del bloqueo de acceso público aplicable a ese punto de acceso. Para cualquier solicitud realizada a través de un punto de acceso, Amazon S3 evalúa la configuración de bloqueo de acceso público para ese punto de acceso, el bucket subyacente y la cuenta propietaria del bucket. Si alguna de estas configuraciones indica que la solicitud debe ser bloqueada, Amazon S3 rechaza la solicitud.
Para obtener más información acerca de la característica S3 Block Public Access, consulte [Bloquear el acceso público a su almacenamiento de Amazon S3](access-control-block-public-access.md).
**importante**
Todas las configuraciones de bloqueo de acceso público están habilitadas de forma predeterminada para los puntos de acceso. Debe desactivar explícitamente cualquier configuración que no desee durante la creación del punto de acceso.
No puede desactivar ninguna configuración de bloqueo de acceso público al crear o utilizar un punto de acceso adjunto a un sistema de archivos de Amazon FSx.
Después de crear un punto de acceso, no puede cambiar su configuración de bloqueo de acceso público.
**Example**
***Ejemplo: crear un punto de acceso con una configuración de bloqueo de acceso público personalizada***
En este ejemplo se crea un punto de acceso denominado `example-ap` para el bucket `amzn-s3-demo-bucket` en la cuenta `123456789012` con una configuración de bloqueo de acceso público no predeterminada. A continuación, en el ejemplo se recupera la configuración del nuevo punto de acceso para comprobar su configuración de bloqueo de acceso público.
```
aws s3control create-access-point --name example-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket--public-access-block-configuration BlockPublicAcls=false,IgnorePublicAcls=false,BlockPublicPolicy=true,RestrictPublicBuckets=true
```
```
aws s3control get-access-point --name example-ap --account-id 123456789012
{
"Name": "example-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"IgnorePublicAcls": false,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```