翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# アクセスポイントの作成
Amazon FSx コンソール、CLI、API、およびサポートされている SDKs を使用して、Amazon FSx ボリュームにアタッチする S3 アクセスポイントを作成および管理できます。
**注記**
他のユーザーがアクセスポイントを使用できるように S3 アクセスポイント名を公開する場合があるため、S3 アクセスポイント名に機密情報を含めないでください。アクセスポイント名は、ドメインネームシステム (DNS) と呼ばれるパブリックアクセス可能なデータベースに公開されます。アクセスポイント名の詳細については、「」を参照してください[アクセスポイントの命名規則](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。
## 必要なアクセス許可
Amazon FSx ボリュームにアタッチされた S3 アクセスポイントを作成するには、次のアクセス許可が必要です。
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
Amazon FSx または S3 コンソールを使用してオプションのアクセスポイントポリシーを作成するには、 アクセス`s3:PutAccessPointPolicy`許可が必要です。詳細については、「[IAM アクセスポイントポリシー](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies)」を参照してください。
アクセスポイントを作成するには、以下のトピックを参照してください。
**Topics**
+ [
## 必要なアクセス許可
](#create-ap-permissions)
+ [
# アクセスポイントの作成
](create-access-points.md)
+ [
# Virtual Private Cloud に制限されたアクセスポイントの作成
](access-points-for-fsxn-vpc.md)
# アクセスポイントの作成
**重要**
S3 アクセスポイントを FSx for ONTAP ボリュームにアタッチするには、ボリュームをマウントする必要があります (ジャンクションパスがある)。詳細については、[「ONTAP ドキュメント](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html)」を参照してください。
ボリュームの S3 アクセスポイントを作成するときは、FSx for ONTAP ボリュームがアカウントに既に存在している必要があります。
FSx for ONTAP ボリュームにアタッチされた S3 アクセスポイントを作成するには、次のプロパティを指定します。
+ アクセスポイント名。アクセスポイントの命名規則の詳細については、「」を参照してください[アクセスポイントの命名規則](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。
+ アクセスポイントを使用して行われたファイルアクセスリクエストを承認するために使用するファイルシステムのユーザー ID。含める POSIX ユーザー名を UNIX または Windows のいずれかに指定します。詳細については、「[ファイルシステムのユーザー ID と認可](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity)」を参照してください。
+ アクセスポイントのネットワーク設定は、アクセスポイントがインターネットからアクセス可能かどうか、またはアクセスが特定の Virtual Private Cloud (VPC) に制限されているかどうかを決定します。詳細については、「[Virtual Private Cloud に制限されたアクセスポイントの作成](access-points-for-fsxn-vpc.md)」を参照してください。
## FSx ボリュームにアタッチされた S3 アクセスポイントを作成するには (FSx コンソール)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) で Amazon FSx コンソールを開きます。
1. ページ上部のナビゲーションバー AWS リージョン で、アクセスポイントを作成する を選択します。アクセスポイントは、関連付けられたボリュームと同じリージョンに作成する必要があります。
1. ナビゲーションペインで **[ボリューム]** を選択します。
1. **ボリューム**ページで、アクセスポイントをアタッチする FSx for ONTAP ボリュームを選択します。
1. **アクション**メニューから **S3 アクセスポイント**の作成 を選択して、**S3 アクセスポイントの作成**ページを表示します。
1. **アクセスポイント名**に、アクセスポイントの名前を入力します。アクセスポイント名のガイドラインと制限の詳細については、「」を参照してください[アクセスポイントの命名規則](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。
**データソースの詳細**には、ステップ 3 で選択したボリュームの情報が入力されます。
1. ファイルシステムのユーザー ID は、このアクセスポイントを使用して行われたファイルアクセスリクエストを認証するために Amazon FSx によって使用されます。指定するファイルシステムユーザーに、FSx for ONTAP ボリュームに対する正しいアクセス許可があることを確認してください。
**ファイルシステムのユーザー ID タイプ**で、UNIX または Windows を選択します。
1. **Username** には、ユーザーのユーザー名を入力します。
1. **ネットワーク設定**パネルで、アクセスポイントがインターネットからアクセス可能か、アクセスが特定の仮想プライベートクラウドに制限されるかを選択します。
**ネットワークオリジン**で、**インターネット**を選択してインターネットからアクセスポイントにアクセスできるようにするか、**仮想プライベートクラウド (VPC)** を選択して、アクセスポイントへのアクセスを制限する **VPC ID** を入力します。
アクセスポイントのネットワークオリジンの詳細については、「[Virtual Private Cloud に制限されたアクセスポイントの作成](access-points-for-fsxn-vpc.md)」を参照してください。
1. (オプション) **アクセスポイントポリシー - *オプション***で、オプションのアクセスポイントポリシーを指定します。ポリシーの警告、エラー、提案は必ず解決してください。アクセスポイントポリシーの指定の詳細については、*Amazon Simple Storage Service ユーザーガイド*の[「アクセスポイントを使用するための IAM ポリシーの設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html)」を参照してください。
1. **アクセスポイントの作成**を選択して、アクセスポイントのアタッチメント設定を確認します。
## FSx ボリュームにアタッチされた S3 アクセスポイントを作成するには (CLI)
次のコマンド例では、アカウント の FSx for ONTAP ボリュームにアタッチ*`my-ontap-ap`*された という名前*`fsvol-0123456789abcdef9`*のアクセスポイントを作成します*`111122223333`*。
```
$ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json
```
リクエストが成功すると、システムは新しい S3 アクセスポイントアタッチメントを返すことで応答します。
```
$ {
{
"S3AccessPointAttachment": {
"CreationTime": 1728935791.8,
"Lifecycle": "CREATING",
"LifecycleTransitionReason": {
"Message": "string"
},
"Name": "my-ontap-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "ec2-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-0123467"
}
}
}
}
```
# Virtual Private Cloud に制限されたアクセスポイントの作成
アクセスポイントを作成するときは、インターネットからアクセスポイントにアクセスできるようにするか、そのアクセスポイントを介して行われるすべてのリクエストが特定の Amazon Virtual Private Cloud から発信されるように指定できます。インターネットからアクセス可能なアクセスポイントは、`Internet` をネットワークオリジンとすると言います。インターネット上のどこからでも使用できます。ただし、アクセスポイント、基盤となるバケットまたは Amazon FSx ボリューム、およびリクエストされたオブジェクトなどの関連リソースに対するその他のアクセス制限が適用されます。指定された Amazon VPC からのみアクセス可能なアクセスポイントのネットワークオリジンは であり`VPC`、Amazon S3 はその Amazon VPC から発信されていないアクセスポイントに対して行われたリクエストを拒否します。
**重要**
アクセスポイントのネットワークオリジンは、アクセスポイントの作成時にのみ指定できます。アクセスポイントの作成後は、そのネットワークオリジンを変更できません。
アクセスポイントを Amazon VPC のみのアクセスに制限するには、アクセスポイントを作成するリクエストに `VpcConfiguration`パラメータを含めます。`VpcConfiguration` パラメータで、アクセスポイントを使用できるようにする Amazon VPC ID を指定します。アクセスポイントを介してリクエストが行われた場合、リクエストは Amazon VPC から発信される必要があります。そうしないとAmazon S3はリクエストを拒否します。
アクセスポイントのネットワークオリジンは AWS CLI、、 AWS SDKs、または REST APIs を使用して取得できます。アクセスポイントに Amazon VPC 設定が指定されている場合、そのネットワークオリジンは です`VPC`。それ以外の場合、アクセスポイントのネットワークオリジンは `Internet` です。
**Example**
***例: Amazon VPC アクセスに制限されたアクセスポイントを作成する***
次の例では、`vpc-1a2b3c`Amazon VPC からのアクセスのみ`123456789012`を許可する `amzn-s3-demo-bucket` アカウントのバケット`example-vpc-ap`に という名前のアクセスポイントを作成します。次に、新しいアクセスポイントのネットワークオリジンが `VPC` であることを確認します。
```
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
```
```
$ {
{
"S3AccessPointAttachment": {
"Lifecycle": "CREATING",
"CreationTime": 1728935791.8,
"Name": "example-vpc-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "my-unix-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
"Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
}
}
}
}
```
Amazon VPC でアクセスポイントを使用するには、Amazon VPC エンドポイントのアクセスポリシーを変更する必要があります。Amazon VPC エンドポイントを使用すると、トラフィックを Amazon VPC から Amazon S3 にフローできます。Amazon VPC 内のリソースが Amazon S3 とやり取りする方法を制御するアクセスコントロールポリシーがあります。Amazon VPC から Amazon S3 へのリクエストは、Amazon VPC エンドポイントポリシーがアクセスポイントと基盤となるバケットの両方へのアクセスを許可する場合にのみ、アクセスポイントを介して成功します。
**注記**
Amazon VPC 内でのみリソースにアクセスできるようにするには、Amazon VPC エンドポイントの[プライベートホストゾーン](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)を必ず作成してください。プライベートホストゾーンを使用するには、[Amazon VPC ネットワーク属性 と が に設定されるように Amazon VPC 設定を変更します](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)`true`。 [https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` `enableDnsSupport`
次のポリシーステートメントの例では、 `GetObject`および という名前のアクセスポイントへの呼び出しを許可するように Amazon VPC エンドポイントを設定します`example-vpc-ap`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**注記**
この例の `Resource` 宣言では、Amazon リソースネーム (ARN) を使用してアクセスポイントを指定します。
Amazon VPC エンドポイントポリシーの詳細については、[Amazon S3のゲートウェイエンドポイント](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)」を参照してください。 **