Membuat titik akses terbatas pada cloud privat virtual - FSx untuk ONTAP

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat titik akses terbatas pada cloud privat virtual

Saat Anda membuat titik akses, Anda dapat memilih untuk membuat jalur akses dapat diakses dari internet, atau Anda dapat menentukan bahwa semua permintaan yang dibuat melalui jalur akses tersebut harus berasal dari Amazon Virtual Private Cloud tertentu. Titik akses yang dapat diakses dari internet dikatakan memiliki asal jaringan dari Internet. Ini dapat digunakan dari mana saja di internet, tunduk pada batasan akses lain yang berlaku untuk titik akses, bucket atau FSx volume Amazon yang mendasari, dan sumber daya terkait, seperti objek yang diminta. Jalur akses yang hanya dapat diakses dari VPC Amazon tertentu memiliki asal jaringanVPC, dan Amazon S3 menolak permintaan apa pun yang dibuat ke titik akses yang tidak berasal dari VPC Amazon itu.

penting

Anda hanya dapat menentukan asal jaringan titik akses saat membuat titik akses. Setelah membuat titik akses, Anda tidak dapat mengubah asal jaringannya.

Untuk membatasi jalur akses ke akses khusus Amazon VPC, Anda menyertakan VpcConfiguration parameter dengan permintaan untuk membuat titik akses. Dalam VpcConfiguration parameter, Anda menentukan ID VPC Amazon yang Anda inginkan untuk dapat menggunakan titik akses. Jika permintaan dibuat melalui jalur akses, permintaan harus berasal dari Amazon VPC atau Amazon S3 akan menolaknya.

Anda dapat mengambil asal jaringan titik akses menggunakan AWS CLI, AWS SDKs, atau REST APIs. Jika titik akses memiliki konfigurasi VPC Amazon yang ditentukan, asal jaringannya adalah. VPC Jika tidak, asal jaringan titik aksesnya adalah Internet.

Contoh: Buat jalur akses yang dibatasi untuk akses VPC Amazon

Contoh berikut membuat titik akses bernama example-vpc-ap bucket amzn-s3-demo-bucket in account 123456789012 yang memungkinkan akses hanya dari vpc-1a2b3c VPC Amazon. Contoh tersebut kemudian memverifikasi bahwa titik akses yang baru memiliki asal jaringan VPC.

AWS CLI
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
   VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
   --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
$ {
  {
     "S3AccessPointAttachment": {
        "Lifecycle": "CREATING",
        "CreationTime": 1728935791.8,
        "Name": "example-vpc-ap",
        "OntapConfiguration": {
            "VolumeId": "fsvol-0123456789abcdef9",
            "FileSystemIdentity": {
                "Type": "UNIX",
                "UnixUser": {
                    "Name": "my-unix-user"
                }
            }
        },
        "S3AccessPoint": {
            "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
            "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
            "VpcConfiguration": { 
                "VpcId": "vpc-1a2b3c"
            }
        }
     }
  }

Untuk menggunakan titik akses dengan VPC Amazon, Anda harus mengubah kebijakan akses untuk titik akhir VPC Amazon Anda. Titik akhir Amazon VPC memungkinkan lalu lintas mengalir dari VPC Amazon Anda ke Amazon S3. Mereka memiliki kebijakan kontrol akses yang mengontrol bagaimana sumber daya dalam VPC Amazon diizinkan untuk berinteraksi dengan Amazon S3. Permintaan dari VPC Amazon Anda ke Amazon S3 hanya berhasil melalui titik akses jika kebijakan titik akhir VPC Amazon memberikan akses ke titik akses dan bucket yang mendasarinya.

catatan

Agar sumber daya hanya dapat diakses dalam VPC Amazon, pastikan untuk membuat zona host pribadi untuk titik akhir VPC Amazon Anda. Untuk menggunakan zona yang dihosting pribadi, ubah setelan VPC Amazon Anda sehingga atribut jaringan VPC Amazon enableDnsHostnames dan enableDnsSupport disetel ke. true

Contoh pernyataan kebijakan berikut mengonfigurasi titik akhir VPC Amazon untuk mengizinkan panggilan GetObject ke dan titik akses bernama. example-vpc-ap

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
catatan

Pernyataan Resource di dalam contoh ini menggunakan Amazon Resource Name (ARN) untuk menentukan titik akses.

Untuk informasi selengkapnya tentang kebijakan titik akhir Amazon VPC, lihat Titik akhir Gateway untuk Amazon S3 di Panduan Pengguna Amazon VPC.