가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성 - FSx for ONTAP

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성

액세스 포인트를 생성할 때 인터넷에서 액세스 포인트에 액세스하도록 선택하거나 해당 액세스 포인트를 통해 이루어진 모든 요청이 특정 Amazon Virtual Private Cloud에서 시작되도록 지정할 수 있습니다. 인터넷에서 액세스할 수 있는 액세스 포인트의 네트워크 오리진은 Internet입니다. 액세스 포인트, 기본 버킷 또는 Amazon FSx 볼륨 및 요청된 객체와 같은 관련 리소스에 적용되는 기타 액세스 제한에 따라 인터넷상의 어디에서나 사용할 수 있습니다. 지정된 Amazon VPC에서만 액세스할 수 있는 액세스 포인트의 네트워크 오리진은 이며VPC, Amazon S3는 해당 Amazon VPC에서 시작되지 않은 액세스 포인트에 대한 모든 요청을 거부합니다.

중요

액세스 포인트를 생성할 때만 액세스 포인트의 네트워크 오리진을 지정할 수 있습니다. 액세스 포인트를 생성한 후에는 네트워크 오리진을 변경할 수 없습니다.

액세스 포인트를 Amazon VPC 전용 액세스로 제한하려면 액세스 포인트 생성 요청과 함께 VpcConfiguration 파라미터를 포함합니다. VpcConfiguration 파라미터에서 액세스 포인트를 사용할 Amazon VPC ID를 지정합니다. 액세스 포인트를 통해 요청이 이루어진 경우 Amazon VPC에서 요청이 시작되어야 합니다. 그렇지 않으면 Amazon S3가 요청을 거부합니다.

, AWS CLI AWS SDKs APIs. 액세스 포인트에 Amazon VPC 구성이 지정된 경우 해당 네트워크 오리진은 입니다VPC. 그렇지 않으면 액세스 포인트의 네트워크 오리진은 Internet입니다.

예: Amazon VPC 액세스로 제한된 액세스 포인트 생성

다음 예제에서는 vpc-1a2b3c Amazon VPC에서만 액세스를 123456789012 허용하는 계정의 버킷amzn-s3-demo-bucketexample-vpc-ap 대해 라는 액세스 포인트를 생성합니다. 그런 다음 새 액세스 포인트의 네트워크 오리진이 VPC인지 확인합니다.

AWS CLI
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
   VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
   --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
$ {
  {
     "S3AccessPointAttachment": {
        "Lifecycle": "CREATING",
        "CreationTime": 1728935791.8,
        "Name": "example-vpc-ap",
        "OntapConfiguration": {
            "VolumeId": "fsvol-0123456789abcdef9",
            "FileSystemIdentity": {
                "Type": "UNIX",
                "UnixUser": {
                    "Name": "my-unix-user"
                }
            }
        },
        "S3AccessPoint": {
            "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
            "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
            "VpcConfiguration": { 
                "VpcId": "vpc-1a2b3c"
            }
        }
     }
  }

Amazon VPC에서 액세스 포인트를 사용하려면 Amazon VPC 엔드포인트에 대한 액세스 정책을 수정해야 합니다. Amazon VPC 엔드포인트를 사용하면 트래픽이 Amazon VPC에서 Amazon S3로 흐를 수 있습니다. Amazon VPC 내의 리소스가 Amazon S3와 상호 작용할 수 있는 방식을 제어하는 액세스 제어 정책이 있습니다. Amazon VPC 엔드포인트 정책이 액세스 포인트와 기본 버킷 모두에 대한 액세스 권한을 부여하는 경우에만 Amazon VPC에서 Amazon S3로의 요청은 액세스 포인트를 통해 성공합니다.

참고

Amazon VPC 내에서만 리소스에 액세스할 수 있도록 하려면 Amazon VPC 엔드포인트에 대한 프라이빗 호스팅 영역을 생성해야 합니다. 프라이빗 호스팅 영역을 사용하려면 Amazon VPC 네트워크 속성 및가 로 설정되도록 Amazon VPC 설정을 수정합니다true. https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support enableDnsHostnames enableDnsSupport

다음 예제 정책 문은 GetObject 및 라는 액세스 포인트에 대한 호출을 허용하도록 Amazon VPC 엔드포인트를 구성합니다example-vpc-ap.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
참고

이 예제의 Resource 선언은 Amazon 리소스 이름(ARN)을 사용하여 액세스 포인트를 지정합니다.

Amazon VPC 엔드포인트 정책에 대한 자세한 내용은 Amazon VPC 사용 설명서 Amazon S3용 게이트웨이 엔드포인트를 참조하세요.