# Criar pontos de acesso restritos a uma nuvem privada virtual
<a name="access-points-vpc"></a>

Ao criar um ponto de acesso, você pode optar por tornar o ponto de acesso acessível pela internet ou pode especificar que todas as solicitações feitas por meio desse ponto de acesso devem ser originadas de uma nuvem privada virtual (VPC) específica. Considera-se que um ponto de acesso acessível da Internet tem uma origem de rede da `Internet`. Ele pode ser usado de qualquer lugar na internet e está sujeito a quaisquer outras restrições de acesso em vigor para o ponto de acesso, a fonte de dados subjacente e os recursos relacionados, como os objetos solicitados. Um ponto de acesso acessível apenas de uma VPC especificada tem uma origem de rede de `VPC`, e o Amazon S3 rejeita qualquer solicitação feita ao ponto de acesso que não tenha origem nessa VPC.

**Importante**  
Você só pode especificar a origem da rede de um ponto de acesso ao criá-lo. Depois de criar o ponto de acesso, não é possível alterar a origem da rede.

Para restringir um ponto de acesso ao acesso somente VPC, inclua o parâmetro `VpcConfiguration` com a solicitação para criar o ponto de acesso. No parâmetro `VpcConfiguration`, você especifica o ID da VPC que deseja usar o ponto de acesso. Se uma solicitação for feita por meio do ponto de acesso, ela deverá ser originada da VPC. Do contrário, o Amazon S3 a rejeitará. 

Você pode recuperar a origem da rede de um ponto de acesso usando a AWS CLI, os AWS SDKs ou as APIs REST. Se um ponto de acesso tiver uma configuração de VPC especificada, sua origem de rede será `VPC`. Caso contrário, a origem da rede do ponto de acesso será `Internet`.

## Exemplo: criar e restringir um ponto de acesso a um ID de VPC
<a name="access-points-vpc-example1"></a>

O exemplo a seguir cria um ponto de acesso chamado `example-vpc-ap` para o bucket `amzn-s3-demo-bucket` na conta `123456789012` que permite acesso somente da VPC `vpc-1a2b3c`. O exemplo verifica se o novo ponto de acesso tem uma origem de rede da `VPC`.

------
#### [ AWS CLI ]

```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
```

```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012

{
    "Name": "example-vpc-ap",
    "Bucket": "amzn-s3-demo-bucket",
    "NetworkOrigin": "VPC",
    "VpcConfiguration": {
        "VpcId": "vpc-1a2b3c"
    },
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}
```

------

Para usar um ponto de acesso com uma VPC, é necessário modificar a política de acesso do endpoint da VPC especificado. Os VPC endpoints permitem que o tráfego flua da VPC para o Amazon S3. Os pontos de acesso têm políticas de controle de acesso que regulam como os recursos na VPC podem interagir com o Amazon S3. As solicitações da VPC ao Amazon S3 serão bem-sucedidas por meio de um ponto de acesso somente se a política do endpoint da VPC conceder acesso ao ponto de acesso e ao bucket subjacente.

**nota**  
Para tornar os recursos acessíveis apenas em uma VPC, crie uma [zona hospedada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) para o endpoint da VPC. Para usar uma zona hospedada privada, [modifique suas configurações da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) para que os [atributos da rede de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` e `enableDnsSupport` sejam definidos como `true`.

O exemplo de instrução de política a seguir configura um VPC endpoint para permitir chamadas ao `GetObject` de um bucket denominado `awsexamplebucket1` e um ponto de acesso chamado `example-vpc-ap`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*",
            "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
```

------

**nota**  
A declaração `"Resource"` neste exemplo usa um nome de recurso da Amazon (ARN) para especificar o ponto de acesso. Para obter mais informações sobre ARNs de ponto de acesso, consulte [Fazer referência a pontos de acesso com ARNs, aliases de ponto de acesso ou URIs de estilo de hospedagem virtual](access-points-naming.md). 

Para obter mais informações sobre políticas do endpoint da VPC, consulte [Políticas de endpoint para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) no *Guia do usuário da VPC*.

Para ver um tutorial sobre como criar pontos de acesso com endpoints da VPC, consulte [Managing Amazon S3 access with VPC endpoints and access points](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/).

## Exemplo: criar e restringir um ponto de acesso anexado a um volume do FSx para OpenZFS a um ID de VPC
<a name="access-points-vpc-example2"></a>

É possível criar um ponto de acesso que é anexado a um volume do FSx para OpenZFS usando o console do Amazon FSx, a AWS CLI ou a API. Depois de anexado, você pode usar as APIs de objeto do S3 para acessar seus dados de arquivo de uma VPC especificada.

Para ter instruções sobre como criar e restringir um ponto de acesso anexado a um volume do FSx para OpenZFS, consulte [Criar pontos de acesso restritos a uma nuvem privada virtual](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) no *Guia do usuário do Amazon Simple Storage Service*.

## Exemplo: criar e restringir um ponto de acesso anexado a um volume do FSx para ONTAP a um ID de VPC
<a name="access-points-vpc-example3"></a>

É possível criar um ponto de acesso anexado a um volume do FSx para ONTAP usando o console do Amazon FSx, a AWS CLI ou a API. Depois de anexado, você pode usar as APIs de objeto do S3 para acessar seus dados de arquivo de uma VPC especificada.

Para ver instruções sobre como criar e restringir um ponto de acesso conectado a um volume do FSx para ONTAP, consulte o [https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html).