Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Accesso ai dati tramite punti di accesso Amazon S3 Accesso ai dati tramite punti di accesso S3 Puoi anche utilizzare i punti di accesso S3 per accedere ai dati dei file archiviati sui FSx file system Amazon come se fossero in S3, consentendoti di utilizzarli con applicazioni e servizi che funzionano con S3 senza modifiche alle applicazioni o spostando i dati dallo storage dei file. I punti di accesso Amazon S3 sono endpoint S3 che si collegano ai bucket S3 o FSx ai volumi ONTAP e OpenZFS. FSx I punti di accesso Amazon S3 semplificano la gestione dell'accesso ai dati per qualsiasi applicazione o AWS servizio compatibile con S3. Con i punti di accesso S3, i clienti con set di dati condivisi, tra cui data lake, archivi multimediali e contenuti generati dagli utenti, possono facilmente controllare e scalare l'accesso ai dati per centinaia di applicazioni, team o individui creando punti di accesso personalizzati con nomi e autorizzazioni personalizzati per ciascuno. I punti di accesso S3 collegati ai volumi Amazon FSx for NetApp ONTAP supportano l'accesso in lettura e scrittura ai dati dei file utilizzando operazioni sugli oggetti S3 (ad esempio `GetObject``PutObject`, e`ListObjectsV2`) su un endpoint Amazon S3. Ogni punto di accesso S3 collegato a un file system FSx for ONTAP ha una policy sul punto di accesso AWS Identity and Access Management (IAM) e un utente del file system UNIX o Windows associato che viene utilizzato per autorizzare tutte le richieste effettuate tramite il punto di accesso. Per ogni richiesta, S3 valuta innanzitutto tutte le policy pertinenti, incluse quelle relative all'utente, all'access point, all'endpoint VPC S3 e alle policy di controllo del servizio, per autorizzare la richiesta. Una volta autorizzata da S3, la richiesta viene autorizzata dal file system, che valuta se l'utente del file system associato al punto di accesso S3 è autorizzato ad accedere ai dati sul file system. Puoi configurare un punto di accesso per accettare richieste solo da un cloud privato virtuale (VPC) per limitare l'accesso ai dati di Amazon S3 a una rete privata. Amazon S3 applica Block public access per impostazione predefinita per tutti i punti di accesso collegati a un volume FSx for ONTAP e non è possibile modificare o disabilitare questa impostazione. Utilizza la FSx console Amazon, la CLI e l'API per [creare un punto di accesso S3 e collegarlo](fsxn-creating-access-points.md) a un volume FSx for ONTAP. Il punto di accesso ti consente di accedere ai dati dei tuoi file utilizzando l'API S3, anche se i dati continuano a risiedere nel tuo file system FSx for ONTAP e puoi continuare a utilizzare i protocolli NFS e SMB per accedere ai tuoi dati insieme all'API S3. I punti di accesso Amazon S3 FSx per i sistemi file ONTAP offrono una latenza nell'intervallo di decine di millisecondi, coerente con l'accesso ai bucket S3. Il throughput e le richieste al secondo che puoi inviare a un FSx file system Amazon tramite l'API S3 dipendono dal throughput assegnato al file system. Per ulteriori informazioni sulle funzionalità prestazionali del file system, consulta [Amazon FSx per le prestazioni di NetApp ONTAPPerformance](performance.md) **Topics** + [ ## Regioni AWS con punti di accesso Amazon S3 per FSx ONTAP ](#access-points-for-fsx-ontap-supported-regions) + [ # Regole di denominazione, restrizioni e limitazioni dei punti di accesso ](access-point-for-fsxn-restrictions-limitations-naming-rules.md) + [ # Riferimento ai punti di accesso con ARNs alias dei punti di accesso o virtual-hosted-style URIs ](referencing-access-points-for-fsxn.md) + [ # Compatibilità dei punti di accesso ](access-points-for-fsxn-object-api-support.md) + [ # Gestione dell'accesso ai punti di accesso ](s3-ap-manage-access-fsxn.md) + [ # Creazione di un access point ](fsxn-creating-access-points.md) + [ # Gestione dei punti di accesso Amazon S3 ](access-points-for-fsxn-manage.md) + [ # Utilizzo dei punti di accesso ](access-points-for-fsxn-usage-examples.md) + [ # Risoluzione dei problemi relativi ai punti di accesso S3 ](troubleshooting-access-points-for-fsxn.md) ## Regioni AWS con punti di accesso Amazon S3 per FSx ONTAP I punti di accesso Amazon S3 FSx per ONTAP sono supportati nei seguenti paesi Regioni AWS: Africa (Città del Capo), Asia Pacifico (Hong Kong, Hyderabad, Giacarta, Melbourne, Mumbai, Osaka, Seoul, Singapore, Sydney, Tokyo), Canada (Centrale), Canada occidentale (Calgary), Europa (Francoforte, Irlanda, Londra, Milano, Parigi, Spagna, Stoccolma, Zurigo), Israele (Tel Aviv), Medio Oriente (Bahrein, Emirati Arabi Uniti), Sud America (San Paolo), Stati Uniti orientali (Virginia settentrionale, Ohio) e Stati Uniti occidentali (California settentrionale, Oregon). # Regole di denominazione, restrizioni e limitazioni dei punti di accesso Regole di denominazione, restrizioni e limitazioni Quando crei un punto di accesso S3, scegli un nome per esso. I seguenti argomenti forniscono informazioni sulle regole di denominazione dei punti di accesso S3, nonché sulle restrizioni e limitazioni. **Topics** + [ ## Regole di denominazione dei punti di accesso ](#access-points-for-fsxn-naming-rules) + [ ## Restrizioni e limitazioni degli access point. ](#access-points-for-fsxn-restrictions-limitations) ## Regole di denominazione dei punti di accesso Quando crei un access point S3 ne scegli il nome. Non è necessario che i nomi dei punti di accesso siano univoci tra Account AWS o Regioni AWS. Lo stesso Account AWS può creare punti di accesso con lo stesso nome in modi diversi Regioni AWS o due punti di accesso diversi Account AWS possono utilizzare lo stesso nome di punto di accesso. Tuttavia, all'interno di Regione AWS una singola persona non Account AWS possono esserci due punti di accesso con lo stesso nome. I nomi dei punti di accesso S3 non possono terminare con il suffisso`-ext-s3alias`, che è riservato agli alias dei punti di accesso. Per un elenco completo delle regole di denominazione dei punti di accesso, consulta Regole di [denominazione per i punti di accesso Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html#access-points-names) nella Guida per l'utente di *Amazon Simple Storage Service*. ## Restrizioni e limitazioni degli access point. I punti di accesso S3 collegati FSx ai volumi ONTAP hanno le seguenti restrizioni, che non si applicano ai punti di accesso collegati ai bucket S3: + Puoi creare un punto di accesso S3 solo nello stesso Regione AWS volume FSx for ONTAP a cui lo stai collegando. + Lo stesso Account AWS deve possedere il file system FSx for ONTAP e il punto di accesso S3. Puoi creare solo punti di accesso S3 collegati ai volumi ONTAP FSx di tua proprietà. Non puoi creare un punto di accesso S3 collegato a un volume di proprietà di un altro. Account AWS + Puoi creare e collegare punti di accesso S3 solo ai file system ONTAP che FSx eseguono NetApp ONTAP versione 9.17.1 e successive. Per un elenco completo di tutte le restrizioni e limitazioni dei punti di accesso, consulta [Restrizioni e limitazioni per i punti di accesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html) nella *Guida per l'utente di Amazon Simple Storage Service*. # Riferimento ai punti di accesso con ARNs alias dei punti di accesso o virtual-hosted-style URIs Riferimento ai punti di accesso Dopo aver creato un punto di accesso collegato a un volume FSx for ONTAP, puoi accedere ai dati tramite l'API AWS CLI e S3, oltre a servizi e applicazioni compatibili con S3 AWS e di terze parti. Quando fai riferimento a un punto di accesso in un'applicazione Servizio AWS o, puoi utilizzare l'Amazon Resource Name (ARN), l'alias del punto di accesso o l'URI in stile hosting virtuale. **Topics** + [ ## Punto di accesso ARNs ](#access-point-arns) + [ ## Alias del punto di accesso ](#access-point-aliases) + [ ## URI virtual-hosted-style ](#virtual-hosted-style-uri) ## Punto di accesso ARNs I punti di accesso hanno Amazon Resource Names (ARNs). Gli access point ARNs sono simili al bucket S3 ARNs, ma vengono digitati e codificati in modo esplicito il punto di accesso Regione AWS e l' Account AWS ID del proprietario del punto di accesso. Per ulteriori informazioni ARNs, consulta [Identify AWS resources with Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) nella *Guida per l'AWS Identity and Access Management utente*. I punti di accesso ARNs hanno il seguente formato: ``` arn:aws::s3:region:account-id:accesspoint/resource ``` `arn:aws:s3:us-west-2:777777777777:accesspoint/test`rappresenta il punto di accesso denominato*test*, di proprietà dell'account 7777 nella regione*us-west-2*. ARNs per oggetti e file a cui si accede tramite un punto di accesso, utilizzare il seguente formato: ``` arn:aws::s3:region:account-id:accesspoint/access-point-name/object/resource ``` `arn:aws:s3:us-west-2:111122223333:accesspoint/test/object/lions.jpg`rappresenta il file*lions.jpg*, accessibile tramite il punto di accesso denominato*test*, di proprietà dell'account 111122223333 nella regione. *us-west-2* Per ulteriori informazioni sul punto di accesso ARNs, consulta [Access point ARNs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-arns) nella *Guida per l'utente di Amazon Simple Storage Service*. ## Alias del punto di accesso Quando crei un punto di accesso, Amazon S3 genera automaticamente un alias del punto di accesso che puoi utilizzare ovunque sia possibile utilizzare i nomi dei bucket S3 per accedere ai dati. Un alias del punto di accesso non può essere modificato. Per un punto di accesso collegato a un volume FSx for ONTAP, l'alias del punto di accesso è composto dalle seguenti parti: ``` access point prefix-metadata-ext-s3alias ``` Di seguito vengono illustrati l'ARN e l'alias del punto di accesso per un punto di accesso S3 collegato a un volume FSx for ONTAP, restituito come parte della risposta a un comando CLI. `describe-s3-access-point-attachments` FSx Il punto di accesso in questo esempio è denominato. `my-ontap-ap` ``` ... "S3AccessPoint": { "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap", "Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias", ... ``` **Nota** Il `-ext-s3alias` suffisso è riservato agli alias dei punti di accesso S3 collegati a un volume FSx for ONTAP e non può essere utilizzato per i nomi dei punti di accesso. Puoi utilizzare l'alias del punto di accesso anziché un ARN del punto di accesso Amazon S3 in alcune operazioni del piano dati S3. Per un elenco delle operazioni supportate, consulta. [Compatibilità dei punti di accesso](access-points-for-fsxn-object-api-support.md) Per un set completo di limitazioni degli alias dei punti di accesso, consulta Limitazioni degli [alias dei punti di accesso nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-alias) per l'*utente di Amazon Simple Storage Service*. ## URI virtual-hosted-style Gli access point supportano virtual-host-style solo l'indirizzamento. In un URI in stile host virtuale, il nome del punto di accesso Regione AWS fa parte del nome di dominio contenuto nell'URL. Account AWS**Per visualizzare l'URI S3 per un punto di accesso collegato a un volume FSx for ONTAP, nella pagina dei dettagli del punto di accesso sotto Dettagli del punto di accesso **S3, scegli il nome del punto di accesso elencato per il punto** di accesso S3.** Verrai indirizzato alla pagina dei dettagli del punto di accesso nella console Amazon S3. **Puoi trovare l'**URI S3 in Proprietà**.** Per ulteriori informazioni, consulta l'[URI in stile hosting virtuale nella Guida](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#accessing-a-bucket-through-s3-access-point) per l'utente di *Amazon Simple Storage Service*. # Compatibilità dei punti di accesso Puoi utilizzare i punti di accesso per accedere ai dati archiviati su un volume FSx for ONTAP utilizzando il seguente Amazon APIs S3 per l'accesso ai dati. Tutte le operazioni elencate di seguito possono accettare sia alias di punti di accesso che di punti ARNs di accesso. La tabella seguente è un elenco parziale delle operazioni Amazon S3 e indica se sono compatibili con i punti di accesso. La tabella mostra quali operazioni sono supportate dai punti di accesso che utilizzano un volume FSx for ONTAP come origine dati. | Operazioni S3 | Punto di accesso collegato a un volume FSx for ONTAP | | --- | --- | | `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | Supportata | | `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | Supportata | | `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)` (solo copie della stessa Regione) | Supportato, se l'origine e la destinazione si trovano all'interno dello stesso punto di accesso | | `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | Supportata | | `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | Supportato | | `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | Supportato | | `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | Supportata | | `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | Non supportata | | `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | Non supportato | | `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | Supportata | | `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | Non supportata | | `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | Non supportato | | `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | Supportata | | `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | Non supportata | | `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | Supportata | | `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | Non supportata | | `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | Non supportato | | `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | Supportato | | `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | Supportato | | `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | Supportato | | `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | Supportato | | `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | Supportato | | `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | Supportata | | `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | Non supportata | | `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | Supportata | | `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | Non supportata | | `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | Supportata | | `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | Non supportata | | `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | Non supportata | | `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | Non supportato | | `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | Supportata | | `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | Non supportata | | `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | Supportata | | `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)` (solo copie della stessa Regione) | Supportato, se l'origine e la destinazione si trovano all'interno dello stesso punto di accesso | Le limitazioni all'utilizzo delle operazioni di Amazon S3 sono le seguenti: + La dimensione massima degli oggetti è di 5 GB per i caricamenti, ma puoi scaricare oggetti più grandi + `FSX_ONTAP`è l'unica classe di archiviazione supportata + SSE-FSX è l'unica modalità di crittografia lato server supportata + Le seguenti funzionalità di Amazon S3 non sono supportate: liste di controllo degli accessi (ACLs) diverse da Requester Pays`bucket-owner-full-control`, Object Versioning, Object Lock, Object Lifecycle, Hosting di siti Web statici (ad es. reindirizzamento di siti Web), autenticazione a più fattori (MFA) e scritture condizionali Per esempi di utilizzo dei punti di accesso per eseguire operazioni di accesso ai dati sui file, consulta. [Utilizzo dei punti di accesso](access-points-for-fsxn-usage-examples.md) **Oggetto ETag** Il tag dell'entità è un hash dell'oggetto. ETag Riflette le modifiche solo al contenuto di un oggetto, non ai relativi metadati. Non ETag è un MD5 riassunto dei dati dell'oggetto. **Checksum dell'oggetto** Puoi utilizzare i valori di checksum per verificare l'integrità dei dati che carichi. Quando carichi dati e specifichi un algoritmo di checksum, l' AWS SDK utilizza l'algoritmo di checksum scelto per calcolare un valore di checksum prima della trasmissione dei dati. Amazon S3 calcola quindi in modo indipendente un checksum dei dati e lo convalida rispetto al valore di checksum fornito. Gli oggetti vengono accettati solo dopo aver confermato che l'integrità dei dati è stata mantenuta durante il transito verso Amazon S3. A differenza dei checksum per gli oggetti nei bucket Amazon S3 General Purpose, il valore del checksum non viene memorizzato nel volume NetApp for ONTAP come metadati FSx dell'oggetto e come oggetto stesso. Ciò significa che i valori del checksum non vengono restituiti nella risposta e non vengono utilizzati per verificare l'integrità dell'oggetto durante il download. **Crittografia lato server con Amazon FSx (SSE-FSX)** Tutti i FSx file system di Amazon hanno la crittografia configurata per impostazione predefinita e sono crittografati a riposo con chiavi gestite tramite AWS Key Management Service. I dati vengono crittografati e decrittografati automaticamente sul file system man mano che i dati vengono scritti e letti dal file system. Questi processi vengono gestiti in modo trasparente da Amazon. FSx **Caricamento in più parti** Il caricamento in più parti consente di caricare un singolo oggetto come un insieme di parti. Ciascuna parte è una parte contigua dei dati dell'oggetto. È possibile caricare queste parti di oggetto in modo indipendente e in qualsiasi ordine. Il caricamento multiparte tiene conto delle seguenti considerazioni quando si utilizzano punti di accesso S3 con for ONTAP: FSx + Le parti associate ai caricamenti multiparte in corso (ovvero caricamenti incompleti) non sono incluse nei backup di volume ONTAP. FSx + Lo spazio di archiviazione utilizzato associato al caricamento multiparte in corso (ovvero caricamento incompleto) non si riflette nella metrica della capacità di archiviazione del volume di destinazione, ma si riflette nella CloudWatch metrica della capacità di `StorageUsed` archiviazione del file system principale. `StorageUsed` CloudWatch + Una volta completata un'operazione di caricamento in più parti, i metadati della parte associata non vengono più memorizzati con l'oggetto. Ciò significa che non è possibile recuperare i metadati delle parti dell'oggetto utilizzando `GetObjectAttributes` o scaricare una singola parte di un oggetto in base al numero di parte dell'oggetto letto. **Elenco di controllo degli accessi (ACL)** Le liste di controllo degli accessi di Amazon S3 (ACLs) consentono di gestire l'accesso a bucket e oggetti. I punti di accesso S3 supportano FSx solo il valore ACL. `bucket-owner-full-control` L'utilizzo di qualsiasi altro valore ACL genererà un'eccezione. `InvalidArgument` # Gestione dell'accesso ai punti di accesso Gestione dell'accesso Puoi configurare ogni punto di accesso S3 con autorizzazioni e controlli di rete distinti che S3 applica per qualsiasi richiesta effettuata utilizzando quel punto di accesso. I punti di accesso S3 supportano le policy relative alle risorse AWS Identity and Access Management (IAM) che puoi utilizzare per controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Affinché un'applicazione o un utente possa accedere ai file tramite un punto di accesso, sia il punto di accesso che il volume sottostante devono consentire la richiesta. Per ulteriori informazioni, consulta [Politiche dei punti di accesso IAM](#access-points-for-fsxn-policies). I punti di accesso Amazon S3 FSx per ONTAP utilizzano un modello di autorizzazione a doppio livello che combina le autorizzazioni AWS IAM con le autorizzazioni a livello di file system. Questo approccio garantisce che le richieste di accesso ai dati siano autorizzate correttamente sia a livello di AWS servizio che a livello di file system sottostante. Affinché un'applicazione o un utente possa accedere correttamente ai dati tramite un punto di accesso, sia la policy del punto di accesso S3 che il volume sottostante FSx per ONTAP devono consentire la richiesta. **Topics** + [ ## Identità e autorizzazione dell'utente del file system ](#fsxn-file-system-user-identity) + [ ## Autorizzazione della richiesta API S3 ](#access-points-for-fsxn-s3-iam-auth) + [ ## Blocco dell'accesso pubblico di S3 ](#access-points-for-fsxn-bpa) + [ ## Politiche dei punti di accesso IAM ](#access-points-for-fsxn-policies) ## Identità e autorizzazione dell'utente del file system Quando crei un punto di accesso S3 per un volume FSx for ONTAP, specifichi un'identità del file system che verrà utilizzata per autorizzare tutte le richieste di file system effettuate tramite quel punto di accesso. Questa identità del file system determina il livello di accesso concesso ai file e alle directory sottostanti in base al modello di autorizzazione del file system. L'utente del file system è un account utente sul FSx file system Amazon sottostante. Se l'utente del file system ha accesso in *sola lettura*, vengono autorizzate solo le richieste di lettura effettuate utilizzando il punto di accesso e le richieste di scrittura vengono bloccate. Se l'utente del file system dispone di accesso in lettura/scrittura, sono autorizzate sia le richieste di lettura che quelle di scrittura al volume allegato effettuate utilizzando il punto di accesso. L'identità del file system può essere di due tipi: + Identità **UNIX: utilizzate un'identità** UNIX (nome utente) per accedere ai volumi con lo stile di sicurezza UNIX + **Identità Windows**: utilizza un'identità Windows (dominio e nome utente) per accedere ai volumi con lo stile di sicurezza NTFS. Quando specifichi un'identità UNIX o Windows, tutte le operazioni dell'API S3 eseguite tramite il punto di accesso sono autorizzate utilizzando le autorizzazioni dell'utente sul file system. L'identità del file system associata al punto di accesso determina il livello di accesso a file e directory. Ad esempio, se si associa il punto di accesso all'identità UNIX radice (UID 0), che in genere dispone di autorizzazioni complete di accesso ai file sul file system, tutte le operazioni sui file sarebbero autorizzate. Al contrario, se si associa il punto di accesso a un'identità utente limitata, le operazioni sui file sarebbero limitate a ciò a cui l'utente può accedere in base al modello di autorizzazione del file system. È necessario utilizzare il tipo di identità del file system UNIX per i volumi con stile di sicurezza UNIX e il tipo di identità Windows per i volumi con stile di sicurezza NTFS. Questo allineamento garantisce che il modello di autorizzazione corrisponda alla configurazione di sicurezza del volume. Per i volumi in stile di sicurezza UNIX, il file system utilizza i bit di modalità o per controllare l'accesso. NFSv4 ACLs Per i volumi in stile di sicurezza NTFS, il file system utilizza Windows per controllare l'accesso. ACLs **Importante** Il collegamento di un punto di accesso S3 a un volume FSx for ONTAP non modifica il comportamento del volume quando si accede direttamente al volume tramite NFS o SMB. Tutte le operazioni esistenti sul volume continueranno a funzionare come prima. Le restrizioni incluse in una policy sui punti di accesso S3 si applicano solo alle richieste effettuate utilizzando il punto di accesso. ## Autorizzazione della richiesta API S3 Quando effettui una richiesta API S3 tramite un punto di accesso collegato a un volume FSx for NetApp ONTAP, Amazon S3 valuta le autorizzazioni IAM del principale chiamante rispetto alla policy delle risorse IAM del punto di accesso. Il chiamante principale IAM deve disporre delle autorizzazioni necessarie concesse tramite le proprie politiche basate sull'identità e la politica delle risorse del punto di accesso deve inoltre consentire l'azione richiesta. Amazon S3 valuta tutte le policy pertinenti, incluse le policy degli utenti, le policy dei punti di accesso, le policy degli endpoint VPC e le politiche di controllo del servizio, per determinare se autorizzare la richiesta. Puoi anche configurare un punto di accesso S3 per accettare solo le richieste da uno specifico cloud privato virtuale (VPC) per limitare l'accesso ai dati. Per ulteriori informazioni, consulta [Creazione di access point limitati a un cloud privato virtuale](access-points-for-fsxn-vpc.md). ## Blocco dell'accesso pubblico di S3 I punti di accesso Amazon S3 collegati a un volume FSx for ONTAP vengono configurati automaticamente con l'accesso pubblico a blocchi abilitato, che non è possibile modificare. ## Politiche dei punti di accesso IAM I punti di accesso Amazon S3 supportano politiche di risorse AWS Identity and Access Management (IAM) che consentono di controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Affinché un'applicazione o un utente possano accedere agli oggetti tramite un punto di accesso, sia il punto di accesso che l'origine dati sottostante devono consentire la richiesta. L'`s3:PutAccessPointPolicy`autorizzazione è necessaria per creare una policy opzionale per i punti di accesso. Dopo aver collegato un access point S3 a un FSx volume Amazon, tutte le operazioni esistenti sul volume continueranno a funzionare come prima. Le limitazioni incluse in una policy di access point si applicano solo alle richieste effettuate tramite quell'access point. Per maggiori informazioni, consulta [Configurazione delle policy IAM per l'utilizzo dei punti di accesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) nella *Guida per l'utente di Amazon Simple Storage Service*. Puoi configurare una policy per i punti di accesso quando crei un punto di accesso collegato a un volume FSx for ONTAP utilizzando la FSx console Amazon. Per aggiungere, modificare o eliminare una politica del punto di accesso su un punto di accesso S3 esistente, puoi utilizzare la console S3, la CLI o l'API. # Creazione di un access point Puoi creare e gestire punti di accesso S3 che si collegano ai FSx volumi Amazon utilizzando la FSx console Amazon, la CLI, l'API e Supported. SDKs **Nota** Poiché potresti voler pubblicizzare il nome del tuo punto di accesso S3 in modo che altri utenti possano utilizzarlo, evita di includere informazioni sensibili nel nome del punto di accesso S3. I nomi dei punti di accesso vengono pubblicati in un database accessibile pubblicamente noto come sistema dei nomi di dominio (DNS). Per ulteriori informazioni sui nomi dei punti di accesso, consulta. [Regole di denominazione dei punti di accesso](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules) ## Autorizzazioni richieste Le seguenti autorizzazioni sono necessarie per creare un punto di accesso S3 collegato a un volume Amazon FSx : + `fsx:CreateAndAttachS3AccessPoint` + `s3:CreateAccessPoint` + `s3:GetAccessPoint` L'`s3:PutAccessPointPolicy`autorizzazione è necessaria per creare una policy di Access Point opzionale utilizzando la console Amazon FSx o S3. Per ulteriori informazioni, consulta [Politiche dei punti di accesso IAM](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies). Per creare un punto di accesso, consulta i seguenti argomenti. **Topics** + [ ## Autorizzazioni richieste ](#create-ap-permissions) + [ # Creazione di access point ](create-access-points.md) + [ # Creazione di access point limitati a un cloud privato virtuale ](access-points-for-fsxn-vpc.md) # Creazione di access point **Importante** Per collegare un access point S3 a un volume FSx for ONTAP, il volume deve essere montato (avere un percorso di giunzione). Consulta la [documentazione di ONTAP per maggiori](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html) dettagli. Il volume FSx for ONTAP deve essere già presente nel tuo account quando crei un punto di accesso S3 per il tuo volume. Per creare il punto di accesso S3 collegato a un volume FSx for ONTAP, specificate le seguenti proprietà: + Nome del punto di accesso. Per informazioni sulle regole di denominazione dei punti di accesso, consulta. [Regole di denominazione dei punti di accesso](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules) + L'identità dell'utente del file system da utilizzare per autorizzare le richieste di accesso ai file effettuate utilizzando il punto di accesso. Specificate in UNIX o Windows il nome utente POSIX che desiderate includere. Per ulteriori informazioni, consulta [Identità e autorizzazione dell'utente del file system](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity). + La configurazione di rete del punto di accesso determina se il punto di accesso è accessibile da Internet o se l'accesso è limitato a uno specifico cloud privato virtuale (VPC). Per ulteriori informazioni, consulta [Creazione di access point limitati a un cloud privato virtuale](access-points-for-fsxn-vpc.md). ## Per creare un punto di accesso S3 collegato a un FSx volume (console) FSx 1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/). 1. Nella barra di navigazione nella parte superiore della pagina, scegli quello Regione AWS in cui desideri creare un punto di accesso. Il punto di accesso deve essere creato nella stessa regione del volume associato. 1. Nel riquadro di navigazione a sinistra, scegli **Volumi**. 1. Nella pagina **Volumi**, scegli FSx il volume ONTAP a cui desideri collegare il punto di accesso. 1. **Visualizza la pagina **Crea punto di accesso S3 scegliendo Crea punto** **di accesso S3 dal menu** Azioni.** 1. Per il **nome del punto di accesso**, inserisci il nome del punto di accesso. Per ulteriori informazioni sulle linee guida e le restrizioni relative ai nomi dei punti di accesso, vedere[Regole di denominazione dei punti di accesso](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules). I **dettagli sull'origine dei dati** vengono compilati con le informazioni del volume scelto nel passaggio 3. 1. L'identità utente del file system viene utilizzata da Amazon FSx per autenticare le richieste di accesso ai file effettuate utilizzando questo punto di accesso. Assicurati che l'utente del file system specificato disponga delle autorizzazioni corrette sul volume FSx for ONTAP. Per **il tipo di identità utente del file system**, seleziona UNIX o Windows. 1. Per **Nome utente**, immettere il nome utente dell'utente. 1. Nel pannello di **configurazione della rete**, scegli se il punto di accesso è accessibile da Internet o se l'accesso è limitato a uno specifico cloud privato virtuale. Per **Origine di rete**, scegli **Internet** per rendere il punto di accesso accessibile da Internet oppure scegli **Virtual private cloud (VPC)** e inserisci l'**ID VPC** da cui desideri limitare l'accesso al punto di accesso. Per ulteriori informazioni sulle origini della rete per i punti di accesso, consulta [Creazione di access point limitati a un cloud privato virtuale](access-points-for-fsxn-vpc.md). 1. (Facoltativo) In **Access Point Policy - *opzionale***, specifica una policy opzionale per il punto di accesso. Assicurati di risolvere eventuali avvisi, errori e suggerimenti relativi alle policy. Per ulteriori informazioni sulla specificazione di una policy per i punti di accesso, consulta [Configurazione delle policy IAM per l'utilizzo dei punti di accesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) nella *Amazon Simple Storage Service User Guide*. 1. Scegli **Crea punto di accesso** per rivedere la configurazione degli allegati del punto di accesso. ## Per creare un punto di accesso S3 collegato a un FSx volume (CLI) Il comando di esempio seguente crea un punto di accesso denominato *`my-ontap-ap`* che è collegato al volume FSx for ONTAP *`fsvol-0123456789abcdef9`* nell'account. *`111122223333`* ``` $ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \ VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \ --s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json ``` In caso di richiesta riuscita, il sistema risponde restituendo il nuovo allegato del punto di accesso S3. ``` $ { { "S3AccessPointAttachment": { "CreationTime": 1728935791.8, "Lifecycle": "CREATING", "LifecycleTransitionReason": { "Message": "string" }, "Name": "my-ontap-ap", "OntapConfiguration": { "VolumeId": "fsvol-0123456789abcdef9", "FileSystemIdentity": { "Type": "UNIX", "UnixUser": { "Name": "ec2-user" } } }, "S3AccessPoint": { "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap", "Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias", "VpcConfiguration": { "VpcId": "vpc-0123467" } } } } ``` # Creazione di access point limitati a un cloud privato virtuale Creazione di access point limitati a un VPC Quando crei un punto di accesso, puoi scegliere di renderlo accessibile da Internet oppure puoi specificare che tutte le richieste effettuate tramite quel punto di accesso devono provenire da uno specifico Amazon Virtual Private Cloud. Un access point accessibile da Internet ha l'origine di rete `Internet`. Può essere utilizzato da qualsiasi punto di Internet, fatte salve eventuali altre restrizioni di accesso in vigore per il punto di accesso, il bucket sottostante o FSx il volume Amazon e le risorse correlate, come gli oggetti richiesti. Un punto di accesso accessibile solo da uno specifico Amazon VPC ha un'origine di rete di `VPC` e Amazon S3 rifiuta qualsiasi richiesta effettuata al punto di accesso che non provenga da tale Amazon VPC. **Importante** Puoi specificare l'origine di rete di un access point solo quando crei l'access point. Dopo aver creato l'access point, non è più possibile modificare l'origine di rete. Per limitare un punto di accesso all'accesso solo ad Amazon VPC, includi il `VpcConfiguration` parametro nella richiesta di creazione del punto di accesso. Nel `VpcConfiguration` parametro, specifichi l'ID Amazon VPC che desideri utilizzare per l'access point. Se viene effettuata una richiesta tramite il punto di accesso, la richiesta deve provenire da Amazon VPC o Amazon S3 la rifiuterà. Puoi recuperare l'origine di rete di un punto di accesso utilizzando AWS CLI, AWS SDKs o REST. APIs Se per un punto di accesso è specificata una configurazione Amazon VPC, la sua origine di rete è. `VPC` In caso contrario, l'origine della rete dell'access point è `Internet`. **Example** ***Esempio: creare un punto di accesso limitato all'accesso ad Amazon VPC*** L'esempio seguente crea un punto di accesso denominato `example-vpc-ap` bucket `amzn-s3-demo-bucket` in account `123456789012` che consente l'accesso solo da `vpc-1a2b3c` Amazon VPC. L'esempio verifica quindi che il nuovo access point abbia l'origine di rete `VPC`. ``` $ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \ VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \ --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json ``` ``` $ { { "S3AccessPointAttachment": { "Lifecycle": "CREATING", "CreationTime": 1728935791.8, "Name": "example-vpc-ap", "OntapConfiguration": { "VolumeId": "fsvol-0123456789abcdef9", "FileSystemIdentity": { "Type": "UNIX", "UnixUser": { "Name": "my-unix-user" } } }, "S3AccessPoint": { "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap", "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias", "VpcConfiguration": { "VpcId": "vpc-1a2b3c" } } } } ``` Per utilizzare un punto di accesso con un Amazon VPC, devi modificare la politica di accesso per il tuo endpoint Amazon VPC. Gli endpoint Amazon VPC consentono al traffico di fluire dal tuo Amazon VPC ad Amazon S3. Dispongono di politiche di controllo degli accessi che controllano il modo in cui le risorse all'interno di Amazon VPC possono interagire con Amazon S3. Le richieste dal tuo Amazon VPC ad Amazon S3 hanno successo tramite un punto di accesso solo se la policy degli endpoint di Amazon VPC consente l'accesso sia al punto di accesso che al bucket sottostante. **Nota** Per rendere le risorse accessibili solo all'interno di un Amazon VPC, assicurati di creare una [zona ospitata privata](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) per il tuo endpoint Amazon VPC. Per utilizzare una zona ospitata privata, [modifica le impostazioni di Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) in modo che [gli attributi di rete Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) siano `enableDnsHostnames` impostati `enableDnsSupport` su. `true` La seguente dichiarazione politica di esempio configura un endpoint Amazon VPC per consentire le chiamate verso un punto `GetObject` di accesso denominato. `example-vpc-ap` ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*" ] }] } ``` ------ **Nota** La dichiarazione `Resource` in questo esempio utilizza un Amazon Resource Name (ARN) per specificare l'access point. *Per ulteriori informazioni sulle politiche degli endpoint di Amazon VPC, consulta [Gateway endpoints for Amazon S3 nella Amazon VPC User Guide](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3).* # Gestione dei punti di accesso Amazon S3 Gestione dei punti di accesso Questa sezione spiega come gestire e utilizzare i punti di accesso Amazon S3 utilizzando l'API Console di gestione AWS AWS Command Line Interface, o. **Topics** + [ # Elenco degli allegati dei punti di accesso S3 ](access-points-list.md) + [ # Visualizzazione dei dettagli dei punti di accesso ](access-points-details.md) + [ # Eliminazione di un allegato al punto di accesso S3 ](delete-access-point.md) # Elenco degli allegati dei punti di accesso S3 Questa sezione spiega come elencare il punto di accesso S3 utilizzando l'API Console di gestione AWS AWS Command Line Interface, o REST. ## Per elencare tutti i punti di accesso S3 collegati a un volume FSx for ONTAP (console Amazon FSx ) 1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/). 1. Nel riquadro di navigazione sul lato sinistro della console, scegli **Volumi**. 1. Nella pagina **Volumes**, scegli il volume **ONTAP** per cui desideri visualizzare gli allegati del punto di accesso. 1. Nella pagina dei dettagli del volume, scegli **S3** per visualizzare un elenco di tutti i punti di accesso S3 collegati al volume. ## Per elencare tutti i punti di accesso S3 collegati a un volume FSx for ONTAP ()AWS CLI Il comando di [https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html)esempio seguente mostra come utilizzare AWS CLI per elencare gli allegati dei punti di accesso S3. Il comando seguente elenca tutti i punti di accesso S3 collegati ai volumi sul file system FSx for ONTAP fs-0abcdef123456789. ``` aws fsx describe-s3-access-point-attachments --filter {[Name: file-system-id, Values:{[fs-0abcdef123456789]}} ``` Il comando seguente elenca i punti di accesso S3 collegati a un volume for ONTAP [vol-9abcdef123456789]. FSx ``` aws fsx describe-s3-access-point-attachments --filter {[Name: volume-id, Values:{[vol-9abcdef123456789]}} ``` Per ulteriori informazioni ed esempi, consulta [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html) nella *documentazione di riferimento dei comandi della AWS CLI *. # Visualizzazione dei dettagli dei punti di accesso Questa sezione spiega come visualizzare i dettagli dei punti di accesso S3 utilizzando l' Console di gestione AWS API o REST. AWS Command Line Interface ## Per visualizzare i dettagli dei punti di accesso S3 collegati a un volume FSx for ONTAP (console Amazon FSx ) 1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/). 1. Passa al volume collegato al punto di accesso di cui desideri visualizzare i dettagli. 1. Scegli **S3** per visualizzare l'elenco dei punti di accesso collegati al volume. 1. Scegli il punto di accesso di cui desideri visualizzare i dettagli. 1. Nel **riepilogo degli allegati del punto di accesso S3**, visualizza i dettagli e le proprietà di configurazione per il punto di accesso selezionato. Per l'**allegato del punto di accesso sono elencate anche la configurazione dell'identità utente del file system** **e la politica di autorizzazione del punto di accesso S3**. 1. Per visualizzare la configurazione S3 del punto di accesso nella console Amazon S3, scegli il nome del punto di accesso S3 visualizzato **sotto** il punto di accesso S3. Ti porta alla pagina dei dettagli del punto di accesso nella console Amazon S3. # Eliminazione di un allegato al punto di accesso S3 Questa sezione spiega come eliminare i punti di accesso S3 utilizzando l'API Console di gestione AWS AWS Command Line Interface, o REST. Le `s3control:DeleteAccessPoint` autorizzazioni `fsx:DetatchAndDeleteS3AccessPoint` e sono necessarie per eliminare un allegato del punto di accesso S3. ## Per eliminare un punto di accesso S3 collegato a un volume FSx for ONTAP (console Amazon FSx ) 1. Apri la FSx console Amazon all'indirizzo [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/). 1. Passa al volume a cui è allegato l'allegato del punto di accesso S3 che desideri eliminare. 1. Scegli **S3** per visualizzare l'elenco dei punti di accesso S3 collegati al volume. 1. Seleziona l'allegato del punto di accesso S3 che desideri eliminare. 1. Scegli **Elimina**. 1. **Conferma di voler eliminare il punto di accesso S3 e scegli Elimina.** ## Per eliminare un punto di accesso S3 collegato a un volume FSx for ONTAP ()AWS CLI + Per eliminare gli allegati di un punto di accesso S3, usa il comando CLI a 3 [detach-and-delete-spunti di accesso](https://docs.aws.amazon.com/cli/latest/reference/fsx/detach-and-delete-s3-access-point.html) (o l'operazione API AccessPoint S3 [DetachAndDeleteequivalente](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DetachAndDeleteS3AccessPoint.html)), come mostrato nell'esempio seguente. Utilizza la `--name` proprietà per specificare il nome dell'allegato del punto di accesso S3 che desideri eliminare. ``` aws fsx detach-and-delete-s3-access-point \ --region us-east-1 \ --name my-ontap-ap ``` # Utilizzo dei punti di accesso Utilizzo dei punti di accesso Gli esempi seguenti mostrano come utilizzare i punti di accesso per accedere ai dati dei file archiviati su un volume FSx for ONTAP utilizzando l'API S3. Per un elenco completo delle operazioni dell'API Amazon S3 supportate dai punti di accesso collegati a un volume FSx for ONTAP, consulta. [Compatibilità dei punti di accesso](access-points-for-fsxn-object-api-support.md) **Nota** I file presenti nei FSx volumi ONTAP sono identificati con un. `StorageClass` `FSX_ONTAP` **Topics** + [ # Scaricamento di un file utilizzando un punto di accesso S3 ](get-object-ap.md) + [ # Caricamento di un file utilizzando un punto di accesso S3 ](put-object-ap.md) + [ # Elencare i file utilizzando un punto di accesso S3 ](list-object-ap.md) + [ # Taggare un file utilizzando un punto di accesso S3 ](add-tag-set-ap.md) + [ # Eliminazione di un file utilizzando un punto di accesso S3 ](delete-object-ap.md) # Scaricamento di un file utilizzando un punto di accesso S3 Scaricare un file Il comando di `get-object` esempio seguente mostra come è possibile utilizzare il AWS CLI per scaricare un file tramite un punto di accesso. È necessario includere un outfile, che è un nome di file per l'oggetto scaricato. L'esempio richiede il file *`my-image.jpg`* tramite il punto di accesso *`my-ontap-ap`* e salva il file scaricato come*`download.jpg`*. ``` $ aws s3api get-object --key my-image.jpg --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias download.jpg { "AcceptRanges": "bytes", "LastModified": "Mon, 14 Oct 2024 17:01:48 GMT", "ContentLength": 141756, "ETag": "\"00751974dc146b76404bb7290f8f51bb-1\"", "ContentType": "binary/octet-stream", "ServerSideEncryption": "SSE_FSX", "Metadata": {}, "StorageClass": "FSX_ONTAP" } ``` È inoltre possibile utilizzare l'API REST per scaricare un oggetto tramite un punto di accesso. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service). # Caricamento di un file utilizzando un punto di accesso S3 Caricamento di un file Il comando di `put-object` esempio seguente mostra come utilizzare il AWS CLI per caricare un file tramite un punto di accesso. È necessario includere un outfile, che è un nome di file per l'oggetto caricato. L'esempio carica il file *`my-new-image.jpg`* tramite il punto di accesso *`my-ontap-ap`* e salva il file caricato come. *`my-new-image.jpg`* ``` $ aws s3api put-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-new-image.jpg --body my-new-image.jpg ``` È inoltre possibile utilizzare l'API REST per caricare un oggetto tramite un punto di accesso. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service). # Elencare i file utilizzando un punto di accesso S3 Elenca i file L'esempio seguente elenca i file tramite l'alias del punto di accesso `my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias` posseduto dall'ID dell'account *`111122223333`* in Region*`us-east-2`*. ``` $ aws s3api list-objects-v2 --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias { "Contents": [ { "Key": ".hidden-dir-with-data/file.txt", "LastModified": "2024-10-29T14:22:05.4359", "ETag": "\"88990077ab44cd55ef66aa77-1\"", "Size": 18, "StorageClass": "FSX_ONTAP" }, { "Key": "documents/report.rtf", "LastModified": "2024-11-02T10:18:15.6621", "ETag": "\"ab12cd34ef56a89219zg6aa77-1\"", "Size": 1048576, "StorageClass": "FSX_ONTAP" }, ] } ``` Puoi anche utilizzare l'API REST per elencare i tuoi file. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service). # Taggare un file utilizzando un punto di accesso S3 Aggiungi un set di tag Il comando di `put-object-tagging` esempio seguente mostra come è possibile utilizzare il AWS CLI per aggiungere un set di tag tramite un punto di accesso. Ogni tag è una coppia chiave-valore. Per ulteriori informazioni, consulta [Categorizzazione dello storage mediante tag](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) nella *Guida per l'utente di Amazon Simple Storage Service*. L'esempio aggiunge un set di tag al file esistente `my-image.jpg` utilizzando il punto di accesso. *`my-ontap-ap`* ``` $ aws s3api put-object-tagging --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg --tagging TagSet=[{Key="finance",Value="true"}] ``` È inoltre possibile utilizzare l'API REST per aggiungere un set di tag a un oggetto tramite un punto di accesso. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service). # Eliminazione di un file utilizzando un punto di accesso S3 Eliminazione di un file Il comando di `delete-object` esempio seguente mostra come è possibile utilizzare il AWS CLI per eliminare un file tramite un punto di accesso. ``` $ aws s3api delete-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg ``` È inoltre possibile utilizzare l'API REST per eliminare un oggetto tramite un punto di accesso. Per ulteriori informazioni, consulta [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html) in *Amazon Simple Storage Service API Reference* (Guida di riferimento per l'API di Amazon Simple Storage Service). # Risoluzione dei problemi relativi ai punti di accesso S3 Risoluzione dei problemi dei punti di accesso Questa sezione descrive i sintomi, le cause e le soluzioni in caso di problemi di accesso ai FSx dati dagli access point S3. ## La creazione del punto di accesso S3 non è riuscita a causa di un errore di ricerca dell'identità utente del file system Quando si crea e si collega un punto di accesso S3, è necessario fornire un [https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type). L'utente è responsabile della configurazione dell'utente UNIX o Windows fornito all'interno di ONTAP. Se [https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html)viene fornito un, ONTAP deve essere in grado di mappare il UnixUser nome a UNIX UID/. GIDs [ONTAP determina come eseguire questa mappatura utilizzando la configurazione dello switch di servizio dei nomi.](https://docs.netapp.com/us-en/ontap/nfs-admin/ontap-name-service-switch-config-concept.html) ``` > vserver services name-service ns-switch show ``` ``` Vserver Database Order --------------- ------------ --------- svm_1 hosts files, dns svm_1 group files, ldap svm_1 passwd files, ldap svm_1 netgroup nis, files ``` Assicurati di avere UnixUser una voce nei `group` database `passwd` e che utilizzi una fonte valida (`files`,`ldap`, ecc.). La `files` fonte può essere configurata utilizzando i `vserver services name-service unix-group` comandi `vserver services name-service unix-user` and. La `ldap` sorgente può essere configurata utilizzando il `vserver services name-service ldap` comando. Se [https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html)viene fornito un, ONTAP deve essere in grado di trovare il WindowsUser nome nel dominio Active Directory aggiunto. Per confermare se un dato UnixUser o WindowsUser è mappato correttamente, `fsxadmin` puoi usare il seguente comando (sostituisci `-unix-user-name` con `-win-name` for WindowsUsers): ``` > vserver services access-check authentication show-creds -node FsxId0fd48ff588b9d3eee-01 -vserver svm_name -unix-user-name root -show-partial-unix-creds true ``` Esempio di output riuscito: ``` UNIX UID: root GID: daemon Supplementary GIDs: daemon ``` Esempio di output non riuscito: ``` Error: Acquire UNIX credentials procedure failed [ 2 ms] Entry for user-name: unmapped-user not found in the current source: FILES. Entry for user-name: unmapped-user not found in any of the available sources **[ 3] FAILURE: Unable to retrieve UID for UNIX user ** unmapped-user Error: command failed: Failed to resolve user name to a UNIX ID. Reason: "SecD Error: object not found". ``` Una mappatura utente errata può causare `Access Denied` errori da parte di S3. Di seguito sono riportati alcuni esempi di motivi di errore. **`Entry for user-name not found in the current source: LDAP`** Se sei `ns-switch` configurato per utilizzare una `ldap` fonte, assicurati che ONTAP sia configurato per utilizzare correttamente il tuo server LDAP. Per ulteriori informazioni [NetApp, consulta il Rapporto tecnico per la configurazione di LDAP](https://www.netapp.com/pdf.html?item=/media/19423-tr-4835.pdf). **`RESULT_ERROR_DNS_CANT_REACH_SERVER` o `RESULT_ERROR_SECD_IN_DISCOVERY`** Questo errore indica un problema con la configurazione DNS del vserver in ONTAP. Esegui quanto segue per assicurarti che il DNS del tuo vserver sia configurato correttamente: ``` > dns check -vserver svm_name ``` **`NT_STATUS_PENDING`** Questo errore indica un problema di comunicazione con il controller di dominio. La causa sottostante può essere dovuta alla mancanza di crediti SMB. Per ulteriori informazioni, consulta [NetApp KB](https://kb.netapp.com/on-prem/ontap/da/NAS/NAS-KBs/How_ONTAP_implements_SMB_crediting). ## La creazione del punto di accesso S3 non è riuscita perché il volume non è montato. I punti di accesso S3 possono essere collegati solo FSx ai volumi ONTAP montati (con percorsi di giunzione). Questo vale anche per i tipi di volumi DP (Data Protection). Per ulteriori informazioni, consulta la [documentazione sul montaggio dei volumi ONTAP](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html). ## La creazione del punto di accesso S3 non è riuscita perché il protocollo S3 è disabilitato sulla SVM I punti di accesso S3 richiedono che il protocollo S3 sia abilitato sulla Storage Virtual Machine (SVM). Per abilitare il protocollo S3, esegui il seguente comando nella CLI di ONTAP utilizzando: `fsxadmin` ``` > vserver add-protocols -vserver svm_name -protocols s3 ``` Per verificare che il protocollo sia abilitato: ``` > vserver show -vserver svm_name -fields allowed-protocols,disallowed-protocols ``` ## Il file system non è in grado di gestire le richieste S3 Se il volume di richieste S3 per un particolare carico di lavoro supera la capacità del file system di gestire il traffico, potrebbero verificarsi errori di richiesta S3 (ad esempio,, `Internal Server Error` e). `503 Slow Down` `Service Unavailable` Puoi monitorare e generare allarmi in modo proattivo sulle prestazioni del tuo file system utilizzando i CloudWatch parametri di Amazon (ad esempio `Network throughput utilization` e`CPU utilization`). Se osservi un peggioramento delle prestazioni, puoi risolvere il problema aumentando la capacità di throughput del file system. ## Accesso negato con le autorizzazioni predefinite del punto di accesso S3 per i ruoli di servizio creati automaticamente Alcuni AWS servizi integrati in S3 creeranno un ruolo di servizio personalizzato e personalizzeranno le autorizzazioni allegate in base al tuo caso d'uso specifico. Quando si specifica l'alias del punto di accesso S3 come risorsa S3, le autorizzazioni allegate possono includere il punto di accesso che utilizza un formato ARN bucket (ad esempio,) `arn:aws:s3:::my-fsx-ap-foo7detztxouyjpwtu8krroppxytruse1a-ext-s3alias` anziché il formato ARN del punto di accesso (ad esempio,). `arn:aws:s3:us-east-1:1234567890:accesspoint/my-fsx-ap` Per risolvere questo problema, modificare la politica in modo da utilizzare l'ARN del punto di accesso.