Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Creación de un punto de acceso
Puede crear y administrar puntos de acceso S3 que se adjunten a los FSx volúmenes de Amazon mediante la FSx consola, la CLI y la API de Amazon, y con soporte SDKs.
**nota**
Como es posible que desee publicar el nombre de su punto de acceso S3 para que otros usuarios puedan usarlo, evite incluir información confidencial en el nombre del punto de acceso S3. Los nombres de los puntos de acceso se publican en una base de datos de acceso público conocida como sistema de nombres de dominio (DNS). Para obtener más información sobre los nombres de los puntos de acceso, consulte[Reglas de nomenclatura de los puntos de acceso](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
## Permisos necesarios
Se requieren los siguientes permisos para crear un punto de acceso S3 adjunto a un FSx volumen de Amazon:
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
El `s3:PutAccessPointPolicy` permiso es necesario para crear una política de puntos de acceso opcional mediante la consola Amazon FSx o S3. Para obtener más información, consulte [Políticas de puntos de acceso de IAM](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies).
Para crear un punto de acceso, consulte los temas siguientes.
**Topics**
+ [Permisos necesarios](#create-ap-permissions)
+ [Crear puntos de acceso](create-access-points.md)
+ [Crear puntos de acceso restringidos a una nube privada virtual](access-points-for-fsxn-vpc.md)
# Crear puntos de acceso
**importante**
Para conectar un punto de acceso S3 a un FSx volumen de ONTAP, el volumen debe estar montado (tener una ruta de unión). Consulte la [documentación de ONTAP](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html) para obtener más información.
El volumen FSx de ONTAP debe existir ya en su cuenta al crear un punto de acceso S3 para su volumen.
Para crear el punto de acceso S3 adjunto a un volumen FSx de ONTAP, especifique las siguientes propiedades:
+ El nombre del punto de acceso. Para obtener información sobre las reglas de denominación de los puntos de acceso, consulte[Reglas de nomenclatura de los puntos de acceso](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
+ La identidad del usuario del sistema de archivos que se utilizará para autorizar las solicitudes de acceso a los archivos realizadas mediante el punto de acceso. Especifique el nombre de usuario POSIX que desee incluir en UNIX o Windows. Para obtener más información, consulte [Identidad y autorización del usuario del sistema de archivos](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity).
+ La configuración de red del punto de acceso determina si se puede acceder al punto de acceso desde Internet o si el acceso está restringido a una nube privada virtual (VPC) específica. Para obtener más información, consulte [Crear puntos de acceso restringidos a una nube privada virtual](access-points-for-fsxn-vpc.md).
## Para crear un punto de acceso S3 adjunto a un FSx volumen (FSx consola)
1. Abre la FSx consola de Amazon en [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. En la barra de navegación de la parte superior de la página, elige el Región de AWS lugar en el que quieres crear un punto de acceso. El punto de acceso debe crearse en la misma región que el volumen asociado.
1. En el panel de navegación izquierdo, seleccione **Volumes (Volúmenes)**.
1. En la página **Volúmenes**, elija el volumen FSx de ONTAP al que desee conectar el punto de acceso.
1. Abra la página **Crear punto de acceso S3** seleccionando **Crear punto de acceso S3** en el menú **Acciones**.
1. **En Nombre del punto de acceso**, introduzca el nombre del punto de acceso. Para obtener más información sobre las directrices y restricciones para los nombres de los puntos de acceso, consulte[Reglas de nomenclatura de los puntos de acceso](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
**Los detalles de la fuente de datos** se rellenan con la información del volumen que eligió en el paso 3.
1. Amazon utiliza la identidad de usuario del sistema de archivos FSx para autenticar las solicitudes de acceso a los archivos que se realizan mediante este punto de acceso. Asegúrese de que el usuario del sistema de archivos que especifique tiene los permisos correctos en el volumen FSx de ONTAP.
En el **tipo de identidad de usuario del sistema de archivos**, seleccione UNIX o Windows.
1. En **Nombre de usuario**, introduzca el nombre de usuario del usuario.
1. En el panel de **configuración de la red**, puede elegir si se puede acceder al punto de acceso desde Internet o si el acceso está restringido a una nube privada virtual específica.
En **Origen de la red**, elija **Internet** para que el punto de acceso sea accesible desde Internet, o elija **Nube privada virtual (VPC)** e introduzca el **ID de VPC** desde el que desea limitar el acceso al punto de acceso.
Para obtener más información acerca de los orígenes de red para los puntos de acceso, consulte [Crear puntos de acceso restringidos a una nube privada virtual](access-points-for-fsxn-vpc.md).
1. (Opcional) En **Política de puntos de acceso (*opcional***), especifique una política de puntos de acceso opcional. Asegúrese de resolver cualquier advertencia, error o sugerencia de política. Para obtener más información sobre cómo especificar una política de puntos de acceso, consulte [Configuración de políticas de IAM para el uso de puntos de acceso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) en la *Guía del usuario de Amazon Simple Storage Service*.
1. Seleccione **Crear punto de acceso** para revisar la configuración de los adjuntos del punto de acceso.
## Para crear un punto de acceso S3 adjunto a un FSx volumen (CLI)
El siguiente comando de ejemplo crea un punto de acceso con el nombre *`my-ontap-ap`* correspondiente al volumen FSx de ONTAP de *`fsvol-0123456789abcdef9`* la cuenta*`111122223333`*.
```
$ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json
```
Si la solicitud se realiza correctamente, el sistema responde devolviendo el nuevo adjunto al punto de acceso S3.
```
$ {
{
"S3AccessPointAttachment": {
"CreationTime": 1728935791.8,
"Lifecycle": "CREATING",
"LifecycleTransitionReason": {
"Message": "string"
},
"Name": "my-ontap-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "ec2-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-0123467"
}
}
}
}
```
# Crear puntos de acceso restringidos a una nube privada virtual
Al crear un punto de acceso, puede elegir hacer que el punto de acceso sea accesible desde Internet o puede especificar que todas las solicitudes realizadas a través de ese punto de acceso se originen en una Amazon Virtual Private Cloud específica. Se dice que el origen de red de un punto de acceso que es accesible desde Internet es `Internet`. Se puede usar desde cualquier lugar de Internet, sujeto a cualquier otra restricción de acceso vigente para el punto de acceso, el depósito subyacente o el FSx volumen de Amazon y los recursos relacionados, como los objetos solicitados. Un punto de acceso al que solo se puede acceder desde una Amazon VPC específica tiene un origen de red de `VPC` Amazon VPC y Amazon S3 rechaza cualquier solicitud realizada al punto de acceso que no se origine en esa Amazon VPC.
**importante**
Solo se puede especificar el origen de red de un punto de acceso en el momento de crearlo. Una vez creado el punto de acceso, ya no puede cambiar su origen de red.
Para restringir un punto de acceso al acceso exclusivo de Amazon VPC, debes incluir el `VpcConfiguration` parámetro en la solicitud para crear el punto de acceso. En el `VpcConfiguration` parámetro, especificas el ID de Amazon VPC que quieres que pueda usar en el punto de acceso. Si se realiza una solicitud a través del punto de acceso, la solicitud debe provenir de Amazon VPC o Amazon S3 la rechazará.
Puede recuperar el origen de la red de un punto de acceso mediante AWS CLI AWS SDKs, o REST APIs. Si un punto de acceso tiene una configuración de Amazon VPC especificada, su origen de red es. `VPC` De lo contrario, el origen de red del punto de acceso es `Internet`.
**Example**
***Ejemplo: crear un punto de acceso restringido al acceso a Amazon VPC***
En el siguiente ejemplo, se crea un punto de acceso con el nombre `example-vpc-ap` del bucket `amzn-s3-demo-bucket` de la cuenta `123456789012` que solo permite el acceso desde `vpc-1a2b3c` Amazon VPC. A continuación, el ejemplo comprueba que el origen de red del nuevo punto de acceso sea `VPC`.
```
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
```
```
$ {
{
"S3AccessPointAttachment": {
"Lifecycle": "CREATING",
"CreationTime": 1728935791.8,
"Name": "example-vpc-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "my-unix-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
"Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
}
}
}
}
```
Para utilizar un punto de acceso con una Amazon VPC, debe modificar la política de acceso de su punto de enlace de Amazon VPC. Los puntos de enlace de Amazon VPC permiten que el tráfico fluya desde su Amazon VPC a Amazon S3. Tienen políticas de control de acceso que controlan la forma en que los recursos de la VPC de Amazon pueden interactuar con Amazon S3. Las solicitudes de su Amazon VPC a Amazon S3 solo se aceptan a través de un punto de acceso si la política de puntos finales de Amazon VPC concede acceso tanto al punto de acceso como al bucket subyacente.
**nota**
Para que los recursos sean accesibles solo dentro de una Amazon VPC, asegúrese de crear una [zona alojada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) para su punto de enlace de Amazon VPC. Para usar una zona alojada privada, [modifique la configuración de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) para que los [atributos de la red de Amazon VPC estén](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` configurados `enableDnsSupport` en. `true`
El siguiente ejemplo de declaración de política configura un punto de enlace de Amazon VPC para permitir las llamadas `GetObject` y un punto de acceso denominado. `example-vpc-ap`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**nota**
La declaración `Resource` de este ejemplo utiliza un nombre de recurso de Amazon (ARN) para especificar el punto de acceso.
Para obtener más información sobre las políticas de puntos de enlace de Amazon VPC, consulte los [puntos de enlace de puerta de enlace para Amazon S3 en la Guía](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) del usuario de Amazon *VPC*.