Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Crear puntos de acceso restringidos a una nube privada virtual Al crear un punto de acceso, puede elegir hacer que el punto de acceso sea accesible desde Internet o puede especificar que todas las solicitudes realizadas a través de ese punto de acceso se originen en una Amazon Virtual Private Cloud específica. Se dice que el origen de red de un punto de acceso que es accesible desde Internet es `Internet`. Se puede usar desde cualquier lugar de Internet, sujeto a cualquier otra restricción de acceso vigente para el punto de acceso, el depósito subyacente o el FSx volumen de Amazon y los recursos relacionados, como los objetos solicitados. Un punto de acceso al que solo se puede acceder desde una Amazon VPC específica tiene un origen de red de `VPC` Amazon VPC y Amazon S3 rechaza cualquier solicitud realizada al punto de acceso que no se origine en esa Amazon VPC. **importante** Solo se puede especificar el origen de red de un punto de acceso en el momento de crearlo. Una vez creado el punto de acceso, ya no puede cambiar su origen de red. Para restringir un punto de acceso al acceso exclusivo de Amazon VPC, debes incluir el `VpcConfiguration` parámetro en la solicitud para crear el punto de acceso. En el `VpcConfiguration` parámetro, especificas el ID de Amazon VPC que quieres que pueda usar en el punto de acceso. Si se realiza una solicitud a través del punto de acceso, la solicitud debe provenir de Amazon VPC o Amazon S3 la rechazará. Puede recuperar el origen de la red de un punto de acceso mediante AWS CLI AWS SDKs, o REST APIs. Si un punto de acceso tiene una configuración de Amazon VPC especificada, su origen de red es. `VPC` De lo contrario, el origen de red del punto de acceso es `Internet`. **Example** ***Ejemplo: crear un punto de acceso restringido al acceso a Amazon VPC*** En el siguiente ejemplo, se crea un punto de acceso con el nombre `example-vpc-ap` del bucket `amzn-s3-demo-bucket` de la cuenta `123456789012` que solo permite el acceso desde `vpc-1a2b3c` Amazon VPC. A continuación, el ejemplo comprueba que el origen de red del nuevo punto de acceso sea `VPC`. ``` $ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \ VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \ --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json ``` ``` $ { { "S3AccessPointAttachment": { "Lifecycle": "CREATING", "CreationTime": 1728935791.8, "Name": "example-vpc-ap", "OntapConfiguration": { "VolumeId": "fsvol-0123456789abcdef9", "FileSystemIdentity": { "Type": "UNIX", "UnixUser": { "Name": "my-unix-user" } } }, "S3AccessPoint": { "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap", "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias", "VpcConfiguration": { "VpcId": "vpc-1a2b3c" } } } } ``` Para utilizar un punto de acceso con una Amazon VPC, debe modificar la política de acceso de su punto de enlace de Amazon VPC. Los puntos de enlace de Amazon VPC permiten que el tráfico fluya desde su Amazon VPC a Amazon S3. Tienen políticas de control de acceso que controlan la forma en que los recursos de la VPC de Amazon pueden interactuar con Amazon S3. Las solicitudes de su Amazon VPC a Amazon S3 solo se aceptan a través de un punto de acceso si la política de puntos finales de Amazon VPC concede acceso tanto al punto de acceso como al bucket subyacente. **nota** Para que los recursos sean accesibles solo dentro de una Amazon VPC, asegúrese de crear una [zona alojada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) para su punto de enlace de Amazon VPC. Para usar una zona alojada privada, [modifique la configuración de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) para que los [atributos de la red de Amazon VPC estén](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` configurados `enableDnsSupport` en. `true` El siguiente ejemplo de declaración de política configura un punto de enlace de Amazon VPC para permitir las llamadas `GetObject` y un punto de acceso denominado. `example-vpc-ap` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*" ] }] } ``` ------ **nota** La declaración `Resource` de este ejemplo utiliza un nombre de recurso de Amazon (ARN) para especificar el punto de acceso. Para obtener más información sobre las políticas de puntos de enlace de Amazon VPC, consulte los [puntos de enlace de puerta de enlace para Amazon S3 en la Guía](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) del usuario de Amazon *VPC*.