Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Accès à vos données via les points d'accès Amazon S3
Vous pouvez également utiliser les points d'accès S3 pour accéder aux données de fichiers stockées sur les systèmes de FSx fichiers Amazon comme si elles se trouvaient dans S3, ce qui vous permet de les utiliser avec des applications et des services qui fonctionnent avec S3 sans modifier les applications ni déplacer les données hors du stockage de fichiers. Les points d'accès Amazon S3 sont des points de terminaison S3 qui se connectent soit à des compartiments S3, soit à FSx des volumes ONTAP et OpenZFS FSx . Les points d'accès Amazon S3 simplifient la gestion de l'accès aux données pour toute application ou AWS service compatible avec S3. Avec les points d'accès S3, les clients disposant d'ensembles de données partagés, notamment des lacs de données, des archives multimédia et du contenu généré par les utilisateurs, peuvent facilement contrôler et étendre l'accès aux données pour des centaines d'applications, d'équipes ou de personnes en créant des points d'accès individualisés avec des noms et des autorisations personnalisés pour chacun.
Les points d'accès S3 attachés aux volumes Amazon FSx pour NetApp ONTAP prennent en charge l'accès en lecture et en écriture aux données de vos fichiers à l'aide d'opérations d'objets S3 (par exemple `GetObject``PutObject`, et`ListObjectsV2`) sur un point de terminaison Amazon S3.
Chaque point d'accès S3 rattaché à un système de fichiers FSx for ONTAP possède une politique de point d'accès Gestion des identités et des accès AWS (IAM) et un utilisateur du système de fichiers UNIX ou Windows associé est utilisé pour autoriser toutes les demandes effectuées via le point d'accès. Pour chaque demande, S3 évalue d'abord toutes les politiques pertinentes, y compris celles relatives à l'utilisateur, au point d'accès, au point de terminaison VPC S3 et aux politiques de contrôle des services, afin d'autoriser la demande. Une fois que la demande est autorisée par S3, elle est ensuite autorisée par le système de fichiers, qui évalue si l'utilisateur du système de fichiers associé au point d'accès S3 est autorisé à accéder aux données du système de fichiers. Vous pouvez configurer un point d'accès pour accepter uniquement les demandes provenant d'un cloud privé virtuel (VPC) afin de restreindre l'accès aux données Amazon S3 à un réseau privé. Amazon S3 applique le blocage de l'accès public par défaut à tous les points d'accès attachés à un volume FSx for ONTAP, et vous ne pouvez ni modifier ni désactiver ce paramètre.
Vous utilisez la FSx console, la CLI et l'API Amazon pour [créer un point d'accès S3 et l'associer](fsxn-creating-access-points.md) à un volume FSx for ONTAP. Le point d'accès vous permet d'accéder aux données de vos fichiers à l'aide de l'API S3, mais vos données continuent de résider sur votre système de fichiers FSx for ONTAP et vous pouvez continuer à utiliser les protocoles NFS et SMB pour accéder à vos données parallèlement à l'API S3.
Les points d'accès Amazon S3 FSx pour les systèmes de fichiers ONTAP offrent une latence de l'ordre de plusieurs dizaines de millisecondes, ce qui correspond à l'accès aux compartiments S3. Le débit et les demandes par seconde que vous pouvez générer vers un système de FSx fichiers Amazon via l'API S3 dépendent du débit provisionné du système de fichiers. Pour plus d'informations sur les capacités de performance du système de fichiers, voir [Amazon FSx pour les performances d' NetApp ONTAPPerformance](performance.md)
**Topics**
+ [
## Régions AWS avec des points d'accès Amazon S3 FSx pour ONTAP
](#access-points-for-fsx-ontap-supported-regions)
+ [
# Règles de dénomination, restrictions et limitations des points d’accès
](access-point-for-fsxn-restrictions-limitations-naming-rules.md)
+ [
# Référencer des points d'accès avec ARNs, des alias de point d'accès, ou virtual-hosted-style URIs
](referencing-access-points-for-fsxn.md)
+ [
# Compatibilité des points d’accès
](access-points-for-fsxn-object-api-support.md)
+ [
# Gestion de l'accès aux points d'accès
](s3-ap-manage-access-fsxn.md)
+ [
# Création d’un point d’accès
](fsxn-creating-access-points.md)
+ [
# Gestion des points d'accès Amazon S3
](access-points-for-fsxn-manage.md)
+ [
# Utilisation des points d’accès
](access-points-for-fsxn-usage-examples.md)
+ [
# Résolution des problèmes liés aux points d'accès S3
](troubleshooting-access-points-for-fsxn.md)
## Régions AWS avec des points d'accès Amazon S3 FSx pour ONTAP
Les points d'accès Amazon S3 FSx pour ONTAP sont pris en charge dans les pays suivants Régions AWS : Afrique (Le Cap), Asie-Pacifique (Hong Kong, Hyderabad, Jakarta, Melbourne, Mumbai, Osaka, Séoul, Singapour, Sydney, Tokyo), Canada (Centre), Canada Ouest (Calgary), Europe (Francfort, Irlande, Londres, Milan, Paris, Espagne, Stockholm, Zurich), Israël (Aviv), le Moyen-Orient (Bahreïn, Émirats arabes unis), l'Amérique du Sud (São Paulo), l'est des États-Unis (Virginie du Nord, Ohio) et l'ouest des États-Unis (Californie du Nord, Oregon).
# Règles de dénomination, restrictions et limitations des points d’accès
Lorsque vous créez un point d'accès S3, vous choisissez un nom pour celui-ci. Les rubriques suivantes fournissent des informations sur les règles de dénomination des points d'accès S3, ainsi que sur les restrictions et limitations.
**Topics**
+ [
## Règles de dénomination des points d'accès
](#access-points-for-fsxn-naming-rules)
+ [
## Limites et restrictions des points d’accès
](#access-points-for-fsxn-restrictions-limitations)
## Règles de dénomination des points d'accès
Lorsque vous créez un point d'accès S3, vous choisissez son nom. Les noms des points d'accès ne doivent pas nécessairement être uniques entre Comptes AWS ou Régions AWS. Cela Compte AWS peut créer des points d'accès portant le même nom dans des langues différentes Régions AWS ou deux points d'accès différents Comptes AWS peuvent utiliser le même nom de point d'accès. Cependant, au sein d'un même Région AWS an, Compte AWS il se peut qu'il n'y ait pas deux points d'accès portant le même nom.
Les noms des points d'accès S3 ne peuvent pas se terminer par le suffixe`-ext-s3alias`, qui est réservé à l'alias du point d'accès. Pour obtenir la liste complète des règles de dénomination des points d'accès, consultez la section [Règles de dénomination des points d'accès Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html#access-points-names) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
## Limites et restrictions des points d’accès
Les points d'accès S3 attachés FSx aux volumes ONTAP sont soumis aux restrictions suivantes, qui ne s'appliquent pas aux points d'accès attachés aux compartiments S3 :
+ Vous ne pouvez créer un point d'accès S3 que dans le même format Région AWS que le FSx volume ONTAP auquel vous le connectez.
+ Le même Compte AWS doit posséder le système de fichiers FSx for ONTAP et le point d'accès S3. Vous pouvez uniquement créer des points d'accès S3 attachés à FSx des volumes ONTAP dont vous êtes propriétaire. Vous ne pouvez pas créer de point d'accès S3 attaché à un volume appartenant à un autre Compte AWS.
+ Vous ne pouvez créer et associer des points d'accès S3 que FSx pour les systèmes de fichiers ONTAP exécutant NetApp ONTAP version 9.17.1 ou ultérieure.
Pour obtenir la liste complète de toutes les restrictions et limitations des points d'accès, consultez la section [Restrictions et limitations relatives aux points d'accès](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
# Référencer des points d'accès avec ARNs, des alias de point d'accès, ou virtual-hosted-style URIs
Après avoir créé un point d'accès associé à un volume FSx for ONTAP, vous pouvez accéder à vos données via l'API AWS CLI et S3, ainsi que via des services AWS et applications tiers ou compatibles avec S3. Lorsque vous faites référence à un point d'accès dans une application Service AWS OR, vous pouvez utiliser le Amazon Resource Name (ARN), l'alias du point d'accès ou un URI de type hébergé virtuellement.
**Topics**
+ [
## Point d'accès ARNs
](#access-point-arns)
+ [
## Alias de point d'accès
](#access-point-aliases)
+ [
## URI de type hébergement virtuel
](#virtual-hosted-style-uri)
## Point d'accès ARNs
Les points d'accès ont des noms de ressources Amazon (ARNs). ARNs Les points d'accès sont similaires au compartiment S3 ARNs, mais ils sont explicitement saisis et encodent le point d'accès Région AWS et l' Compte AWS ID du propriétaire du point d'accès. Pour plus d'informations ARNs, consultez la section [Identifier les AWS ressources avec Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.
ARNs Les points d'accès ont le format suivant :
```
arn:aws::s3:region:account-id:accesspoint/resource
```
`arn:aws:s3:us-west-2:777777777777:accesspoint/test`représente le point d'accès nommé*test*, détenu par le compte 777777777777 dans la Région. *us-west-2*
ARNs pour les objets et les fichiers accessibles via un point d'accès, utilisez le format suivant :
```
arn:aws::s3:region:account-id:accesspoint/access-point-name/object/resource
```
`arn:aws:s3:us-west-2:111122223333:accesspoint/test/object/lions.jpg`représente le fichier*lions.jpg*, accessible via le point d'accès nommé*test*, appartenant au compte 111122223333 dans la région. *us-west-2*
Pour plus d'informations sur le point d'accès ARNs, consultez [Point d'accès ARNs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-arns) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
## Alias de point d'accès
Lorsque vous créez un point d'accès, Amazon S3 génère automatiquement un alias de point d'accès que vous pouvez utiliser partout où vous pouvez utiliser les noms de compartiment S3 pour accéder aux données.
L'alias d'un point d'accès ne peut pas être modifié. Pour un point d'accès attaché à un volume FSx for ONTAP, l'alias du point d'accès comprend les éléments suivants :
```
access point prefix-metadata-ext-s3alias
```
Ce qui suit montre l'ARN et l'alias du point d'accès d'un point d'accès S3 attaché à un volume FSx for ONTAP, renvoyés dans le cadre de la réponse à une commande `describe-s3-access-point-attachments` FSx CLI. Dans cet exemple, le point d'accès est nommé`my-ontap-ap`.
```
...
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
...
```
**Note**
Le `-ext-s3alias` suffixe est réservé aux alias des points d'accès S3 attachés à un volume FSx for ONTAP et ne peut pas être utilisé pour les noms de points d'accès.
Vous pouvez utiliser l'alias du point d'accès au lieu d'un ARN du point d'accès Amazon S3 dans certaines opérations du plan de données S3. Pour obtenir la liste des opérations prises en charge, consultez[Compatibilité des points d’accès](access-points-for-fsxn-object-api-support.md).
Pour connaître l'ensemble complet des limitations relatives aux alias de point d'accès, consultez la section Limitations [relatives aux alias de point](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-alias) d'accès dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
## URI de type hébergement virtuel
Les points d'accès prennent uniquement en charge l' virtual-host-styleadressage. Dans un URI de type hébergé virtuellement, le nom du point d'accès Compte AWS, et Région AWS fait partie du nom de domaine de l'URL. Pour afficher l'URI S3 d'un point d'accès attaché à un volume FSx pour ONTAP, dans la page des détails du point d'accès sous Détails du **point d'accès S3**, choisissez le nom du point d'accès répertorié pour le **point d'accès S3**. Cela vous amène à la page des détails du point d'accès dans la console Amazon S3. Vous pouvez trouver l'**URI S3** sous **Propriétés**.
Pour plus d'informations, consultez l'[URI de style hébergé virtuel dans le guide](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#accessing-a-bucket-through-s3-access-point) de l'utilisateur d'*Amazon Simple Storage Service*.
# Compatibilité des points d’accès
Vous pouvez utiliser des points d'accès pour accéder aux données stockées sur et FSx pour le volume ONTAP à l'aide de l'Amazon S3 suivant APIs pour l'accès aux données. Toutes les opérations répertoriées ci-dessous peuvent accepter des points d'accès ARNs ou des alias de point d'accès.
La table suivante présente une liste non exhaustive des opérations Amazon S3 et leur compatibilité avec les points d’accès. Le tableau indique les opérations prises en charge par les points d'accès utilisant un volume FSx for ONTAP comme source de données.
| Opérations S3 | Point d'accès connecté à un volume FSx pour ONTAP |
| --- | --- |
| `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | Pris en charge |
| `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | Pris en charge |
| `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)` (copies dans une même région uniquement) | Pris en charge, si la source et la destination se trouvent dans le même point d'accès |
| `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | Pris en charge |
| `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | Pris en charge |
| `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | Pris en charge |
| `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | Pris en charge |
| `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | Non pris en charge |
| `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | Non pris en charge |
| `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | Pris en charge |
| `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | Non pris en charge |
| `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | Non pris en charge |
| `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | Pris en charge |
| `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | Non pris en charge |
| `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | Pris en charge |
| `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | Non pris en charge |
| `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | Non pris en charge |
| `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | Pris en charge |
| `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | Pris en charge |
| `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | Pris en charge |
| `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | Pris en charge |
| `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | Pris en charge |
| `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | Pris en charge |
| `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | Non pris en charge |
| `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | Pris en charge |
| `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | Non pris en charge |
| `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | Pris en charge |
| `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | Non pris en charge |
| `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | Non pris en charge |
| `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | Non pris en charge |
| `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | Pris en charge |
| `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | Non pris en charge |
| `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | Pris en charge |
| `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)` (copies dans une même région uniquement) | Pris en charge, si la source et la destination se trouvent dans le même point d'accès |
Les limites de l'utilisation des opérations Amazon S3 sont les suivantes :
+ La taille maximale des objets est de 5 Go pour les téléchargements, mais vous pouvez télécharger des objets plus grands que cela
+ `FSX_ONTAP`est la seule classe de stockage prise en charge
+ SSE-FSX est le seul mode de chiffrement côté serveur pris en charge
+ Les fonctionnalités Amazon S3 suivantes ne sont pas prises en charge : listes de contrôle d'accès (ACLs) autres que le pays du demandeur`bucket-owner-full-control`, le versionnement des objets, le verrouillage des objets, le cycle de vie des objets, l'hébergement statique de sites Web (par exemple, redirection de sites Web), l'authentification multifactorielle (MFA) et les écritures conditionnelles
Pour des exemples d'utilisation de points d'accès pour effectuer des opérations d'accès aux données sur des fichiers, voir[Utilisation des points d’accès](access-points-for-fsxn-usage-examples.md).
**Objet ETag**
La balise d'entité est un hachage de l'objet. Le ETag reflète uniquement les modifications apportées au contenu d'un objet, et non à ses métadonnées. ETag Il ne s'agit pas d'un MD5 résumé des données de l'objet.
**Sommes de contrôle d'objets**
Vous pouvez utiliser des valeurs de checksum pour vérifier l'intégrité des données que vous téléchargez. Lorsque vous téléchargez des données et que vous spécifiez un algorithme de somme de contrôle, le AWS SDK utilise l'algorithme de somme de contrôle que vous avez choisi pour calculer une valeur de somme de contrôle avant la transmission des données. Amazon S3 calcule ensuite indépendamment une somme de contrôle de vos données et les valide par rapport à la valeur de contrôle fournie. Les objets ne sont acceptés qu'après confirmation du maintien de l'intégrité des données pendant le transport vers Amazon S3. Contrairement aux sommes de contrôle pour les objets contenus dans des compartiments Amazon S3 à usage général, la valeur de la somme de contrôle n'est pas stockée dans le volume FSx for NetApp ONTAP sous forme de métadonnées d'objet et d'objet lui-même. Cela signifie que les valeurs de la somme de contrôle ne sont pas renvoyées dans la réponse et ne sont pas utilisées pour vérifier l'intégrité de l'objet lors du téléchargement.
**Chiffrement côté serveur avec Amazon FSx (SSE-FSX)**
Le chiffrement de tous les systèmes de FSx fichiers Amazon est configuré par défaut et sont chiffrés au repos à l'aide de clés gérées à l'aide de AWS Key Management Service. Les données sont automatiquement cryptées et déchiffrées dans le système de fichiers au fur et à mesure que les données sont écrites et lues dans le système de fichiers. Ces processus sont gérés de manière transparente par Amazon FSx.
**Chargement partitionné**
Le chargement partitionné vous permet de charger un seul objet en tant qu’ensemble de parties. Chaque partie est une portion contiguë des données de l’objet. Vous pouvez charger ces parties d’objet indépendamment et dans n’importe quel ordre. Le téléchargement partitionné prend en compte les points d'accès suivants lors de l'utilisation de points d'accès S3 avec FSx for ONTAP :
+ Les parties associées aux téléchargements partitionnés en cours (c'est-à-dire les téléchargements incomplets) ne sont pas incluses dans FSx les sauvegardes de volumes ONTAP.
+ Le stockage utilisé associé aux parties de téléchargement partitionné en cours (c'est-à-dire un téléchargement incomplet) n'est pas reflété dans la métrique de capacité de `StorageUsed` stockage du volume de destination mais est reflété dans la CloudWatch métrique de capacité CloudWatch de `StorageUsed` stockage du système de fichiers parent.
+ Une fois qu'une opération de téléchargement partitionné est terminée, les métadonnées de pièce associées ne sont plus stockées avec l'objet. Cela signifie que vous ne pouvez pas récupérer les métadonnées d'une partie d'un objet en utilisant `GetObjectAttributes` ou en télécharger une seule partie en fonction du numéro de pièce de l'objet en cours de lecture.
**Liste de contrôle d'accès (ACL)**
Les listes de contrôle d'accès Amazon S3 (ACLs) vous permettent de gérer l'accès aux compartiments et aux objets. Les points d'accès S3 FSx ne prennent en charge que la valeur `bucket-owner-full-control` ACL. L'utilisation de toute autre valeur ACL entraînera une `InvalidArgument` exception.
# Gestion de l'accès aux points d'accès
Vous pouvez configurer chaque point d'accès S3 avec des autorisations et des contrôles réseau distincts que S3 applique à toute demande effectuée à l'aide de ce point d'accès. Les points d'accès S3 prennent en charge les politiques de ressources Gestion des identités et des accès AWS (IAM) que vous pouvez utiliser pour contrôler l'utilisation du point d'accès par ressource, par utilisateur ou selon d'autres conditions. Pour qu'une application ou un utilisateur puisse accéder à des fichiers via un point d'accès, le point d'accès et le volume sous-jacent doivent autoriser la demande. Pour de plus amples informations, veuillez consulter [Politiques relatives aux points d'accès IAM](#access-points-for-fsxn-policies).
Les points d'accès Amazon S3 FSx pour ONTAP utilisent un modèle d'autorisation à double couche qui combine les autorisations AWS IAM avec les autorisations au niveau du système de fichiers. Cette approche garantit que les demandes d'accès aux données sont correctement autorisées à la fois au niveau du AWS service et au niveau du système de fichiers sous-jacent.
Pour qu'une application ou un utilisateur puisse accéder aux données via un point d'accès, la politique du point d'accès S3 et le volume sous-jacent FSx du volume ONTAP doivent autoriser la demande.
**Topics**
+ [
## Identité et autorisation des utilisateurs du système de fichiers
](#fsxn-file-system-user-identity)
+ [
## Autorisation de demande d'API S3
](#access-points-for-fsxn-s3-iam-auth)
+ [
## S3 Block Public Access
](#access-points-for-fsxn-bpa)
+ [
## Politiques relatives aux points d'accès IAM
](#access-points-for-fsxn-policies)
## Identité et autorisation des utilisateurs du système de fichiers
Lorsque vous créez un point d'accès S3 pour un volume FSx for ONTAP, vous spécifiez une identité de système de fichiers qui sera utilisée pour autoriser toutes les demandes de système de fichiers effectuées via ce point d'accès. Cette identité de système de fichiers détermine le niveau d'accès accordé aux fichiers et répertoires sous-jacents en fonction du modèle d'autorisation du système de fichiers. L'utilisateur du système de fichiers est un compte utilisateur sur le système de FSx fichiers Amazon sous-jacent. Si l'utilisateur du système de fichiers dispose d'un accès en *lecture seule*, seules les demandes de lecture effectuées via le point d'accès sont autorisées et les demandes d'écriture sont bloquées. Si l'utilisateur du système de fichiers dispose d'un accès en lecture-écriture, les demandes de lecture et d'écriture adressées au volume attaché à l'aide du point d'accès sont autorisées.
L'identité du système de fichiers peut être de deux types :
+ Identité **UNIX : utilisez une identité** UNIX (nom d'utilisateur) pour accéder à des volumes avec le style de sécurité UNIX
+ **Identité Windows** : utilisez une identité Windows (domaine et nom d'utilisateur) pour accéder à des volumes avec le style de sécurité NTFS.
Lorsque vous spécifiez une identité UNIX ou Windows, toutes les opérations de l'API S3 effectuées via le point d'accès sont autorisées à l'aide des autorisations de cet utilisateur sur le système de fichiers.
L'identité du système de fichiers que vous associez au point d'accès détermine le niveau d'accès aux fichiers et aux répertoires. Par exemple, si vous associez le point d'accès à l'identité UNIX racine (UID 0), qui dispose généralement d'autorisations d'accès complètes aux fichiers sur le système de fichiers, toutes les opérations sur les fichiers seront autorisées. Inversement, si vous associez le point d'accès à une identité utilisateur restreinte, les opérations sur les fichiers seront limitées à ce à quoi cet utilisateur peut accéder en fonction du modèle d'autorisation du système de fichiers.
Vous devez utiliser le type d'identité du système de fichiers UNIX pour les volumes dotés du style de sécurité UNIX et le type d'identité Windows pour les volumes dotés du style de sécurité NTFS. Cet alignement garantit que le modèle d'autorisation correspond à la configuration de sécurité du volume.
Pour les volumes de style de sécurité UNIX, le système de fichiers utilise des bits de mode ou NFSv4 ACLs pour contrôler l'accès. Pour les volumes de style de sécurité NTFS, le système de fichiers utilise Windows ACLs pour contrôler l'accès.
**Important**
L'attachement d'un point d'accès S3 à un volume FSx for ONTAP ne modifie pas le comportement du volume lorsque celui-ci est accessible directement via NFS ou SMB. Toutes les opérations existantes par rapport au volume continueront de fonctionner comme avant. Les restrictions que vous incluez dans une politique de point d'accès S3 s'appliquent uniquement aux demandes effectuées à l'aide du point d'accès.
## Autorisation de demande d'API S3
Lorsque vous faites une demande d'API S3 via un point d'accès attaché à un volume FSx for NetApp ONTAP, Amazon S3 évalue les autorisations IAM du principal appelant par rapport à la politique de ressources IAM du point d'accès. L'appelant principal IAM doit disposer des autorisations nécessaires accordées par le biais de ses politiques basées sur l'identité, et la politique de ressources du point d'accès doit également autoriser l'action demandée.
Amazon S3 évalue toutes les politiques pertinentes, y compris les politiques relatives aux utilisateurs, aux points d'accès, aux points de terminaison VPC et aux politiques de contrôle des services, afin de déterminer s'il convient d'autoriser la demande.
Vous pouvez également configurer un point d'accès S3 pour n'accepter que les demandes provenant d'un cloud privé virtuel (VPC) spécifique afin de restreindre l'accès aux données. Pour de plus amples informations, veuillez consulter [Création de points d’accès restreints à un virtual private cloud](access-points-for-fsxn-vpc.md).
## S3 Block Public Access
Les points d'accès Amazon S3 attachés à un volume FSx for ONTAP sont automatiquement configurés avec le blocage de l'accès public activé, ce que vous ne pouvez pas modifier.
## Politiques relatives aux points d'accès IAM
Les points d'accès Amazon S3 prennent en charge les politiques de ressources Gestion des identités et des accès AWS (IAM) qui vous permettent de contrôler l'utilisation du point d'accès par ressource, par utilisateur ou selon d'autres conditions. Pour qu'une application ou un utilisateur puisse accéder à des objets via un point d'accès, le point d'accès et la source de données sous-jacente doivent autoriser la demande.
L'`s3:PutAccessPointPolicy`autorisation est requise pour créer une politique de point d'accès facultative.
Une fois que vous avez attaché un point d'accès S3 à un FSx volume Amazon, toutes les opérations existantes sur le volume continueront de fonctionner comme avant. Les restrictions que vous incluez dans une stratégie de point d’accès s’appliquent uniquement aux demandes effectuées via ce point d’accès. Pour plus d'informations, reportez-vous à la section [Configuration des stratégies IAM pour l'utilisation des points d'accès](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) dans le *Guide de l'utilisateur Amazon Simple Storage Service*.
Vous pouvez configurer une politique de point d'accès lorsque vous créez un point d'accès attaché à un volume FSx for ONTAP à l'aide de la FSx console Amazon. Pour ajouter, modifier ou supprimer une politique de point d'accès sur un point d'accès S3 existant, vous pouvez utiliser la console, la CLI ou l'API S3.
# Création d’un point d’accès
Vous pouvez créer et gérer un point d'accès S3 qui se connecte aux FSx volumes Amazon à l'aide de la FSx console Amazon, de la CLI, de l'API et de la prise en charge SDKs.
**Note**
Dans la mesure où vous souhaiterez peut-être publier le nom de votre point d'accès S3 afin que d'autres utilisateurs puissent l'utiliser, évitez d'inclure des informations sensibles dans le nom du point d'accès S3. Les noms des points d’accès sont publiés dans une base de données accessible au public, appelée système de nom de domaine (DNS). Pour plus d'informations sur les noms des points d'accès, consultez[Règles de dénomination des points d'accès](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
## Autorisations requises
Les autorisations suivantes sont requises pour créer un point d'accès S3 attaché à un FSx volume Amazon :
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
L'`s3:PutAccessPointPolicy`autorisation est requise pour créer une politique de point d'accès facultative à l'aide de la console Amazon FSx ou S3. Pour de plus amples informations, veuillez consulter [Politiques relatives aux points d'accès IAM](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies).
Pour créer un point d’accès, consultez les rubriques suivantes.
**Topics**
+ [
## Autorisations requises
](#create-ap-permissions)
+ [
# Création de points d’accès
](create-access-points.md)
+ [
# Création de points d’accès restreints à un virtual private cloud
](access-points-for-fsxn-vpc.md)
# Création de points d’accès
**Important**
Pour associer un point d'accès S3 à un volume FSx for ONTAP, le volume doit être monté (avoir un chemin de jonction). Consultez la [documentation ONTAP](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html) pour plus de détails.
Le volume FSx for ONTAP doit déjà exister dans votre compte lorsque vous créez un point d'accès S3 pour votre volume.
Pour créer le point d'accès S3 attaché à un volume FSx for ONTAP, vous devez spécifier les propriétés suivantes :
+ Nom du point d’accès. Pour plus d'informations sur les règles de dénomination des points d'accès, consultez[Règles de dénomination des points d'accès](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
+ Identité utilisateur du système de fichiers à utiliser pour autoriser les demandes d'accès aux fichiers effectuées via le point d'accès. Spécifiez le nom d'utilisateur POSIX pour UNIX ou Windows que vous souhaitez inclure. Pour de plus amples informations, veuillez consulter [Identité et autorisation des utilisateurs du système de fichiers](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity).
+ La configuration réseau du point d'accès détermine si le point d'accès est accessible depuis Internet ou si l'accès est limité à un cloud privé virtuel (VPC) spécifique. Pour de plus amples informations, veuillez consulter [Création de points d’accès restreints à un virtual private cloud](access-points-for-fsxn-vpc.md).
## Pour créer un point d'accès S3 attaché à un FSx volume (FSx console)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Dans la barre de navigation en haut de la page, choisissez le point d'accès Région AWS dans lequel vous souhaitez créer un point d'accès. Le point d'accès doit être créé dans la même région que le volume associé.
1. Dans le volet de navigation de gauche, sélectionnez **Volumes**.
1. Sur la page **Volumes**, choisissez FSx le volume ONTAP auquel vous souhaitez associer le point d'accès.
1. Affichez la page **Créer un point d'accès S3** en choisissant **Créer un point d'accès S3** dans le menu **Actions**.
1. Dans **Nom du point d'accès**, entrez le nom du point d'accès. Pour plus d'informations sur les directives et les restrictions relatives aux noms de points d'accès, consultez[Règles de dénomination des points d'accès](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
Les **détails de la source de données** sont renseignés avec les informations du volume que vous avez choisi à l'étape 3.
1. L'identité de l'utilisateur du système de fichiers est utilisée par Amazon FSx pour authentifier les demandes d'accès aux fichiers effectuées via ce point d'accès. Assurez-vous que l'utilisateur du système de fichiers que vous spécifiez dispose des autorisations appropriées sur le volume FSx for ONTAP.
Pour **le type d'identité utilisateur du système de fichiers**, sélectionnez UNIX ou Windows.
1. Dans **Nom d'utilisateur**, entrez le nom d'utilisateur de l'utilisateur.
1. Dans le panneau **de configuration réseau**, vous pouvez choisir si le point d'accès est accessible depuis Internet ou si l'accès est limité à un cloud privé virtuel spécifique.
Pour **Origine du réseau**, choisissez **Internet** pour rendre le point d'accès accessible depuis Internet, ou choisissez **Virtual Private Cloud (VPC)** et entrez l'**ID VPC** à partir duquel vous souhaitez limiter l'accès au point d'accès.
Pour en savoir plus sur les origines de réseau des points d’accès, consultez [Création de points d’accès restreints à un virtual private cloud](access-points-for-fsxn-vpc.md).
1. (Facultatif) Sous **Politique de point d'accès - *facultatif***, spécifiez une politique de point d'accès facultative. Veillez à résoudre tous les avertissements, erreurs et suggestions relatifs aux politiques. Pour plus d'informations sur la spécification d'une politique de point d'accès, consultez la [section Configuration des politiques IAM pour l'utilisation des points d'accès](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
1. Choisissez **Créer un point d'accès** pour vérifier la configuration de l'attachement du point d'accès.
## Pour créer un point d'accès S3 attaché à un FSx volume (CLI)
L'exemple de commande suivant crée un point d'accès nommé *`my-ontap-ap`* qui est attaché au volume FSx *`fsvol-0123456789abcdef9`* for ONTAP du compte*`111122223333`*.
```
$ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json
```
Si la demande est acceptée, le système répond en renvoyant la nouvelle pièce jointe du point d'accès S3.
```
$ {
{
"S3AccessPointAttachment": {
"CreationTime": 1728935791.8,
"Lifecycle": "CREATING",
"LifecycleTransitionReason": {
"Message": "string"
},
"Name": "my-ontap-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "ec2-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-0123467"
}
}
}
}
```
# Création de points d’accès restreints à un virtual private cloud
Lorsque vous créez un point d'accès, vous pouvez choisir de le rendre accessible depuis Internet, ou vous pouvez spécifier que toutes les demandes effectuées via ce point d'accès doivent provenir d'un Amazon Virtual Private Cloud spécifique. Un point d’accès accessible depuis Internet est dit avoir une origine réseau d’`Internet`. Il peut être utilisé depuis n'importe où sur Internet, sous réserve de toute autre restriction d'accès en place pour le point d'accès, le bucket sous-jacent ou le FSx volume Amazon, et les ressources associées, telles que les objets demandés. Un point d'accès accessible uniquement depuis un Amazon VPC spécifique a pour origine réseau`VPC`, et Amazon S3 rejette toute demande adressée au point d'accès qui ne provient pas de cet Amazon VPC.
**Important**
Vous ne pouvez spécifier l’origine réseau d’un point d’accès qu’au moment de la création du point d’accès. Après avoir créé le point d’accès, vous ne pouvez pas modifier son origine réseau.
Pour restreindre un point d'accès à Amazon VPC uniquement, vous devez inclure le `VpcConfiguration` paramètre dans la demande de création du point d'accès. Dans le `VpcConfiguration` paramètre, vous spécifiez l'identifiant Amazon VPC que vous souhaitez utiliser pour utiliser le point d'accès. Si une demande est faite via le point d'accès, elle doit provenir d'Amazon VPC, sinon Amazon S3 la rejettera.
Vous pouvez récupérer l'origine réseau d'un point d'accès à l'aide de AWS CLI AWS SDKs, ou REST APIs. Si une configuration Amazon VPC est spécifiée pour un point d'accès, son origine réseau est. `VPC` Sinon, l’origine réseau du point d’accès est `Internet`.
**Example**
***Exemple : créer un point d'accès limité à l'accès Amazon VPC***
L'exemple suivant crée un point d'accès nommé `example-vpc-ap` d'après le bucket `amzn-s3-demo-bucket` in account `123456789012` qui autorise l'accès uniquement depuis `vpc-1a2b3c` Amazon VPC. L’exemple vérifie ensuite que le nouveau point d’accès a une origine réseau de `VPC`.
```
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
```
```
$ {
{
"S3AccessPointAttachment": {
"Lifecycle": "CREATING",
"CreationTime": 1728935791.8,
"Name": "example-vpc-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "my-unix-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
"Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
}
}
}
}
```
Pour utiliser un point d'accès avec un Amazon VPC, vous devez modifier la politique d'accès de votre point de terminaison Amazon VPC. Les points de terminaison Amazon VPC permettent au trafic de circuler de votre Amazon VPC vers Amazon S3. Ils ont des politiques de contrôle d'accès qui contrôlent la manière dont les ressources d'Amazon VPC sont autorisées à interagir avec Amazon S3. Les demandes de votre Amazon VPC à Amazon S3 n'aboutissent via un point d'accès que si la politique de point de terminaison Amazon VPC autorise l'accès à la fois au point d'accès et au compartiment sous-jacent.
**Note**
Pour rendre les ressources accessibles uniquement au sein d'un Amazon VPC, assurez-vous de créer une [zone hébergée privée pour votre point de terminaison](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) Amazon VPC. Pour utiliser une zone hébergée privée, [modifiez vos paramètres Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) afin que les [attributs `enableDnsHostnames` du réseau Amazon VPC soient](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) définis sur. `enableDnsSupport` `true`
L'exemple de déclaration de politique suivant configure un point de terminaison Amazon VPC pour autoriser les appels `GetObject` et un point d'accès nommé. `example-vpc-ap`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**Note**
La déclaration `Resource` de cet exemple utilise un Amazon Resource Name (ARN) pour spécifier le point d’accès.
Pour plus d'informations sur les politiques relatives aux points de terminaison Amazon VPC, consultez la section [Points de terminaison Gateway pour Amazon S3 dans le guide](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) de l'utilisateur Amazon *VPC*.
# Gestion des points d'accès Amazon S3
Cette section explique comment gérer et utiliser vos points d'accès Amazon S3 à l'aide de l'API AWS Management Console AWS Command Line Interface, ou.
**Topics**
+ [
# Liste des pièces jointes des points d'accès S3
](access-points-list.md)
+ [
# Afficher les détails du point d'accès
](access-points-details.md)
+ [
# Supprimer une pièce jointe d'un point d'accès S3
](delete-access-point.md)
# Liste des pièces jointes des points d'accès S3
Cette section explique comment répertorier un point d'accès S3 à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST.
## Pour répertorier tous les points d'accès S3 attachés à un volume FSx for ONTAP ( FSx console Amazon)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Dans le volet de navigation situé sur le côté gauche de la console, sélectionnez **Volumes**.
1. Sur la page **Volumes**, choisissez le volume **ONTAP** pour lequel vous souhaitez afficher les pièces jointes des points d'accès.
1. Sur la page des détails du volume, choisissez **S3** pour afficher la liste de tous les points d'accès S3 attachés au volume.
## Pour répertorier tous les points d'accès S3 attachés à un volume FSx for ONTAP ()AWS CLI
L'[https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html)exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour répertorier les pièces jointes des points d'accès S3.
La commande suivante répertorie tous les points d'accès S3 attachés aux volumes du système de fichiers FSx for ONTAP fs-0abcdef123456789.
```
aws fsx describe-s3-access-point-attachments --filter {[Name: file-system-id, Values:{[fs-0abcdef123456789]}}
```
La commande suivante répertorie les points d'accès S3 attachés à un volume FSx pour ONTAP [vol-9abcdef123456789].
```
aws fsx describe-s3-access-point-attachments --filter {[Name: volume-id, Values:{[vol-9abcdef123456789]}}
```
Pour plus d’informations et des exemples, consultez [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html) dans la *Référence des commandes de l’AWS CLI *.
# Afficher les détails du point d'accès
Cette section explique comment afficher les détails des points d'accès S3 à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST.
## Pour consulter les détails des points d'accès S3 attachés à un volume FSx for ONTAP ( FSx console Amazon)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Accédez au volume attaché au point d'accès dont vous souhaitez consulter les détails.
1. Choisissez **S3** pour afficher la liste des points d'accès attachés au volume.
1. Choisissez le point d'accès dont vous souhaitez consulter les informations.
1. Sous **Récapitulatif des pièces jointes du point d'accès S3**, consultez les détails de configuration et les propriétés du point d'accès sélectionné.
La configuration de **l'identité utilisateur du système de fichiers** et la politique d'**autorisation du point d'accès S3** sont également répertoriées pour le rattachement au point d'accès.
1. Pour consulter la configuration S3 du point d'accès dans la console Amazon S3, choisissez le nom du point d'accès S3 affiché sous **Point d'accès S3**. Vous accédez à la page détaillée du point d'accès dans la console Amazon S3.
# Supprimer une pièce jointe d'un point d'accès S3
Cette section explique comment supprimer des points d'accès S3 à l'aide de l'API AWS Management Console AWS Command Line Interface, ou REST.
Les `s3control:DeleteAccessPoint` autorisations `fsx:DetatchAndDeleteS3AccessPoint` et sont requises pour supprimer une pièce jointe à un point d'accès S3.
## Pour supprimer un point d'accès S3 attaché à un volume FSx for ONTAP ( FSx console Amazon)
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Accédez au volume auquel est attachée la pièce jointe du point d'accès S3 que vous souhaitez supprimer.
1. Choisissez **S3** pour afficher la liste des points d'accès S3 attachés au volume.
1. Sélectionnez la pièce jointe du point d'accès S3 que vous souhaitez supprimer.
1. Sélectionnez **Delete (Supprimer)**.
1. Confirmez que vous souhaitez supprimer le point d'accès S3, puis choisissez **Supprimer**.
## Pour supprimer un point d'accès S3 attaché à un volume FSx for ONTAP ()AWS CLI
+ Pour supprimer les pièces jointes d'un point d'accès S3, utilisez la commande CLI à [detach-and-delete-s3 points d'accès](https://docs.aws.amazon.com/cli/latest/reference/fsx/detach-and-delete-s3-access-point.html) (ou l'opération API AccessPoint S3 [DetachAndDeleteéquivalente](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DetachAndDeleteS3AccessPoint.html)), comme indiqué dans l'exemple suivant. Utilisez la `--name` propriété pour spécifier le nom de la pièce jointe du point d'accès S3 que vous souhaitez supprimer.
```
aws fsx detach-and-delete-s3-access-point \
--region us-east-1 \
--name my-ontap-ap
```
# Utilisation des points d’accès
Les exemples suivants montrent comment utiliser des points d'accès pour accéder aux données de fichiers stockées sur un volume FSx pour ONTAP à l'aide de l'API S3. Pour obtenir la liste complète des opérations d'API Amazon S3 prises en charge par les points d'accès attachés à un volume FSx for ONTAP, consultez[Compatibilité des points d’accès](access-points-for-fsxn-object-api-support.md).
**Note**
Les fichiers actifs FSx pour les volumes ONTAP sont identifiés par un `StorageClass` de`FSX_ONTAP`.
**Topics**
+ [
# Téléchargement d'un fichier à l'aide d'un point d'accès S3
](get-object-ap.md)
+ [
# Téléchargement d'un fichier à l'aide d'un point d'accès S3
](put-object-ap.md)
+ [
# Lister les fichiers à l'aide d'un point d'accès S3
](list-object-ap.md)
+ [
# Marquage d'un fichier à l'aide d'un point d'accès S3
](add-tag-set-ap.md)
+ [
# Supprimer un fichier à l'aide d'un point d'accès S3
](delete-object-ap.md)
# Téléchargement d'un fichier à l'aide d'un point d'accès S3
L'`get-object`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour télécharger un fichier via un point d'accès. Vous devez inclure un fichier de sortie, qui est le nom de fichier de l'objet téléchargé.
L'exemple demande le fichier *`my-image.jpg`* via le point d'accès *`my-ontap-ap`* et enregistre le fichier téléchargé sous*`download.jpg`*.
```
$ aws s3api get-object --key my-image.jpg --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias download.jpg
{
"AcceptRanges": "bytes",
"LastModified": "Mon, 14 Oct 2024 17:01:48 GMT",
"ContentLength": 141756,
"ETag": "\"00751974dc146b76404bb7290f8f51bb-1\"",
"ContentType": "binary/octet-stream",
"ServerSideEncryption": "SSE_FSX",
"Metadata": {},
"StorageClass": "FSX_ONTAP"
}
```
Vous pouvez également utiliser l'API REST pour télécharger un objet via un point d'accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Téléchargement d'un fichier à l'aide d'un point d'accès S3
L'`put-object`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour télécharger un fichier via un point d'accès. Vous devez inclure un fichier de sortie, qui est le nom de fichier de l'objet chargé.
L'exemple télécharge le fichier *`my-new-image.jpg`* via le point d'accès *`my-ontap-ap`* et enregistre le fichier téléchargé sous*`my-new-image.jpg`*.
```
$ aws s3api put-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-new-image.jpg --body my-new-image.jpg
```
Vous pouvez également utiliser l'API REST pour télécharger un objet via un point d'accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Lister les fichiers à l'aide d'un point d'accès S3
L'exemple suivant répertorie les fichiers via l'alias du point d'accès `my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias` appartenant à l'ID de compte *`111122223333`* dans Region*`us-east-2`*.
```
$ aws s3api list-objects-v2 --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias
{
"Contents": [
{
"Key": ".hidden-dir-with-data/file.txt",
"LastModified": "2024-10-29T14:22:05.4359",
"ETag": "\"88990077ab44cd55ef66aa77-1\"",
"Size": 18,
"StorageClass": "FSX_ONTAP"
},
{
"Key": "documents/report.rtf",
"LastModified": "2024-11-02T10:18:15.6621",
"ETag": "\"ab12cd34ef56a89219zg6aa77-1\"",
"Size": 1048576,
"StorageClass": "FSX_ONTAP"
},
]
}
```
Vous pouvez également utiliser l'API REST pour répertorier vos fichiers. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Marquage d'un fichier à l'aide d'un point d'accès S3
L'`put-object-tagging`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour ajouter un ensemble de balises via un point d'accès. Chaque balise est une paire clés-valeurs. Pour plus d'informations, consultez la section [Catégorisation de votre stockage à l'aide de balises](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
L'exemple ajoute un ensemble de balises au fichier existant à l'`my-image.jpg`aide du point d'accès. *`my-ontap-ap`*
```
$ aws s3api put-object-tagging --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg --tagging TagSet=[{Key="finance",Value="true"}]
```
Vous pouvez également utiliser l'API REST pour ajouter un ensemble de balises à un objet via un point d'accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Supprimer un fichier à l'aide d'un point d'accès S3
L'`delete-object`exemple de commande suivant montre comment vous pouvez utiliser le AWS CLI pour supprimer un fichier via un point d'accès.
```
$ aws s3api delete-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg
```
Vous pouvez également utiliser l'API REST pour supprimer un objet via un point d'accès. Pour plus d’informations, consultez [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html) dans la *Référence d’API Amazon Simple Storage Service*.
# Résolution des problèmes liés aux points d'accès S3
Cette section décrit les symptômes, les causes et les solutions lorsque vous rencontrez des problèmes pour accéder à vos FSx données à partir des points d'accès S3.
## La création du point d'accès S3 a échoué en raison d'un échec de la recherche de l'identité utilisateur du système de fichiers
Lors de la création et de l'attachement d'un point d'accès S3, un [https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type)doit être fourni. Vous êtes responsable de la configuration de l'utilisateur UNIX ou Windows fourni dans ONTAP.
Si un [https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html)est fourni, ONTAP doit être en mesure de mapper le UnixUser nom à l'UID/ UNIX. GIDs ONTAP détermine comment effectuer ce mappage à l'aide de la [configuration du commutateur de services de noms](https://docs.netapp.com/us-en/ontap/nfs-admin/ontap-name-service-switch-config-concept.html).
```
> vserver services name-service ns-switch show
```
```
Vserver Database Order
--------------- ------------ ---------
svm_1 hosts files,
dns
svm_1 group files,
ldap
svm_1 passwd files,
ldap
svm_1 netgroup nis,
files
```
Veuillez vous assurer que vous UnixUser avez une entrée dans les `group` bases de données `passwd` et en utilisant une source valide (`files``ldap`,, etc.). La `files` source peut être configurée à l'aide `vserver services name-service unix-user` des `vserver services name-service unix-group` commandes et. La `ldap` source peut être configurée à l'aide de la `vserver services name-service ldap` commande.
Si un [https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html)est fourni, ONTAP doit être en mesure de trouver le WindowsUser nom dans le domaine Active Directory joint.
Pour vérifier si un objet fourni UnixUser ou WindowsUser est correctement mappé, `fsxadmin` vous pouvez utiliser la commande suivante (remplacez `-unix-user-name` par `-win-name` for WindowsUsers) :
```
> vserver services access-check authentication show-creds -node FsxId0fd48ff588b9d3eee-01 -vserver svm_name -unix-user-name root -show-partial-unix-creds true
```
Exemple de sortie réussie :
```
UNIX UID: root
GID: daemon
Supplementary GIDs:
daemon
```
Exemple de sortie infructueuse :
```
Error: Acquire UNIX credentials procedure failed
[ 2 ms] Entry for user-name: unmapped-user not found in the
current source: FILES. Entry for user-name: unmapped-user
not found in any of the available sources
**[ 3] FAILURE: Unable to retrieve UID for UNIX user
** unmapped-user
Error: command failed: Failed to resolve user name to a UNIX ID. Reason: "SecD Error: object not found".
```
Un mappage utilisateur incorrect peut entraîner `Access Denied` des erreurs de la part de S3. Voir les exemples de raisons d'échec ci-dessous.
**`Entry for user-name not found in the current source: LDAP`**
Si vous êtes `ns-switch` configuré pour utiliser une `ldap` source, assurez-vous qu'ONTAP est configuré pour utiliser correctement votre serveur LDAP. Consultez [NetApple rapport technique sur la configuration de LDAP](https://www.netapp.com/pdf.html?item=/media/19423-tr-4835.pdf) pour plus d'informations.
**`RESULT_ERROR_DNS_CANT_REACH_SERVER` ou `RESULT_ERROR_SECD_IN_DISCOVERY`**
Cette erreur indique un problème lié à la configuration DNS du serveur virtuel dans ONTAP. Exécutez ce qui suit pour vous assurer que le DNS de votre serveur virtuel est correctement configuré :
```
> dns check -vserver svm_name
```
**`NT_STATUS_PENDING`**
Cette erreur indique un problème de communication avec le contrôleur de domaine. La cause sous-jacente peut être due au manque de crédits pour les PME. Voir [NetApp KB](https://kb.netapp.com/on-prem/ontap/da/NAS/NAS-KBs/How_ONTAP_implements_SMB_crediting) pour plus d'informations.
## La création du point d'accès S3 a échoué car le volume n'est pas monté.
Les points d'accès S3 ne peuvent être attachés qu' FSx aux volumes ONTAP montés (dotés de chemins de jonction). Cela s'applique également aux types de volumes DP (protection des données). Consultez la [documentation sur le montage du volume ONTAP](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html) pour plus d'informations.
## La création du point d'accès S3 a échoué car le protocole S3 est désactivé sur la SVM
Les points d'accès S3 nécessitent que le protocole S3 soit activé sur la machine virtuelle de stockage (SVM). Pour activer le protocole S3, exécutez la commande suivante dans la CLI ONTAP à l'aide `fsxadmin` de :
```
> vserver add-protocols -vserver svm_name -protocols s3
```
Pour vérifier que le protocole est activé :
```
> vserver show -vserver svm_name -fields allowed-protocols,disallowed-protocols
```
## Le système de fichiers n'est pas en mesure de traiter les requêtes S3
Si le volume de demandes S3 pour une charge de travail particulière dépasse la capacité du système de fichiers à gérer le trafic, vous pouvez rencontrer des erreurs de requête S3 (par exemple`Internal Server Error`,`503 Slow Down`, et`Service Unavailable`). Vous pouvez surveiller et alerter de manière proactive sur les performances de votre système de fichiers à l'aide CloudWatch des métriques Amazon (par exemple, `Network throughput utilization` et`CPU utilization`). Si vous constatez une dégradation des performances, vous pouvez résoudre ce problème en augmentant la capacité de débit du système de fichiers.
## Accès refusé avec les autorisations de point d'accès S3 par défaut pour les rôles de service créés automatiquement
Certains AWS services intégrés au S3 créeront un rôle de service personnalisé et personnaliseront les autorisations associées à votre cas d'utilisation spécifique. Lorsque vous spécifiez l'alias de votre point d'accès S3 en tant que ressource S3, les autorisations associées peuvent inclure votre point d'accès utilisant un format d'ARN de compartiment (par exemple`arn:aws:s3:::my-fsx-ap-foo7detztxouyjpwtu8krroppxytruse1a-ext-s3alias`) plutôt que le format ARN du point d'accès (par exemple,`arn:aws:s3:us-east-1:1234567890:accesspoint/my-fsx-ap`). Pour résoudre ce problème, modifiez la politique afin d'utiliser l'ARN du point d'accès.