Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configurazione dell'accesso alla rete per i punti di accesso Amazon S3
Quando crei un punto di accesso Amazon S3 per un volume FSx for ONTAP, configuri come raggiungere il punto di accesso sulla rete e chi è autorizzato a utilizzarlo. Questa sezione ti aiuta a scegliere la configurazione di rete e controllo degli accessi più adatta al tuo ambiente.
Questa sezione tratta i livelli di autorizzazione della rete e di IAM, in particolare l'origine della rete del punto di accesso, gli endpoint VPC, le politiche dei punti di accesso, le politiche degli endpoint VPC, le politiche di identità IAM e le politiche di controllo dei servizi. Per informazioni sull'autorizzazione a livello di file system (autorizzazioni utente UNIX e Windows), vedere. [Identità e autorizzazione dell'utente del file system](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity)
**Topics**
+ [In che modo Amazon S3 valuta le richieste dei punti di accesso](#s3-ap-request-evaluation)
+ [Scelta di un'origine di rete](#s3-ap-choosing-network-origin)
+ [Come funziona l'applicazione dell'origine dei VPC](#s3-ap-vpc-origin-enforcement)
+ [Utilizzo di endpoint VPC con punti di accesso Amazon S3](#s3-ap-vpc-endpoints)
+ [Policy del punto di accesso](#s3-ap-policies-network)
+ [Scenari di esempio](#s3-ap-example-scenarios)
+ [Risoluzione dei problemi di accesso alla rete](#s3-ap-troubleshooting-network)
## In che modo Amazon S3 valuta le richieste dei punti di accesso
Quando una richiesta viene effettuata tramite un punto di accesso Amazon S3 collegato a un volume FSx for ONTAP, la richiesta deve essere autorizzata da tutti i seguenti livelli:
+ **Controllo dell'origine della rete**: se il punto di accesso ha un'origine di rete VPC, la richiesta deve arrivare tramite un endpoint VPC nel VPC associato. In caso contrario, la richiesta viene rifiutata prima che venga effettuata una valutazione delle politiche.
+ **Policy degli endpoint VPC**: se la richiesta attraversa un endpoint VPC, la policy dell'endpoint deve consentire l'azione sulla risorsa del punto di accesso.
+ policy del **punto di accesso: viene valutata la policy** delle risorse IAM del punto di accesso. Per l'accesso allo stesso account, è possibile concedere l'accesso sia la politica del punto di accesso che la politica sull'identità del chiamante. Per l'accesso su più account, entrambi devono consentirlo.
+ **Politica di identità IAM**: la politica basata sull'identità del principale richiedente viene valutata rispetto alla risorsa del punto di accesso.
+ **Policy di controllo dei servizi (SCP)**: se l'account fa parte di un'organizzazione AWS Organizations, tutti gli SCP applicabili devono consentire l'azione.
Il controllo dell'origine della rete avviene prima della valutazione delle politiche. I livelli rimanenti vengono valutati insieme come parte della decisione di autorizzazione IAM standard: un Deny esplicito in **qualsiasi** livello ha la precedenza sulle istruzioni Allow negli altri livelli.
## Scelta di un'origine di rete
Quando crei un punto di accesso Amazon S3, scegli un'**origine di rete** che determina come raggiungere il punto di accesso. Non è possibile modificare l'origine della rete dopo la creazione.
### Origine di Internet
Un punto di accesso con un'origine di rete Internet è simile a come si accede ai bucket S3 per impostazione predefinita. **Tutte le richieste richiedono comunque credenziali e autorizzazioni IAM valide: l'**origine di Internet non significa accesso pubblico o anonimo. Amazon S3 applica Block Public Access su tutti i punti di accesso collegati ai volumi FSx for ONTAP e non è possibile disabilitare questa impostazione.
Con l'origine da Internet, le richieste autenticate possono provenire da qualsiasi luogo: VPC, reti locali, altri AWS account o Internet pubblico. Puoi controllare quali chiamanti autenticati sono autorizzati utilizzando la policy del punto di accesso e le policy di identità IAM.
Con Internet Origin, controlli l'accesso utilizzando la policy del punto di accesso e le policy di identità IAM. Per i chiamanti che utilizzano lo stesso account, utilizza le istruzioni Deny esplicite nella policy del punto di accesso per limitare l'accesso: una politica non è sufficiente perché la Allow-only politica di identità IAM del chiamante può concedere l'accesso in modo indipendente. Per i chiamanti con più account, la policy del punto di accesso deve consentire esplicitamente la richiesta, quindi omettere un Consenti è sufficiente per bloccare l'accesso.
### Origine VPC
Un punto di accesso con un'origine di rete VPC è associato a un VPC specifico e si comporta efficacemente come un'esplicita dichiarazione di politica Deny che rifiuta qualsiasi richiesta che non corrisponde al VPC associato. `aws:SourceVpc` Poiché un rifiuto esplicito ha sempre la precedenza su qualsiasi opzione Allow, anche una policy del punto di accesso completamente permissiva o una policy di identità IAM non può concedere l'accesso alle richieste provenienti dall'esterno del VPC associato.
I chiamanti esterni al VPC associato possono comunque accedere al punto di accesso se il loro traffico viene instradato attraverso un endpoint VPC nel VPC associato, ad esempio tramite peering VPC o Transit Gateway verso un endpoint dell'interfaccia Amazon S3 distribuito nel VPC associato.
### Differenze principali
| | Origine di Internet | Origine VPC |
| --- | --- | --- |
| Applicazione della rete | Nessuno: accesso controllato solo da policy | Effettivamente un rifiuto esplicito per le richieste che non arrivano tramite un endpoint VPC nel VPC associato |
| Multi-VPC accesso | Supportato tramite condizioni politiche | Supportato se i chiamanti effettuano il routing attraverso un endpoint di interfaccia nel VPC associato (tramite peering VPC o Transit Gateway) |
| Modifica l'ambito di accesso | Aggiorna la politica | È necessario ricreare il punto di accesso per modificare il VPC associato |
| È richiesto un endpoint VPC | Solo se si utilizzano condizioni aws:SourceVpc | Sì, le richieste devono attraversare un endpoint nel VPC associato |
## Come funziona l'applicazione dell'origine dei VPC
Quando un punto di accesso ha un'origine di rete VPC, si comporta in effetti come se esistesse un'esplicita dichiarazione di rifiuto che nega tutte le richieste se `aws:SourceVpc` non è uguale all'ID VPC specificato nel punto di accesso. `VpcConfiguration` Questa negazione si applica a tutti i principali, a tutte le azioni di Amazon S3 e a tutte le risorse all'interno del punto di accesso.
Poiché si tratta di un tipo Deny esplicito, ha la precedenza su qualsiasi istruzione Allow, che si tratti della politica del punto di accesso, della politica di identità IAM del chiamante o di qualsiasi altra politica.
In pratica, ciò significa:
+ Le richieste devono arrivare tramite un endpoint VPC (gateway o interfaccia) distribuito nel VPC associato, poiché solo gli endpoint VPC popolano l'attributo nella richiesta. `aws:SourceVpc`
+ Le richieste provenienti da altri VPC vengono rifiutate, perché i relativi endpoint VPC sono `aws:SourceVpc` popolati con un ID VPC diverso.
+ Le richieste provenienti da Internet vengono rifiutate perché `aws:SourceVpc` non sono presenti nella richiesta.
Questo è anche il motivo per cui il messaggio di errore relativo alle richieste negate riporta la dicitura «rifiuto esplicito in una politica basata sulle risorse».
**Importante**
Non è possibile modificare l'origine della rete di un punto di accesso dopo la creazione. Se è necessario passare dall'origine VPC all'origine Internet (o viceversa), è necessario eliminare il punto di accesso e crearne uno nuovo.
### Origine VPC e origine Internet con un rifiuto esplicito
Un punto di VPC-origin accesso e un punto di accesso di origine Internet con un `StringNotEquals aws:SourceVpc` Deny scritto manualmente ottengono un risultato simile: entrambi negano le richieste che non provengono dal VPC specificato. La differenza fondamentale è la seguente:
+ **Origine VPC**: Deny è integrato nella configurazione VPC del punto di accesso. Non è possibile rimuoverlo accidentalmente o configurarlo erroneamente.
+ **Origine su Internet con Deny**: scrivi e gestisci tu stesso Deny. Ciò offre una maggiore flessibilità (ad esempio, la possibilità di utilizzare più VPC) ma anche una maggiore responsabilità: se l'opzione Deny è assente o non è configurata correttamente, la restrizione non viene applicata.
## Utilizzo di endpoint VPC con punti di accesso Amazon S3
Gli access point Amazon S3 funzionano con entrambi i tipi di endpoint VPC per Amazon S3. Il tipo di endpoint di cui hai bisogno dipende da dove si trovano i chiamanti.
### Endpoint gateway
Gli endpoint del gateway sono gratuiti e basati su tabelle di routing. Quando si crea un endpoint Gateway, viene aggiunta una route alle tabelle di route specificate che indirizza il traffico Amazon S3 attraverso l'endpoint. Questo percorso si applica solo al traffico **proveniente dal VPC.**
Utilizza gli endpoint Gateway per:
+ **Istanze Amazon EC2, funzioni Lambda, attività Amazon ECS e altre risorse di elaborazione all'interno del VPC**
Gli endpoint del gateway **non** instradano il traffico che entra nel VPC da:
+ On-premises reti tramite VPN o Direct Connect
+ VPC peer-to-peer
+ Connessioni Transit Gateway
Per ulteriori informazioni, consulta [Endpoint Gateway per Amazon S3 nella Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html) *VPC* User Guide.
### Endpoint di interfaccia
Gli endpoint di interfaccia creano un'interfaccia di rete elastica (ENI) con un indirizzo IP privato nella sottorete. Il traffico deve essere indirizzato in modo esplicito al nome DNS o all'IP privato dell'endpoint.
Usa gli endpoint dell'interfaccia per:
+ On-premises chiamanti che accedono ad Amazon S3 tramite VPN o Direct Connect
+ Cross-account chiamanti che accedono ad Amazon S3 tramite peering VPC
+ Qualsiasi scenario in cui il traffico entra nel VPC dall'esterno
Quando si utilizza un endpoint di interfaccia, i chiamanti devono:
+ Utilizza il `--endpoint-url` parametro che punta al nome DNS dell'endpoint dell'interfaccia oppure
+ Configura il DNS per risolvere gli endpoint Amazon S3 sull'IP privato dell'endpoint di interfaccia (utilizzando Route 53 Resolver o l'inoltro DNS locale)
Gli endpoint di interfaccia hanno tariffe orarie e per GB. Per ulteriori informazioni, consultare [Prezzi di AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/).
### Utilizzo congiunto di entrambi i tipi di endpoint
È possibile implementare sia un endpoint Gateway che un endpoint Interface nello stesso VPC. Questa configurazione è utile quando si dispone sia di chiamanti in-VPC che di chiamanti locali:
+ **Endpoint gateway**: gestisce il traffico in-VPC (gratuito, trasparente)
+ **Endpoint di interfaccia**: gestisce il traffico locale in ingresso tramite VPN o Direct Connect (richiede la configurazione DNS o) `--endpoint-url`
Entrambi i tipi di endpoint popolano l'`aws:SourceVpc`attributo con l'ID VPC, quindi entrambi soddisfano la condizione VPC origin Deny.
### Policy di endpoint VPC
Le policy degli endpoint VPC controllano a quali risorse Amazon S3 è possibile accedere tramite l'endpoint. Per impostazione predefinita, un endpoint VPC consente tutte le azioni di Amazon S3 su tutte le risorse. Puoi definire l'ambito della policy degli endpoint in modo da consentire solo punti di accesso specifici:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
]
}
]
}
```
## Policy del punto di accesso
I punti di accesso Amazon S3 supportano politiche di risorse AWS Identity and Access Management (IAM) che consentono di controllare l'uso del punto di accesso in base alla risorsa, all'utente o ad altre condizioni. Per l'accesso tra account diversi, sia la policy del punto di accesso che la policy di identità IAM del chiamante devono consentire la richiesta. Per l'accesso allo stesso account, la politica del punto di accesso o la politica di identità IAM del chiamante possono concedere l'accesso in modo indipendente: per limitare i chiamanti dello stesso account, utilizza istruzioni Deny esplicite nella politica del punto di accesso. Se la richiesta attraversa un endpoint VPC, anche la policy dell'endpoint VPC deve consentire la richiesta.
Per ulteriori informazioni sulle policy dei punti di accesso, consulta [Configurazione delle policy IAM per l'utilizzo degli access point](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) nella *Amazon Simple Storage Service User Guide*.
### Chiavi condizionali per il controllo degli accessi basato sulla rete
IAM fornisce chiavi di condizione globali che è possibile utilizzare nelle politiche dei punti di accesso per controllare l'accesso in base alle proprietà di rete della richiesta. Queste chiavi di condizione sono incluse nel contesto della richiesta solo in circostanze specifiche, come descritto nella tabella seguente.
| Chiave di condizione | Disponibilità | Description |
| --- | --- | --- |
| aws:SourceVpc | Incluso nel contesto della richiesta solo se il richiedente utilizza un endpoint VPC per effettuare la richiesta. | Verifica se la richiesta viaggia attraverso il VPC a cui è collegato l'endpoint VPC. Usa questa chiave per consentire l'accesso solo a un VPC specifico. |
| aws:SourceVpce | Incluso nel contesto della richiesta solo se il richiedente utilizza un endpoint VPC per effettuare la richiesta. | L'ID dell'endpoint VPC tramite il quale è stata effettuata la richiesta. |
| aws:VpcSourceIp | Incluso nel contesto della richiesta solo se la richiesta viene effettuata utilizzando un endpoint VPC. | Confronta l'indirizzo IP da cui è stata effettuata una richiesta con l'indirizzo IP specificato nella policy. Corrisponde solo se la richiesta proviene dall'indirizzo IP specificato e passa attraverso un endpoint VPC. |
| aws:SourceIp | Incluso nel contesto della richiesta solo se la richiesta non attraversa un endpoint VPC. | L'indirizzo IP pubblico del chiamante. Non disponibile per le richieste effettuate tramite un endpoint VPC. |
**Importante**
`aws:SourceIp`e si `aws:VpcSourceIp` escludono a vicenda. Quando una richiesta attraversa un endpoint VPC, non `aws:SourceIp` è disponibile, utilizzala invece. `aws:VpcSourceIp` Quando una richiesta proviene da Internet (nessun endpoint VPC), non `aws:VpcSourceIp` è disponibile, utilizzala invece. `aws:SourceIp`
**Importante**
La chiave di condizione `aws:VpcSourceIp` fa distinzione tra maiuscole e minuscole.
Per ulteriori informazioni sulle chiavi di condizione globali IAM, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
## Scenari di esempio
Gli scenari di esempio seguenti mostrano configurazioni comuni per i punti di accesso Amazon S3 collegati ai volumi FSx for ONTAP. Ogni scenario include l'origine di rete consigliata, il tipo di endpoint VPC e la policy del punto di accesso.
### Accesso VPC singolo
**Caso d'uso:** istanze Amazon EC2, funzioni Lambda o attività Amazon ECS all'interno di un singolo VPC per accedere al punto di accesso. Non è necessario alcun accesso esterno.
**Con origine di rete VPC:**
La configurazione di origine del VPC nega efficacemente le richieste `aws:SourceVpc` che non corrispondono al VPC associato. Le richieste provenienti da altri VPC, da Internet o da reti locali vengono negate. Puoi utilizzare un endpoint VPC Gateway o Interface Amazon S3.
**Esempio di policy del punto di accesso (origine VPC):** con l'origine VPC, la restrizione di rete è integrata. La politica del punto di accesso deve solo concedere le autorizzazioni desiderate.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::{{123456789012}}:role/{{my-app-role}}"},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
]
}
]
}
```
**Con origine dalla rete Internet:**
Con Internet Origin, si limita l'accesso al VPC utilizzando `aws:SourceVpc` le condizioni della policy del punto di accesso (con un rifiuto esplicito). È necessario un endpoint VPC in modo che `aws:SourceVpc` venga compilato sulla richiesta.
**Esempio di policy sui punti di accesso (origine Internet):** la policy include sia una condizione Allow with a VPC sia una condizione Deny per le richieste non provenienti dal VPC.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::{{123456789012}}:role/{{my-app-role}}"},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
],
"Condition": {
"StringEquals": {"aws:SourceVpc": "{{vpc-1a2b3c4d}}"}
}
},
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
],
"Condition": {
"StringNotEquals": {"aws:SourceVpc": "{{vpc-1a2b3c4d}}"}
}
}
]
}
```
**Nota**
Entrambe le istruzioni Allow e Deny sono obbligatorie nella policy del punto di accesso. Senza l'istruzione Deny, la restrizione VPC potrebbe non essere applicata a tutti i chiamanti.
| | Origine VPC | Origine di Internet |
| --- | --- | --- |
| Applicazione della rete | Built-in Negare | Policy-based (Consenti \+ Nega) |
| Endpoint VPC | Obbligatorio (gateway o interfaccia) | Obbligatorio (peraws:SourceVpc) |
| politica del punto di accesso | Minimo: la restrizione integrata di Deny gestisce la gestione | Deve includere aws:SourceVpc Allow \+ Deny |
### On-premises e accesso VPC
**Caso d'uso:** sia gli utenti locali (tramite VPN o Direct Connect) che le risorse di elaborazione in-VPC accedono al punto di accesso. Tutto il traffico rimane privato.
**Importante**
Gli endpoint del gateway non instradano il traffico che entra nel VPC dalle connessioni VPN, Direct Connect o Transit Gateway. On-premises i chiamanti devono utilizzare un endpoint dell'interfaccia Amazon S3. Per informazioni dettagliate, vedi [Utilizzo di endpoint VPC con punti di accesso Amazon S3](#s3-ap-vpc-endpoints).
Sia l'endpoint Gateway (traffico in-VPC) che l'endpoint Interface (traffico on-premise) si trovano nello stesso VPC, quindi entrambi soddisfano la condizione VPC origin Deny.
| | Origine VPC | Origine di Internet |
| --- | --- | --- |
| In-VPC endpoint | Gateway (gratuito) | Gateway (peraws:SourceVpc) |
| On-prem endpoint | Interfaccia (richiesta) | Interfaccia (richiesta) |
| On-prem DNS | Scegli Amazon S3 per interfacciare l'IP dell'endpoint | Scegli Amazon S3 per interfacciare l'IP dell'endpoint |
### Multi-VPC accesso
**Caso d'uso:** i chiamanti in più VPC devono accedere allo stesso punto di accesso. Ad esempio, applicazioni in VPC separati all'interno dello stesso account o VPC in account diversi collegati tramite peering VPC o Transit Gateway.
Esistono due approcci per l'accesso multi-VPC, a seconda che si desideri utilizzare controlli basati su policy o l'applicazione della rete di origine VPC.
**Opzione 1: origine Internet con un endpoint Gateway in ogni VPC**
Ogni VPC ha il proprio endpoint Amazon S3 Gateway. I chiamanti di ogni VPC accedono al punto di accesso tramite l'endpoint Gateway locale, che viene `aws:SourceVpc` compilato in base alla richiesta. La politica del punto di accesso limita l'accesso agli ID VPC consentiti.
+ **Origine della rete: Internet**
+ Endpoint **VPC: endpoint Amazon S3** Gateway in ogni VPC (gratuito, non è necessaria alcuna configurazione aggiuntiva)
+ **politica dei punti di accesso:** consente di `aws:SourceVpc` elencare tutti gli ID VPC, più un rifiuto con `StringNotEquals`
**Nota**
Entrambe le istruzioni Allow e Deny sono obbligatorie nella policy del punto di accesso. Senza l'istruzione Deny, la restrizione VPC potrebbe non essere applicata a tutti i chiamanti.
Questa opzione è più semplice da configurare perché ogni VPC funziona in modo indipendente: non è richiesto alcun peering VPC o Transit Gateway. Per aggiungere o rimuovere VPC, aggiorna la politica dei punti di accesso.
**Opzione 2: origine VPC con un endpoint di interfaccia centralizzato**
Un VPC ospita un endpoint dell'interfaccia Amazon S3 e il punto di accesso viene creato con l'origine VPC associata a quel VPC. Altri VPC indirizzano il traffico Amazon S3 all'endpoint Interface tramite peering VPC o Transit Gateway. Poiché tutte le richieste arrivano tramite un endpoint nel VPC associato, soddisfano l'applicazione dell'origine del VPC.
+ **Origine della rete:** VPC (associato al VPC che ospita l'endpoint dell'interfaccia)
+ Endpoint **VPC: endpoint dell'interfaccia Amazon S3** nel VPC associato
+ **Connettività:** peering VPC o Transit Gateway tra gli altri VPC e il VPC associato
+ **policy del punto di accesso: minima:** l'applicazione dell'origine VPC gestisce la restrizione della rete
+ **Configurazione del chiamante:** i chiamanti in altri VPC devono utilizzare la configurazione DNS `--endpoint-url` o per instradare le richieste attraverso l'endpoint dell'interfaccia
Questa opzione offre un'applicazione più efficace perché la restrizione all'origine del VPC non può essere aggirata modificando le politiche. Tuttavia, richiede il peering VPC o la connettività Transit Gateway e l'endpoint Interface prevede tariffe orarie e per GB. Per ulteriori informazioni sugli endpoint dell'interfaccia, consulta [Amazon S3 nella Guida AWS PrivateLink per l'utente di Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) *Simple Storage Service*.
## Risoluzione dei problemi di accesso alla rete
Quando una richiesta del punto di accesso Amazon S3 fallisce, il messaggio di errore spesso non indica quale livello di autorizzazione ha negato la richiesta. Utilizza le seguenti linee guida per diagnosticare problemi comuni.
### AccessDenied con «rifiuto esplicito in una politica basata sulle risorse»
Questo errore può provenire da più fonti. Esegui i seguenti controlli nell'ordine:
**1. Verifica l'origine del VPC Deny (solo punti di VPC-origin accesso)**
Se il punto di accesso ha un'origine di rete VPC, nega efficacemente le richieste che `aws:SourceVpc` non corrispondono al VPC associato. Verificare che:
+ Nel VPC associato esiste un endpoint VPC (gateway o interfaccia).
+ Il traffico del chiamante viene instradato attraverso quell'endpoint. Per i chiamanti in-VPC, verifica che la tabella di routing dell'endpoint Gateway sia associata alla sottorete del chiamante. Per i chiamanti locali, verifica che stiano utilizzando un endpoint Interface (gli endpoint Gateway non instradano il traffico VPN o Direct Connect).
+ Il chiamante si trova nel VPC associato, non in un VPC peer-to-peer. Le richieste provenienti da VPC peering vengono negate a meno che non vengano instradate attraverso un endpoint di interfaccia nel VPC associato.
**2. Controlla la policy degli endpoint VPC**
Se la richiesta attraversa un endpoint VPC, la policy dell'endpoint deve consentire l'azione sulla risorsa del punto di accesso. La policy predefinita per gli endpoint consente tutte le azioni su tutte le risorse. Se hai definito l'ambito della policy, verifica che includa l'ARN del punto di accesso.
**3. Controlla la politica sui punti di accesso**
Verifica che la politica del punto di accesso consenta il principale richiedente. Controlla le dichiarazioni Deny con condizioni che potrebbero corrispondere alla richiesta.
**4. Controlla la politica di identità IAM del chiamante**
Il ruolo o l'utente IAM del chiamante deve disporre delle autorizzazioni per eseguire l'azione Amazon S3 sull'ARN del punto di accesso.
**5. Verifica le politiche di controllo del servizio (SCP)**
Se l'account fa parte di un'organizzazione AWS Organizations, verifica che nessun SCP neghi le azioni di Amazon S3 sul punto di accesso.
### On-premises i chiamanti ricevono AccessDenied ma i chiamanti in-VPC hanno successo
Ciò significa in genere che il traffico locale non viene instradato attraverso un endpoint VPC:
+ **Gli endpoint del gateway non instradano il traffico locale.** Il traffico che entra nel VPC dalle connessioni VPN, Direct Connect o Transit Gateway non è influenzato dai percorsi degli endpoint del gateway. Crea un endpoint dell'interfaccia Amazon S3 per i chiamanti locali.
+ Verifica che il gruppo di sicurezza dell'endpoint Interface consenta l'accesso a HTTPS (porta 443) in entrata dal CIDR locale.
+ Il DNS locale di Verify risolve gli endpoint Amazon S3 sull'IP privato dell'endpoint di interfaccia o utilizzato dai chiamanti. `--endpoint-url`
### Le condizioni relative alle policy relative ai punti di accesso sembrano non avere alcun effetto
+ **Allow-only le politiche non limitano l'accesso.** Se si utilizzano condizioni (ad esempio`aws:SourceVpc`) solo in un'istruzione Allow senza un corrispondente valore Deny, la policy di identità IAM del chiamante può concedere l'accesso in modo indipendente. Aggiungi un'istruzione Deny esplicita con la condizione inversa.
+ **Sensibilità alle maiuscole.** Il tasto di condizione `aws:VpcSourceIp` fa distinzione tra maiuscole e minuscole.
+ **Chiavi di condizione che si escludono a vicenda.** `aws:SourceIp`e si `aws:VpcSourceIp` escludono a vicenda. `aws:SourceIp`non è disponibile quando la richiesta attraversa un endpoint VPC: usala invece. `aws:VpcSourceIp` Al contrario, non `aws:VpcSourceIp` è disponibile per le richieste Internet: utilizzo. `aws:SourceIp` Questo vale per tutte le policy che utilizzano queste chiavi di condizione, incluse le policy dei punti di accesso, le policy degli endpoint VPC e le policy di identità IAM.