Virtual Private Cloud に制限されたアクセスポイントの作成 - FSx for ONTAP

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Virtual Private Cloud に制限されたアクセスポイントの作成

アクセスポイントを作成するときは、インターネットからアクセスポイントにアクセスできるようにするか、そのアクセスポイントを介して行われるすべてのリクエストが特定の Amazon Virtual Private Cloud から発信されるように指定できます。インターネットからアクセス可能なアクセスポイントは、Internet をネットワークオリジンとすると言います。インターネット上のどこからでも使用できます。ただし、アクセスポイント、基盤となるバケットまたは Amazon FSx ボリューム、およびリクエストされたオブジェクトなどの関連リソースに対するその他のアクセス制限が適用されます。指定された Amazon VPC からのみアクセス可能なアクセスポイントのネットワークオリジンは でありVPC、Amazon S3 はその Amazon VPC から発信されていないアクセスポイントに対して行われたリクエストを拒否します。

重要

アクセスポイントのネットワークオリジンは、アクセスポイントの作成時にのみ指定できます。アクセスポイントの作成後は、そのネットワークオリジンを変更できません。

アクセスポイントを Amazon VPC のみのアクセスに制限するには、アクセスポイントを作成するリクエストに VpcConfigurationパラメータを含めます。VpcConfiguration パラメータで、アクセスポイントを使用できるようにする Amazon VPC ID を指定します。アクセスポイントを介してリクエストが行われた場合、リクエストは Amazon VPC から発信する必要があります。そうしないとAmazon S3はリクエストを拒否します。

アクセスポイントのネットワークオリジンは AWS CLI、、 AWS SDKs、または REST APIs を使用して取得できます。アクセスポイントに Amazon VPC 設定が指定されている場合、そのネットワークオリジンは ですVPC。それ以外の場合、アクセスポイントのネットワークオリジンは Internet です。

例: Amazon VPC アクセスに制限されたアクセスポイントを作成する

次の例では、vpc-1a2b3cAmazon VPC からのアクセスのみ123456789012を許可する amzn-s3-demo-bucket アカウントの バケットexample-vpc-apに という名前のアクセスポイントを作成します。次に、新しいアクセスポイントのネットワークオリジンが VPC であることを確認します。

AWS CLI
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
   VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
   --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
$ {
  {
     "S3AccessPointAttachment": {
        "Lifecycle": "CREATING",
        "CreationTime": 1728935791.8,
        "Name": "example-vpc-ap",
        "OntapConfiguration": {
            "VolumeId": "fsvol-0123456789abcdef9",
            "FileSystemIdentity": {
                "Type": "UNIX",
                "UnixUser": {
                    "Name": "my-unix-user"
                }
            }
        },
        "S3AccessPoint": {
            "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
            "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
            "VpcConfiguration": { 
                "VpcId": "vpc-1a2b3c"
            }
        }
     }
  }

Amazon VPC でアクセスポイントを使用するには、Amazon VPC エンドポイントのアクセスポリシーを変更する必要があります。Amazon VPC エンドポイントを使用すると、トラフィックは Amazon VPC から Amazon S3 に流れることができます。Amazon VPC 内のリソースが Amazon S3 とやり取りする方法を制御するアクセスコントロールポリシーがあります。Amazon VPC から Amazon S3 へのリクエストは、Amazon VPC エンドポイントポリシーがアクセスポイントと基盤となるバケットの両方へのアクセスを許可する場合にのみ、アクセスポイントを介して成功します。

注記

Amazon VPC 内でのみリソースにアクセスできるようにするには、Amazon VPC エンドポイントのプライベートホストゾーンを必ず作成してください。プライベートホストゾーンを使用するには、Amazon VPC ネットワーク属性 と が に設定されるように Amazon VPC 設定を変更しますtruehttps://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support enableDnsHostnames enableDnsSupport

次のポリシーステートメントの例では、 GetObjectおよび という名前のアクセスポイントへの呼び出しを許可するように Amazon VPC エンドポイントを設定しますexample-vpc-ap

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
注記

この例の Resource 宣言では、Amazon リソースネーム (ARN) を使用してアクセスポイントを指定します。

Amazon VPC エンドポイントポリシーの詳細については、Amazon S3のゲートウェイエンドポイント」を参照してください。