# Gerenciar o acesso a conjuntos de dados compartilhados com pontos de acesso
Os pontos de acesso do Amazon S3 simplificam o acesso a dados para qualquer produto da AWS ou aplicação de clientes que armazene dados no S3. Pontos de acesso são endpoints de rede nomeados que são anexados a uma fonte de dados, como um bucket, um volume do Amazon FSx para NetApp ONTAP ou um volume do Amazon FSx para OpenZFS. Para obter informações sobre como trabalhar com buckets, consulte [Visão geral dos buckets de uso geral](UsingBucket.md). Para ter informações sobre como trabalhar o FSx para NetApp ONTAP, consulte [O que é o Amazon FSx para NetApp ONTAP](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/what-is-fsx-ontap.html) no *Guia do usuário do FSx para ONTAP*. Para ter informações sobre como trabalhar com o FSx para OpenZFS, consulte [O que é o Amazon FSx para OpenZFS?](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/what-is-fsx.html) no *Guia do usuário do FSx para OpenZFS*.
É possível usar pontos de acesso para executar operações de objeto do S3, como `GetObject` e `PutObject`. Cada ponto de acesso tem permissões distintas e controles de rede que o S3 aplica para qualquer solicitação feita por meio desse ponto de acesso. Cada endpoint impõe uma política de ponto de acesso personalizada que permite controlar o uso por recurso, usuário ou outras condições. Se o seu ponto de acesso estiver anexado a um bucket, a política de ponto de acesso funcionará em conjunto com a política de bucket subjacente. Você pode configurar qualquer ponto de acesso para aceitar solicitações somente de uma Virtual Private Cloud (VPC) para restringir o acesso a dados do Amazon S3 a uma rede privada. Você também pode configurar definições personalizadas do Bloqueio de acesso público para cada ponto de acesso.
**nota**
Você só pode usar pontos de acesso para executar operações em objetos. Não é possível usar pontos de acesso para executar outras operações do Amazon S3, como excluir buckets ou criar configurações do recurso Replicação do S3. Para obter uma lista completa das operações do S3 que oferecem suporte a pontos de acesso, consulte [Compatibilidade dos pontos de acesso](access-points-service-api-support.md).
Os tópicos desta seção explicam como trabalhar com os Pontos de Acesso Amazon S3. Com relação a tópicos sobre como usar pontos de acesso com buckets de diretório, consulte [Gerenciar o acesso a conjuntos de dados compartilhados em buckets de diretório por meio de pontos de acesso](access-points-directory-buckets.md).
**Topics**
+ [Regras de nomenclatura, restrições e limitações dos pontos de acesso](access-points-restrictions-limitations-naming-rules.md)
+ [Fazer referência a pontos de acesso com ARNs, aliases de ponto de acesso ou URIs de estilo de hospedagem virtual](access-points-naming.md)
+ [Compatibilidade dos pontos de acesso](access-points-service-api-support.md)
+ [Configurar políticas do IAM para uso de pontos de acesso](access-points-policies.md)
+ [Monitorar e registrar de pontos de acesso](access-points-monitoring-logging.md)
+ [Criar um ponto de acesso](creating-access-points.md)
+ [Gerenciar o recurso Pontos de Acesso Amazon S3 para buckets de uso geral](access-points-manage.md)
+ [Usar o recurso Pontos de Acesso Amazon S3 para buckets de uso geral](using-access-points.md)
+ [Usar tags com pontos de acesso para buckets de uso geral do S3](access-points-tagging.md)
# Regras de nomenclatura, restrições e limitações dos pontos de acesso
Pontos de acesso são endpoints de rede nomeados anexados a um bucket ou a um volume em um sistema de arquivos do Amazon FSx que simplificam o gerenciamento de dados. Ao criar um ponto de acesso, escolha um nome e a Região da AWS onde deseja criá-lo. Os tópicos a seguir fornecem informações sobre regras de nomenclatura, restrições e limitações dos pontos de acesso.
**Topics**
+ [Regras de nomenclatura para pontos de acesso](#access-points-names)
+ [Restrições e limitações para os pontos de acesso](#access-points-restrictions-limitations)
+ [Restrições e limitações para pontos de acesso anexados a um volume em um sistema de arquivos do Amazon FSx](#access-points-restrictions-limitations-fsx)
## Regras de nomenclatura para pontos de acesso
Ao criar um ponto de acesso, escolha um nome e a Região da AWS onde deseja criá-lo. Ao contrário dos buckets de uso geral, os nomes de pontos de acesso não precisam ser exclusivos entre Contas da AWS ou Regiões da AWS. A mesma Conta da AWS pode criar pontos de acesso com o mesmo nome em diferentes Regiões da AWS ou duas Contas da AWS diferentes podem usar o mesmo nome de ponto de acesso. No entanto, dentro de uma Região da AWS, a mesma Conta da AWS não pode ter dois pontos de acesso com nomes idênticos.
**nota**
Se você optar por divulgar o nome do ponto de acesso, evite incluir informações confidenciais no nome. Os nomes de ponto de acesso são publicados em um banco de dados acessível ao público conhecido como Sistema de Nome de Domínio (DNS).
Os nomes de pontos de acesso devem ser compatíveis com DNS e atender às seguintes condições:
+ Devem ser exclusivos em cada Conta da AWS e Região da AWS.
+ Devem começar com um número ou uma letra minúscula
+ Devem conter entre 3 e 50 caracteres
+ Não pode começar nem terminar com hífen (`-`)
+ Não podem conter sublinhados (`_`), letras maiúsculas, espaços ou pontos (`.`).
+ Não é possível terminar o nome com o sufixo `-s3alias` ou `-ext-s3alias`. Esses sufixos são reservados para nomes de alias de ponto de acesso. Para obter mais informações, consulte [Alias de ponto de acesso](access-points-naming.md#access-points-alias).
## Restrições e limitações para os pontos de acesso
Os pontos de acesso do Amazon S3 têm as seguintes restrições e limitações:
+ Cada ponto de acesso está associado a exatamente um bucket ou volume do FSx para OpenZFS. Você deve especificar isso ao criar o ponto de acesso. Depois de criar um ponto de acesso, não é possível associá-lo a um bucket diferente ou a um volume diferente do FSx para OpenZFS. No entanto, é possível excluir um ponto de acesso e criar outro com o mesmo nome associado.
+ Depois de criar um ponto de acesso, não é possível alterar sua configuração de nuvem privada virtual (VPC).
+ As políticas de ponto de acesso estão limitadas a 20 KB.
+ É possível criar até 10 mil pontos de acesso por Conta da AWS por Região da AWS. Se você precisar de mais de 10 mil pontos de acesso para uma única conta em uma única região, poderá solicitar um aumento de cota de serviço. Para obter mais informações sobre cotas de serviço e como solicitar um aumento, consulte [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) na *Referência geral da AWS*.
+ Não é possível usar um ponto de acesso como destino para a replicação do S3. Para obter mais informações sobre a replicação, consulte [Replicar objetos dentro de uma região e entre regiões](replication.md).
+ No console do Amazon S3, não é possível usar aliases de ponto de acesso do S3 como origem ou destino para operações **Mover**.
+ Só é possível endereçar pontos de acesso usando URLs em estilo de host virtual. Para obter mais informações sobre o endereçamento no estilo de hospedagem virtual, consulte [Acessar um bucket de uso geral do Amazon S3](access-bucket-intro.md).
+ As operações de API que controlam a funcionalidade do ponto de acesso (por exemplo, `PutAccessPoint` e `GetAccessPointPolicy`) não oferecem suporte a chamadas entre contas.
+ É necessário usar o AWS Signature Version 4 ao fazer solicitações a um ponto de acesso usando as APIs REST. Para obter mais informações sobre como autenticar solicitações, consulte [Autenticação de solicitações (AWS Signature Version 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html) na *Referência de APIs do Amazon Simple Storage Service*.
+ Os pontos de acesso permitem solicitações apenas por HTTPS. O Amazon S3 responderá automaticamente com um redirecionamento HTTP em todas as solicitações feitas por HTTP, para atualizar a solicitação para HTTPS.
+ Os pontos de acesso não oferecem suporte ao acesso anônimo.
+ Depois de criar um ponto de acesso, não será possível alterar as configurações de bloqueio de acesso público.
+ Os pontos de acesso entre contas não concederão acesso aos dados no bucket até que você receba as permissões do proprietário do bucket. O proprietário do bucket sempre mantém o controle total sobre o acesso aos dados e deve atualizar a política do bucket para autorizar solicitações do ponto de acesso entre contas. Para ver um exemplo de política de bucket, consulte [Configurar políticas do IAM para uso de pontos de acesso](access-points-policies.md).
+ Nas Regiões da AWS onde você tem mais de mil pontos de acesso, não é possível pesquisar um ponto de acesso pelo nome no console do Amazon S3.
+ Quando você está visualizando um ponto de acesso entre contas no console Amazon S3, a coluna **Acesso** exibe **Desconhecido**. O console do Amazon S3 não pode determinar se o acesso público é concedido para o bucket e os objetos associados. A menos que você exija uma configuração pública para um caso de uso específico, recomendamos que você e o proprietário do bucket bloqueiem todo acesso público ao ponto de acesso e ao bucket. Para obter mais informações, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](access-control-block-public-access.md).
## Restrições e limitações para pontos de acesso anexados a um volume em um sistema de arquivos do Amazon FSx
Abaixo são apresentadas as limitações específicas ao usar pontos de acesso anexados a um volume em um sistema de arquivos do Amazon FSx:
+ Ao criar um ponto de acesso, você só pode anexá-lo a um volume em sistemas de arquivos do Amazon FSx que você possui. Não é possível anexá-lo a um volume de propriedade de outra Conta da AWS.
+ Também não é possível usar a API `CreateAccessPoint` ao criar e anexar um ponto de acesso a um volume em um sistema de arquivos do Amazon FSx. Você deve usar a API [https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateAndAttachS3AccessPoint.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_CreateAndAttachS3AccessPoint.html).
+ Não é possível desativar nenhuma configuração de bloqueio de acesso público ao criar ou usar um ponto de acesso anexado a um volume em um sistema de arquivos do Amazon FSx.
+ Também não é possível listar objetos nem usar operações de **cópia** ou **movimentação** no console do S3 com pontos de acesso conectados a um volume em um sistema de arquivos do Amazon FSx.
+ A operação `CopyObject` é permitida para pontos de acesso anexados a um volume do FSx para NetApp ONTAP ou do FSx para OpenZFS somente quando a origem e o destino são o mesmo ponto de acesso. Para ter mais informações sobre compatibilidade de ponto de acesso, consulte [Compatibilidade dos pontos de acesso](access-points-service-api-support.md).
+ Os uploads de várias partes estão limitados a 5 GB.
+ O tipo de implantação do FSx para OpenZFS e a compatibilidade com a classe de armazenamento variam de acordo com a Região da AWS. Para ter mais informações, consulte [Availability by Região da AWS](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/available-aws-regions.html) no *Guia do usuário do OpenZFS*.
# Fazer referência a pontos de acesso com ARNs, aliases de ponto de acesso ou URIs de estilo de hospedagem virtual
Depois de criar um ponto de acesso, você pode usar esses endpoints para realizar várias operações. Ao fazer referência a um ponto de acesso, você pode usar os nomes de recurso da Amazon (ARNs), o alias do ponto de acesso ou o URI de estilo de hospedagem virtual.
**Topics**
+ [ARNs de ponto de acesso](#access-points-arns)
+ [Alias de ponto de acesso](#access-points-alias)
+ [URI de estilo de hospedagem virtual](#accessing-a-bucket-through-s3-access-point)
## ARNs de ponto de acesso
Os pontos de acesso têm nomes de recurso da Amazon (ARNS). Os ARNs de ponto de acesso são semelhantes aos ARNs de bucket, mas são explicitamente digitados e codificam a Região da AWS do ponto de acesso e o ID da Conta da AWS do proprietário do ponto de acesso. Para ter mais informações sobre ARNs, consulte [Identifique recursos da AWS com nomes do recurso da Amazon (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) no *Guia do usuário do IAM*.
Os ARNs de ponto de acesso usam o seguinte formato:
```
arn:aws:s3:region:account-id:accesspoint/resource
```
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test` representa o ponto de acesso denominado `test`, pertencente à conta *`123456789012`* na região *`us-west-2`*.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/*` representa todos os pontos de acesso na conta *`123456789012`* na região *`us-west-2`*.
Os ARNs para objetos acessados por meio de um ponto de acesso usam o seguinte formato:
```
arn:aws:s3:region:account-id:accesspoint/access-point-name/object/resource
```
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/unit-01` representa o objeto *`unit-01`*, acessado por meio do ponto de acesso denominado *`test`*, pertencente à conta *`123456789012`* na região *`us-west-2`*.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/*` representa todos os objetos do ponto de acesso denominado *`test`*, na conta *`123456789012`* na região *`us-west-2`*.
+ `arn:aws:s3:us-west-2:123456789012:accesspoint/test/object/unit-01/finance/*` representa todos os objetos com o prefixo *`unit-01/finance/`* para o ponto de acesso denominado *`test`*, na conta *`123456789012`* na região *`us-west-2`*.
## Alias de ponto de acesso
Quando você cria um ponto de acesso, o Amazon S3 gera automaticamente um alias que poderá ser usado no lugar de um nome de bucket do Amazon S3 para acesso a dados. É possível usar esse alias de ponto de acesso em vez de um nome do recurso da Amazon (ARN) para operações de plano de dados do ponto de acesso. Para obter uma lista dessas operações, consulte [Compatibilidade dos pontos de acesso](access-points-service-api-support.md).
Cria-se um nome de alias de ponto de acesso dentro do mesmo namespace de um bucket do Amazon S3. Esse nome de alias é gerado automaticamente, e não é possível alterá-lo. O nome de alias de ponto de acesso atende a todos os requisitos de um nome de bucket válido do Amazon S3 e consiste nas seguintes partes:
`ACCESS POINT NAME-METADATA-s3alias` (para pontos de acesso anexados a um bucket do Amazon S3)
`ACCESS POINT NAME-METADATA-ext-s3alias` (para pontos de acesso anexados a uma fonte de dados de bucket que não seja do S3)
**nota**
Os sufixos `-s3alias` e `-ext-s3alias` são reservados para nomes de alias de ponto de acesso e não podem ser usados para nomes de bucket ou de ponto de acesso. Para obter mais informações sobre as regras para nomes de bucket do Amazon S3, consulte [Regras de nomenclatura de buckets de uso geral](bucketnamingrules.md).
### Casos de uso e limitações de alias de ponto de acesso
Ao adotar pontos de acesso, é possível usar nomes de alias de ponto de acesso sem exigir alterações extensas de código.
Quando você cria um ponto de acesso, o Amazon S3 gera automaticamente um nome de alias de ponto de acesso, conforme o exemplo a seguir. Para executar esse comando, substitua os `user input placeholders` por suas próprias informações.
```
aws s3control create-access-point --bucket amzn-s3-demo-bucket1 --name my-access-point --account-id 111122223333
{
"AccessPointArn": "arn:aws:s3:region:111122223333:accesspoint/my-access-point",
"Alias": "my-access-point-aqfqprnstn7aefdfbarligizwgyfouse1a-s3alias"
}
```
É possível usar esse alias de ponto de acesso em vez de um nome de bucket do Amazon S3 para qualquer operação de plano de dados. Para obter uma lista dessas operações, consulte [Compatibilidade dos pontos de acesso](access-points-service-api-support.md).
O exemplo a seguir da AWS CLI para o comando `get-object` usa o alias do ponto de acesso do bucket para retornar informações sobre o objeto especificado. Para executar esse comando, substitua os `user input placeholders` por suas próprias informações.
```
aws s3api get-object --bucket my-access-point-aqfqprnstn7aefdfbarligizwgyfouse1a-s3alias --key dir/my_data.rtf my_data.rtf
{
"AcceptRanges": "bytes",
"LastModified": "2020-01-08T22:16:28+00:00",
"ContentLength": 910,
"ETag": "\"00751974dc146b76404bb7290f8f51bb\"",
"VersionId": "null",
"ContentType": "text/rtf",
"Metadata": {}
}
```
#### Limitações dos alias de ponto de acesso
+ Os aliases não podem ser configurados por clientes.
+ Não é possível excluir, modificar ou desabilitar aliases de um ponto de acesso.
+ É possível usar esse alias de ponto de acesso em vez de um nome de bucket do Amazon S3 em algumas operações de plano de dados. Para obter uma lista dessas operações, consulte [Compatibilidade de pontos de acesso com operações do S3](access-points-service-api-support.md#access-points-operations-support).
+ Não é possível usar um nome de alias de ponto de acesso para operações do plano de controle do Amazon S3. Para obter uma lista de operações do plano de controle do Amazon S3, consulte [Controle do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/API/API_Operations_AWS_S3_Control.html) na *Referência de APIs do Amazon Simple Storage Service*.
+ No console do Amazon S3, não é possível usar aliases de ponto de acesso do S3 como origem ou destino para operações **Mover**.
+ Não é possível usar alias em políticas do AWS Identity and Access Management (IAM).
+ Não é possível usar aliases como destino de log para logs de acesso do servidor S3.
+ Não é possível usar aliases como destino de log para logs do AWS CloudTrail.
+ O Amazon SageMaker AI GroundTruth não permite alias de ponto de acesso.
## URI de estilo de hospedagem virtual
Os pontos de acesso são compatíveis apenas com o endereçamento em estilo de host virtual. Em um URI de estilo de hospedagem virtual, o nome do ponto de acesso, a Conta da AWS e a Região da AWS fazem parte do nome de domínio no URL. Para ter mais informações sobre a hospedagem virtual, consulte [Hospedagem virtual de buckets de uso geral](VirtualHosting.md).
O URI de estilo de hospedagem virtual para pontos de acesso usa o seguinte formato:
```
https://access-point-name-account-id.s3-accesspoint.region.amazonaws.com
```
**nota**
Se o nome do ponto de acesso incluir caracteres de traço (-), inclua os traços no URL e insira outro traço antes do ID da conta. Por exemplo, para usar um ponto de acesso chamado *`finance-docs`*, pertencente à conta *`123456789012`* na região *`us-west-2`*, o URL apropriado seria `https://finance-docs-123456789012.s3-accesspoint.us-west-2.amazonaws.com`.
Os Pontos de Acesso S3 não comportam acesso por HTTP. Eles comportam apenas o acesso seguro por HTTPS.
# Compatibilidade dos pontos de acesso
Você pode usar pontos de acesso para acessar objetos usando o subconjunto de APIs do Amazon S3 a seguir. Todas as operações listadas abaixo podem aceitar ARNs de ponto de acesso ou aliases de ponto de acesso.
Para conferir exemplos de uso de pontos de acesso para executar operações em objetos, consulte [Usar o recurso Pontos de Acesso Amazon S3 para buckets de uso geral](using-access-points.md).
## Compatibilidade de pontos de acesso com operações do S3
A tabela a seguir é uma lista parcial das operações do Amazon S3 e mostra se elas são compatíveis com pontos de acesso. Todas as operações abaixo podem ser usadas em pontos de acesso que usam um bucket do S3 como fonte de dados, enquanto apenas algumas operações podem ser usadas em pontos de acesso que usam um volume do FSx para ONTAP ou do FSx para OpenZFS como fonte de dados.
Para ter mais informações acesso compatibilidade com pontos de acesso no [Guia do usuário do *FSx para ONTAP*](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-object-api-support.html) ou o [Guia do usuário do *FSx para OpenZFS*](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-object-api-support.html).
| Operação do S3 | Ponto de acesso anexado a um bucket do S3 | Ponto de acesso anexado a um volume do FSx para OpenZFS |
| --- | --- | --- |
| `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | Compatível | Compatível |
| `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | Compatível | Compatível |
| `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)` (somente cópias da mesma região) | Compatível | Compatível, se a origem e o destino forem o mesmo ponto de acesso |
| `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | Compatível | Compatível |
| `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | Compatível | Compatível |
| `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | Compatível | Compatível |
| `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | Compatível | Compatível |
| `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | Compatível | Não compatível |
| `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | Compatível | Não compatível |
| `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | Compatível | Compatível |
| `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | Compatível | Não compatível |
| `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | Compatível | Não compatível |
| `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | Compatível | Compatível |
| `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | Compatível | Não compatível |
| `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | Compatível | Compatível |
| `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | Compatível | Não compatível |
| `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | Compatível | Não compatível |
| `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | Compatível | Compatível |
| `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | Compatível | Compatível |
| `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | Compatível | Compatível |
| `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | Compatível | Compatível |
| `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | Compatível | Compatível |
| `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | Compatível | Compatível |
| `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | Compatível | Não compatível |
| `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | Compatível | Compatível |
| `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | Compatível | Compatível |
| `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | Compatível | Compatível |
| `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | Compatível | Não compatível |
| `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | Compatível | Não compatível |
| `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | Compatível | Não compatível |
| `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | Compatível | Compatível |
| `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | Compatível | Não compatível |
| `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | Compatível | Compatível |
| `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)` (somente cópias da mesma região) | Compatível | Compatível, se a origem e o destino forem o mesmo ponto de acesso |
# Configurar políticas do IAM para uso de pontos de acesso
Os pontos de acesso do Amazon S3 são compatíveis com as políticas de recursos do AWS Identity and Access Management (IAM) que permitem controlar o uso do ponto de acesso por recurso, usuário ou por outras condições. Para que uma aplicação ou um usuário possa acessar objetos por meio de um ponto de acesso, tanto o ponto de acesso quanto o bucket subjacente ou o sistema de arquivos do Amazon FSx devem permitir a solicitação.
**Importante**
As restrições que você incluir em uma política de ponto de acesso se aplicam somente a solicitações feitas por meio desse ponto de acesso. Anexar um ponto de acesso a um bucket não altera o comportamento do recurso subjacente. Todas as operações existentes no bucket que não forem executadas por meio do seu ponto de acesso continuarão a funcionar como antes.
Ao usar políticas de recursos do IAM, solucione avisos de segurança, erros, avisos gerais e sugestões de AWS Identity and Access Management Access Analyzer antes de salvar a política. O IAM Access Analyzer executa verificações de política para validar sua política em relação à [gramática das políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_grammar.html) e às [práticas recomendadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) do IAM. Essas verificações geram descobertas e fornecem recomendações que ajudam a criar políticas que sejam funcionais e estejam em conformidade com as práticas recomendadas de segurança.
Para saber mais sobre a validação de políticas usando o IAM Access Analyzer, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do usuário do IAM*. Para visualizar uma lista de avisos, erros e sugestões retornados pelo IAM Access Analyzer, consulte [Referência de verificação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html).
## Exemplos de política para pontos de acesso
Os exemplos a seguir demonstram como criar políticas do IAM para controlar solicitações feitas por meio de um ponto de acesso.
**nota**
As permissões concedidas em uma política de ponto de acesso entram em vigor somente se o bucket subjacente também permitir o mesmo acesso. É possível fazer isso de duas maneiras:
**(Recomendado)** Delegue o controle de acesso do bucket para o ponto de acesso conforme descrito em [Delegar controle de acesso a pontos de acesso](#access-points-delegating-control).
Adicione as mesmas permissões contidas na política de ponto de acesso à política do bucket subjacente. O Exemplo 1 de política de ponto de acesso demonstra como modificar a política de bucket subjacente para permitir o acesso necessário.
**Example 1: Concessão da política de ponto de acesso**
A política de ponto de acesso a seguir concede ao usuário do IAM `Jane` na conta `123456789012` permissões para objetos `GET` e `PUT` com o prefixo `Jane/` por meio do ponto de acesso *`my-access-point`* na conta *`123456789012`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Jane"
},
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point/object/Jane/*"
}]
}
```
**nota**
Para que a política de ponto de acesso conceda efetivamente acesso ao usuário *`Jane`*, o bucket subjacente também deve permitir o mesmo acesso a *`Jane`*. É possível delegar o controle de acesso do bucket para o ponto de acesso conforme descrito em [Delegar controle de acesso a pontos de acesso](#access-points-delegating-control). Como alternativa, é possível adicionar a seguinte política ao bucket subjacente para conceder as permissões necessárias à Jane. Observe que a entrada `Resource` é diferente entre as políticas de ponto de acesso e bucket.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Jane"
},
"Action": ["s3:GetObject", "s3:PutObject"],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket1/Jane/*"
}]
}
```
**Example 2: Política de ponto de acesso com condição de etiqueta**
A política de ponto de acesso a seguir concede ao usuário do IAM *`Mateo`* na conta *`123456789012`* permissões para objetos `GET` por meio do ponto de acesso *`my-access-point`* na conta *`123456789012`* que possui a chave de etiqueta *`data`* definida com um valor *`finance`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Mateo"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point/object/*",
"Condition": {
"StringEquals": {
"s3:ExistingObjectTag/data": "finance"
}
}
}]
}
```
**Example 3: Política de ponto de acesso que permite a listagem de buckets**
A política de ponto de acesso a seguir permite que o usuário do IAM `Arnav` na conta *`123456789012`* visualize os objetos contidos no bucket subjacente ao ponto de acesso *`my-access-point`* na conta *`123456789012`*.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/Arnav"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-access-point"
}]
}
```
**Example 4: Política de controle de serviço**
A política de controle de serviço a seguir requer que todos os novos pontos de acesso sejam criados com uma origem de rede de nuvem privada virtual (VPC). Com essa política em vigor, os usuários da sua organização não podem criar novos pontos de acesso acessíveis da Internet.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "s3:CreateAccessPoint",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}]
}
```
**Example 5: Política de bucket para limitar operações do S3 às origens de rede de VPC**
A política de bucket a seguir limita o acesso a todas as operações de objeto do S3 para o bucket `amzn-s3-demo-bucket` para pontos de acesso com uma origem de rede de VPC.
Antes de usar uma instrução como essa do exemplo, certifique-se de que você não precisa usar recursos que não são compatíveis com pontos de acesso, como replicação entre regiões.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": [
"s3:AbortMultipartUpload",
"s3:BypassGovernanceRetention",
"s3:DeleteObject",
"s3:DeleteObjectTagging",
"s3:DeleteObjectVersion",
"s3:DeleteObjectVersionTagging",
"s3:GetObject",
"s3:GetObjectAcl",
"s3:GetObjectLegalHold",
"s3:GetObjectRetention",
"s3:GetObjectTagging",
"s3:GetObjectVersion",
"s3:GetObjectVersionAcl",
"s3:GetObjectVersionTagging",
"s3:ListMultipartUploadParts",
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectLegalHold",
"s3:PutObjectRetention",
"s3:PutObjectTagging",
"s3:PutObjectVersionAcl",
"s3:PutObjectVersionTagging",
"s3:RestoreObject"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringNotEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
}
]
}
```
## Chaves de condição
Os pontos de acesso do S3 têm chaves de condição que podem ser usadas em políticas do IAM para controlar o acesso aos recursos. As chaves de condição a seguir representam somente parte de uma política do IAM. Para obter exemplos de políticas completas, consulte [Exemplos de política para pontos de acesso](#access-points-policy-examples), [Delegar controle de acesso a pontos de acesso](#access-points-delegating-control) e [Conceder permissões para pontos de acesso entre contas](#access-points-cross-account).
**`s3:DataAccessPointArn`**
Este exemplo mostra uma string que você pode usar para estabelecer correspondência em um ARN de ponto de acesso. O exemplo a seguir estabelece a correspondência de todos os pontos de acesso da Conta da AWS *`123456789012`* na região *`us-west-2`*.
```
"Condition" : {
"StringLike": {
"s3:DataAccessPointArn": "arn:aws:s3:us-west-2:123456789012:accesspoint/*"
}
}
```
**`s3:DataAccessPointAccount`**
Este exemplo mostra um operador de string que você pode utilizar para estabelecer correspondência com o ID da conta do proprietário de um ponto de acesso. O exemplo a seguir estabelece correspondência com todos os pontos de acesso pertencentes à Conta da AWS *`123456789012`*.
```
"Condition" : {
"StringEquals": {
"s3:DataAccessPointAccount": "123456789012"
}
}
```
**`s3:AccessPointNetworkOrigin`**
Este exemplo mostra um operador de string que você pode utilizar para estabelecer correspondência com a origem da rede, `Internet` ou `VPC`. O exemplo a seguir corresponde apenas a pontos de acesso com uma origem de VPC.
```
"Condition" : {
"StringEquals": {
"s3:AccessPointNetworkOrigin": "VPC"
}
}
```
Consulte mais informações sobre como usar chaves de condição com o Amazon S3 em [Actions, resources, and condition keys for Amazon S3](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3.html) na *Referência de autorização do serviço*.
Para ter mais informações sobre as permissões referentes a operações de API do S3 de acordo com os tipos de recurso do S3, consulte [Permissões obrigatórias para operações de API do Amazon S3](using-with-s3-policy-actions.md).
## Delegar controle de acesso a pontos de acesso
Você pode delegar o controle de acesso de um bucket aos pontos de acesso do bucket. O exemplo de política de bucket a seguir permite acesso total a todos os pontos de acesso pertencentes à conta do proprietário do bucket. Assim, todo o acesso a esse bucket é controlado pelas políticas anexadas aos seus pontos de acesso. Recomendamos configurar seus buckets dessa maneira para todos os casos de uso que não exigem acesso direto ao bucket.
**Example 6: Política de bucket que delega controle de acesso a pontos de acesso**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : "*",
"Resource" : [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "111122223333" }
}
}]
}
```
## Conceder permissões para pontos de acesso entre contas
Para criar um ponto de acesso para um bucket pertencente a outra conta, primeiro você deve criar o ponto de acesso especificando o nome do bucket e o ID do proprietário da conta. Depois, o proprietário do bucket deve atualizar a política do bucket para autorizar solicitações do ponto de acesso. Criar um ponto de acesso é semelhante à criação de um DNS CNAME, pois o ponto de acesso não fornece acesso ao conteúdo do bucket. Todo acesso ao bucket é controlado pela política de bucket. O exemplo de política de bucket a seguir permite solicitações `GET` e `LIST` no bucket de um ponto de acesso pertencente a uma Conta da AWS confiável.
Substitua *Bucket ARN* pelo ARN do bucket.
**Example 7: Política de bucket que delega permissões a outra Conta da AWS**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Effect": "Allow",
"Principal" : { "AWS": "*" },
"Action" : ["s3:GetObject","s3:ListBucket"],
"Resource" : ["arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/*"],
"Condition": {
"StringEquals" : { "s3:DataAccessPointAccount" : "Access point owner's account ID" }
}
}]
}
```
Os pontos de acesso entre contas estão disponíveis somente para pontos de acesso anexados aos buckets do S3. Não é possível anexar um ponto de acesso a um volume em um sistema de arquivos do Amazon FSx de propriedade de outra Conta da AWS.
# Monitorar e registrar de pontos de acesso
O Amazon S3 registra em log as solicitações feitas por meio de pontos de acesso e as solicitações feitas às operações de API que gerenciam pontos de acesso, como `CreateAccessPoint` e `GetAccessPointPolicy`. Para monitorar e gerenciar padrões de uso, você também pode configurar métricas de solicitação do Amazon CloudWatch Logs para pontos de acesso.
**Topics**
+ [Métricas de solicitação do CloudWatch](#request-metrics-access-points)
+ [Logs do AWS CloudTrail para solicitações feitas por meio de pontos de acesso](#logging-access-points)
## Métricas de solicitação do CloudWatch
Para entender e melhorar o desempenho das aplicações que estão usando pontos de acesso, você pode usar as métricas de solicitação do CloudWatch para Amazon S3. Métricas de solicitação ajudam a monitorar as solicitações do Amazon S3 para identificar e atuar rapidamente em problemas operacionais.
Por padrão, as métricas de solicitação estão disponíveis em nível de bucket. Porém, também é possível definir um filtro para as métricas de solicitação usando um prefixo compartilhado, etiquetas de objeto ou um ponto de acesso. Quando você cria um filtro de ponto de acesso, a configuração de métricas de solicitação inclui solicitações para o ponto de acesso especificado. Você pode receber métricas, definir alarmes e acessar painéis para ver operações em tempo real executadas por meio desse ponto de acesso.
Você deve aceitar métricas de solicitação configurando-as no console ou usando a API do Amazon S3. As métricas de solicitação estão disponíveis em intervalos de um minuto após alguma latência para processamento. As métricas de solicitação são cobradas usando a mesma taxa das métricas personalizadas do CloudWatch. Para obter mais informações, consulte [Preço do Amazon CloudWatch](https://aws.amazon.com/cloudwatch/pricing/).
Para criar uma configuração de métricas de solicitação que filtre por ponto de acesso, consulte [Criação de uma configuração de métricas que filtre por prefixo, etiqueta de objeto ou ponto de acesso](metrics-configurations-filter.md).
## Logs do AWS CloudTrail para solicitações feitas por meio de pontos de acesso
Você pode registrar em log as solicitações feitas por meio de pontos de acesso e as solicitações feitas às APIs que gerenciam os pontos de acesso, como `CreateAccessPoint` e `GetAccessPointPolicy,` usando o registro de acesso ao servidor e o AWS CloudTrail.
As entradas de log do CloudTrail para solicitações feitas por meio de pontos de acesso incluirão o ARN do ponto de acesso na seção `resources` do log.
Por exemplo, suponha que você tenha a seguinte configuração:
+ Um bucket denominado *`amzn-s3-demo-bucket1`* na região *`us-west-2`* que contém o objeto denominado *`my-image.jpg`*.
+ Um ponto de acesso denominado *`my-bucket-ap`* que está associado a *`amzn-s3-demo-bucket1`*.
+ Uma ID da Conta da AWS do *`123456789012`*
O exemplo a seguir mostra a seção `resources` de uma entrada de log do CloudTrail da configuração anterior:
```
"resources": [
{"type": "AWS::S3::Object",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket1/my-image.jpg"
},
{"accountId": "123456789012",
"type": "AWS::S3::Bucket",
"ARN": "arn:aws:s3:::amzn-s3-demo-bucket1"
},
{"accountId": "123456789012",
"type": "AWS::S3::AccessPoint",
"ARN": "arn:aws:s3:us-west-2:123456789012:accesspoint/my-bucket-ap"
}
]
```
Se você estiver usando um ponto de acesso anexado a um volume em um sistema de arquivos do Amazon FSx, a seção `resources` de uma entrada de log do CloudTrail terá uma aparência diferente. Por exemplo:
```
"resources": [
{
"accountId": "123456789012",
"type": "AWS::FSx::Volume",
"ARN": "arn:aws:fsx:us-east-1:123456789012:volume/fs-0123456789abcdef9/fsvol-01234567891112223"
}
]
```
Para obter mais informações sobre logs de acesso do servidor do S3, consulte [Registrar em log as solicitações com registro em log de acesso ao servidor](ServerLogs.md). Para obter mais informações sobre o AWS CloudTrail, consulte [What is AWS CloudTrail? (O que é?) ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) no *AWS CloudTrail Guia do usuário*.
# Criar um ponto de acesso
Você pode criar pontos de acesso do S3 usando o Console de gerenciamento da AWS, a AWS Command Line Interface (AWS CLI), os AWS SDKs ou a API REST do Amazon S3. Pontos de acesso são endpoints de rede nomeados que são anexados a uma fonte de dados, como um bucket, um volume do Amazon FSx para ONTAP ou um volume do Amazon FSx para OpenZFS.
Por padrão, você pode criar até 10 mil pontos de acesso por região para cada uma das suas Contas da AWS. Se você precisar de mais de 10 mil pontos de acesso para uma única conta em uma única região, poderá solicitar um aumento de cota de serviço. Para obter mais informações sobre cotas de serviço e como solicitar um aumento, consulte [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) na *Referência geral da AWS*.
**Topics**
+ [Criar pontos de acesso com buckets do S3](#create-access-points)
+ [Criar pontos de acesso com o Amazon FSx](#create-access-points-with-fsx)
+ [Criar pontos de acesso restritos a uma nuvem privada virtual](access-points-vpc.md)
+ [Gerenciar o acesso público a pontos de acesso para buckets de uso geral](access-points-bpa-settings.md)
## Criar pontos de acesso com buckets do S3
Um ponto de acesso está associado a exatamente um bucket de uso geral do Amazon S3. Para usar um bucket em sua Conta da AWS, primeiro crie um bucket. Para obter mais informações sobre a criação de buckets, consulte [Criar, configurar e trabalhar com buckets de uso geral do Amazon S3](creating-buckets-s3.md).
Você também pode criar um ponto de acesso entre contas associado a um bucket em outra Conta da AWS, desde que você saiba o nome do bucket e o ID da conta do proprietário do bucket. No entanto, a criação de pontos de acesso entre contas não concederá acesso aos dados no bucket até que você receba as permissões do proprietário do bucket. O proprietário do bucket deve conceder à conta do proprietário do ponto de acesso (sua conta) acesso ao bucket por meio da política do bucket. Para obter mais informações, consulte [Conceder permissões para pontos de acesso entre contas](access-points-policies.md#access-points-cross-account).
### Usar o console do S3
**Como criar um ponto de acesso**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região na qual você deseja criar um ponto de acesso. O ponto de acesso deve ser criado na mesma região em que o bucket associado.
1. No painel de navegação, escolha **Access Points** (Pontos de acesso).
1. Na página **Access Points** (Pontos de acesso), escolha **Create access point** (Criar ponto de acesso).
1. No campo **Nome do ponto de acesso**, insira o nome do ponto de acesso. Para obter mais informações sobre nomenclatura de pontos de acesso, consulte [Regras de nomenclatura para pontos de acesso](access-points-restrictions-limitations-naming-rules.md#access-points-names).
1. Em **Fonte de dados**, especifique o bucket do S3 que você deseja usar com o ponto de acesso.
Para usar um bucket em sua conta, selecione **Escolha um bucket nesta conta** e insira ou pesquise o nome do bucket.
Para usar um bucket em outra Conta da AWS, escolha **Especificar um bucket em outra conta** e insira o ID da Conta da AWS e o nome do bucket. Se você estiver usando um bucket em outra Conta da AWS, o proprietário do bucket deverá atualizar a política do bucket para autorizar solicitações do ponto de acesso. Para ver um exemplo de política de bucket, consulte [Conceder permissões para pontos de acesso entre contas](access-points-policies.md#access-points-cross-account).
**nota**
Para ter informações sobre como usar um volume do FSx para OpenZFS como fonte de dados, consulte [Criar pontos de acesso com o Amazon FSx](#create-access-points-with-fsx).
1. Escolha uma **Origem da rede**, seja **Internet** ou **Nuvem privada virtual (VPC)**. Se você escolher **Nuvem privada virtual (VPC)**, insira o **ID da VPC** que deseja usar com o ponto de acesso.
Para obter mais informações sobre origens de rede para pontos de acesso, consulte [Criar pontos de acesso restritos a uma nuvem privada virtual](access-points-vpc.md).
1. Em **Access point settings for Block Public Access** (Configurações do ponto de acesso para o Bloqueio de acesso público), selecione as configurações de bloqueio de acesso público que você deseja aplicar ao ponto de acesso. Todas as configurações do bloqueio de acesso público são habilitadas por padrão para novos pontos de acesso. Recomendamos que você mantenha todas as configurações ativadas, a menos que saiba que tem uma necessidade específica de desativar qualquer uma delas.
**nota**
Depois de criar um ponto de acesso, não será possível alterar as configurações de bloqueio de acesso público.
Para obter mais informações sobre como usar o Bloqueio de acesso público do Amazon S3 com pontos de acesso, consulte [Gerenciar o acesso público a pontos de acesso para buckets de uso geral](access-points-bpa-settings.md).
1. (Opcional) Em **Access point policy - *optional* (Política de ponto de acesso - opcional)**, especifique a política de ponto de acesso. Antes de salvar a política, solucione todos os avisos de segurança, os erros, os avisos gerais e as sugestões. Para obter mais informações sobre como especificar uma política de ponto de acesso, consulte [Exemplos de política para pontos de acesso](access-points-policies.md#access-points-policy-examples).
1. Selecione **Criar ponto de acesso**.
### Como usar o AWS CLI
O exemplo de comando a seguir cria um ponto de acesso chamado *`example-ap`* para o bucket *`amzn-s3-demo-bucket`* na conta *`111122223333`*. Para criar o ponto de acesso, envie uma solicitação ao Amazon S3 que especifica o seguinte:
+ O nome do ponto de acesso. Para obter informações sobre regras de nomeação, consulte [Regras de nomenclatura para pontos de acesso](access-points-restrictions-limitations-naming-rules.md#access-points-names).
+ O nome do bucket ao qual você deseja associar o ponto de acesso.
+ O ID da Conta da AWS à qual o ponto de acesso pertence.
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
Ao criar um ponto de acesso usando um bucket em outra Conta da AWS, inclua o parâmetro `--bucket-account-id`. O exemplo de comando a seguir cria um ponto de acesso na Conta da AWS *`111122223333`*, usando o bucket *`amzn-s3-demo-bucket2`*, que está na Conta da AWS *`444455556666`*.
```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket --bucket-account-id 444455556666
```
### Uso da API REST
É possível usar a API REST para criar um ponto de acesso. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html) na *Referência da API do Amazon Simple Storage Service*.
## Criar pontos de acesso com o Amazon FSx
Você pode criar e anexar um ponto de acesso a um volume do FSx para OpenZFS usando o console do Amazon FSx, a AWS CLI ou a API. Depois de anexado, você pode usar as APIs de objeto do S3 para acessar seus dados de arquivo. Seus dados continuam residindo no sistema de arquivos do Amazon FSx e continuam diretamente acessíveis para suas workloads existentes. Você continua gerenciando seu armazenamento por meio de todos os recursos de gerenciamento de armazenamento do FSx para OpenZFS, como backups, snapshots, cotas de usuário e grupo e compressão.
Para ter instruções sobre como criar um ponto de acesso e anexá-lo a um volume do FSx para OpenZFS[, consulte ](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html)Creating access point* no *Guia do usuário FSx para OpenZFS.
# Criar pontos de acesso restritos a uma nuvem privada virtual
Ao criar um ponto de acesso, você pode optar por tornar o ponto de acesso acessível pela internet ou pode especificar que todas as solicitações feitas por meio desse ponto de acesso devem ser originadas de uma nuvem privada virtual (VPC) específica. Considera-se que um ponto de acesso acessível da Internet tem uma origem de rede da `Internet`. Ele pode ser usado de qualquer lugar na internet e está sujeito a quaisquer outras restrições de acesso em vigor para o ponto de acesso, a fonte de dados subjacente e os recursos relacionados, como os objetos solicitados. Um ponto de acesso acessível apenas de uma VPC especificada tem uma origem de rede de `VPC`, e o Amazon S3 rejeita qualquer solicitação feita ao ponto de acesso que não tenha origem nessa VPC.
**Importante**
Você só pode especificar a origem da rede de um ponto de acesso ao criá-lo. Depois de criar o ponto de acesso, não é possível alterar a origem da rede.
Para restringir um ponto de acesso ao acesso somente VPC, inclua o parâmetro `VpcConfiguration` com a solicitação para criar o ponto de acesso. No parâmetro `VpcConfiguration`, você especifica o ID da VPC que deseja usar o ponto de acesso. Se uma solicitação for feita por meio do ponto de acesso, ela deverá ser originada da VPC. Do contrário, o Amazon S3 a rejeitará.
Você pode recuperar a origem da rede de um ponto de acesso usando a AWS CLI, os AWS SDKs ou as APIs REST. Se um ponto de acesso tiver uma configuração de VPC especificada, sua origem de rede será `VPC`. Caso contrário, a origem da rede do ponto de acesso será `Internet`.
## Exemplo: criar e restringir um ponto de acesso a um ID de VPC
O exemplo a seguir cria um ponto de acesso chamado `example-vpc-ap` para o bucket `amzn-s3-demo-bucket` na conta `123456789012` que permite acesso somente da VPC `vpc-1a2b3c`. O exemplo verifica se o novo ponto de acesso tem uma origem de rede da `VPC`.
------
#### [ AWS CLI ]
```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
```
```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012
{
"Name": "example-vpc-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "VPC",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
------
Para usar um ponto de acesso com uma VPC, é necessário modificar a política de acesso do endpoint da VPC especificado. Os VPC endpoints permitem que o tráfego flua da VPC para o Amazon S3. Os pontos de acesso têm políticas de controle de acesso que regulam como os recursos na VPC podem interagir com o Amazon S3. As solicitações da VPC ao Amazon S3 serão bem-sucedidas por meio de um ponto de acesso somente se a política do endpoint da VPC conceder acesso ao ponto de acesso e ao bucket subjacente.
**nota**
Para tornar os recursos acessíveis apenas em uma VPC, crie uma [zona hospedada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) para o endpoint da VPC. Para usar uma zona hospedada privada, [modifique suas configurações da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) para que os [atributos da rede de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` e `enableDnsSupport` sejam definidos como `true`.
O exemplo de instrução de política a seguir configura um VPC endpoint para permitir chamadas ao `GetObject` de um bucket denominado `awsexamplebucket1` e um ponto de acesso chamado `example-vpc-ap`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*",
"arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**nota**
A declaração `"Resource"` neste exemplo usa um nome de recurso da Amazon (ARN) para especificar o ponto de acesso. Para obter mais informações sobre ARNs de ponto de acesso, consulte [Fazer referência a pontos de acesso com ARNs, aliases de ponto de acesso ou URIs de estilo de hospedagem virtual](access-points-naming.md).
Para obter mais informações sobre políticas do endpoint da VPC, consulte [Políticas de endpoint para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) no *Guia do usuário da VPC*.
Para ver um tutorial sobre como criar pontos de acesso com endpoints da VPC, consulte [Managing Amazon S3 access with VPC endpoints and access points](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/).
## Exemplo: criar e restringir um ponto de acesso anexado a um volume do FSx para OpenZFS a um ID de VPC
É possível criar um ponto de acesso que é anexado a um volume do FSx para OpenZFS usando o console do Amazon FSx, a AWS CLI ou a API. Depois de anexado, você pode usar as APIs de objeto do S3 para acessar seus dados de arquivo de uma VPC especificada.
Para ter instruções sobre como criar e restringir um ponto de acesso anexado a um volume do FSx para OpenZFS, consulte [Criar pontos de acesso restritos a uma nuvem privada virtual](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) no *Guia do usuário do Amazon Simple Storage Service*.
## Exemplo: criar e restringir um ponto de acesso anexado a um volume do FSx para ONTAP a um ID de VPC
É possível criar um ponto de acesso anexado a um volume do FSx para ONTAP usando o console do Amazon FSx, a AWS CLI ou a API. Depois de anexado, você pode usar as APIs de objeto do S3 para acessar seus dados de arquivo de uma VPC especificada.
Para ver instruções sobre como criar e restringir um ponto de acesso conectado a um volume do FSx para ONTAP, consulte o [https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html).
# Gerenciar o acesso público a pontos de acesso para buckets de uso geral
Os pontos de acesso do Amazon S3 oferecem suporte a configurações independentes do *bloqueio de acesso público* para cada ponto de acesso. Ao criar um ponto de acesso, você pode especificar configurações do Bloqueio de acesso público que se aplicam a esse ponto de acesso. Para qualquer solicitação feita por meio de um ponto de acesso, o Amazon S3 avalia as configurações de bloqueio de acesso público para esse ponto de acesso, o bucket subjacente e a conta do proprietário do bucket. Se qualquer uma dessas configurações indicar que a solicitação deve ser bloqueada, o Amazon S3 rejeitará a solicitação.
Para obter mais informações sobre o recurso de bloqueio de acesso público do S3, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](access-control-block-public-access.md).
**Importante**
Todas as configurações do Bloqueio de acesso público são habilitadas por padrão para pontos de acesso. Você deve desabilitar explicitamente todas as configurações que não deseja aplicar durante a criação de um ponto de acesso.
Não é possível desativar nenhuma configuração de bloqueio de acesso público ao criar ou usar um ponto de acesso anexado a um sistema de arquivos do Amazon FSx.
Depois de criar um ponto de acesso, não será possível alterar as configurações de bloqueio de acesso público.
**Example**
***Exemplo: criar um ponto de acesso com configurações personalizadas do Bloqueio de acesso público***
Este exemplo cria um ponto de acesso chamado `example-ap` para o bucket `amzn-s3-demo-bucket` na conta `123456789012` com configurações não padrão do Bloqueio de acesso público. O exemplo recupera a configuração do novo ponto de acesso para verificar as configurações do Bloqueio de acesso público.
```
aws s3control create-access-point --name example-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket--public-access-block-configuration BlockPublicAcls=false,IgnorePublicAcls=false,BlockPublicPolicy=true,RestrictPublicBuckets=true
```
```
aws s3control get-access-point --name example-ap --account-id 123456789012
{
"Name": "example-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": false,
"IgnorePublicAcls": false,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
# Gerenciar o recurso Pontos de Acesso Amazon S3 para buckets de uso geral
Esta seção explica como gerenciar o recurso Pontos de Acesso Amazon S3 para buckets de uso geral usando o Console de gerenciamento da AWS, a AWS Command Line Interface ou a API REST. Para ter informações sobre o gerenciamento de pontos de acesso anexados a um volume do FSx para OpenZFS, consulte [Managing your Amazon S3 access points](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/access-points-manage.html) no *Guia do usuário do FSx para OpenZFS*.
**nota**
Você só pode usar pontos de acesso para executar operações em objetos. Não é possível usar pontos de acesso para executar outras operações do Amazon S3, como excluir buckets ou criar configurações do recurso Replicação do S3. Para obter uma lista completa das operações do S3 que oferecem suporte a pontos de acesso, consulte [Compatibilidade dos pontos de acesso](access-points-service-api-support.md).
**Topics**
+ [Listar os pontos de acesso para buckets de uso geral](access-points-list.md)
+ [Visualizar detalhes dos pontos de acesso para buckets de uso geral](access-points-details.md)
+ [Excluir um ponto de acesso para um bucket de uso geral](access-points-delete.md)
# Listar os pontos de acesso para buckets de uso geral
Esta seção explica como listar os pontos de acesso para buckets de uso geral usando o Console de gerenciamento da AWS, a AWS Command Line Interface ou a API REST.
## Usar o console do S3
**Como listar os pontos de acesso na Conta da AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região para a qual você deseja listar os pontos de acesso.
1. No painel de navegação, no lado esquerdo do console, escolha **Pontos de acesso**.
1. (Opcional) Pesquise pontos de acesso pelo nome. Somente os pontos de acesso na Região da AWS selecionada aparecerão aqui.
1. Escolha o nome do ponto de acesso que você deseja gerenciar ou usar.
## Como usar o AWS CLI
O exemplo de comando `list-access-points` a seguir mostra como você pode usar a AWS CLI para listar os pontos de acesso.
O comando a seguir lista os pontos de acesso para a Conta da AWS *111122223333*.
```
aws s3control list-access-points --account-id 111122223333
```
O comando a seguir lista os pontos de acesso para a Conta da AWS *111122223333* que estão anexados ao bucket *amzn-s3-demo-bucket*.
```
aws s3control list-access-points --account-id 111122223333 --bucket amzn-s3-demo-bucket
```
Para obter mais informações e exemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html) na *Referência de comandos da AWS CLI*.
## Uso da API REST
É possível usar a API REST para listar os pontos de acesso. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListAccessPoints.html) na *Referência da API do Amazon Simple Storage Service*.
# Visualizar detalhes dos pontos de acesso para buckets de uso geral
Esta seção explica como visualizar detalhes de um ponto de acesso para um bucket de uso geral usando o Console de gerenciamento da AWS, a AWS Command Line Interface ou a API REST.
## Usar o console do S3
**Como visualizar os detalhes de um ponto de acesso na Conta da AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região para a qual você deseja listar os pontos de acesso.
1. No painel de navegação, no lado esquerdo do console, escolha **Pontos de acesso**.
1. (Opcional) Pesquise pontos de acesso pelo nome. Somente os pontos de acesso na Região da AWS selecionada aparecerão aqui.
1. Escolha o nome do ponto de acesso que você deseja gerenciar ou usar.
1. Selecione a guia **Propriedades** para visualizar a fonte de dados do ponto de acesso, o ID da conta, a Região da AWS, a data de criação, a origem da rede, o URI do S3, o ARN e o alias para o ponto de acesso selecionado.
1. Selecione a guia **Permissões** para visualizar as configurações de bloqueio de acesso público e a política de ponto de acesso para o ponto de acesso selecionado.
**nota**
Não é possível alterar as configurações de bloqueio de acesso público para um ponto de acesso depois que ele é criado.
## Como usar o AWS CLI
O exemplo de comando `get-access-point` a seguir mostra como você pode usar a AWS CLI para visualizar os detalhes de um ponto de acesso.
O comando a seguir lista os detalhes do ponto de acesso *my-access-point* para Conta da AWS *111122223333* anexado ao bucket do S3 *amzn-s3-demo-bucket*.
```
aws s3control get-access-point --name my-access-point --account-id 111122223333
```
Resultado do exemplo:
```
{
"Name": "my-access-point",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2016-08-29T22:57:52Z",
"Alias": "my-access-point-u1ny6bhm7moymqx8cuon8o1g4mwikuse2a-s3alias",
"AccessPointArn": "arn:aws:s3:Região da AWS:111122223333:accesspoint/my-access-point",
"Endpoints": {
"ipv4": "s3-accesspoint.Região da AWS.amazonaws.com",
"fips": "s3-accesspoint-fips.Região da AWS.amazonaws.com",
"fips_dualstack": "s3-accesspoint-fips.dualstack.Região da AWS.amazonaws.com",
"dualstack": "s3-accesspoint.dualstack.Região da AWS.amazonaws.com"
},
"BucketAccountId": "111122223333"
}
```
O comando a seguir lista os detalhes do ponto de acesso *example-fsx-ap* para Conta da AWS *444455556666*. Esse ponto de acesso está anexado a um sistema de arquivos do Amazon FSx.
```
aws s3control get-access-point --name example-fsx-ap --account-id 444455556666
```
Resultado do exemplo:
```
{
"Name": "example-fsx-ap",
"Bucket": "",
"NetworkOrigin": "Internet",
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2025-01-19T14:16:12Z",
"Alias": "example-fsx-ap-qrqbyebjtsxorhhaa5exx6r3q7-ext-s3alias",
"AccessPointArn": "arn:aws:s3:Região da AWS:444455556666:accesspoint/example-fsx-ap",
"Endpoints": {
"ipv4": "s3-accesspoint.Região da AWS.amazonaws.com",
"fips": "s3-accesspoint-fips.Região da AWS.amazonaws.com",
"fips_dualstack": "s3-accesspoint-fips.dualstack.Região da AWS.amazonaws.com",
"dualstack": "s3-accesspoint.dualstack.Região da AWS.amazonaws.com"
},
"DataSourceId": "arn:aws::fsx:Região da AWS:444455556666:file-system/fs-5432106789abcdef0/volume/vol-0123456789abcdef0",
"DataSourceType": "FSX_OPENZFS"
}
```
Para obter mais informações e exemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/get-access-point.html) na *Referência de comandos da AWS CLI*.
## Uso da API REST
É possível usar a API REST para visualizar os detalhes de um ponto de acesso. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_GetAccessPoint.html) na *Referência da API do Amazon Simple Storage Service*.
# Excluir um ponto de acesso para um bucket de uso geral
Esta seção explica como excluir um ponto de acesso para um bucket de uso geral usando o Console de gerenciamento da AWS, a AWS Command Line Interface ou a API REST.
## Usar o console do S3
**Como excluir pontos de acesso na Conta da AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região para a qual você deseja listar os pontos de acesso.
1. No painel de navegação, no lado esquerdo do console, escolha **Pontos de acesso**.
1. (Opcional) Pesquise pontos de acesso pelo nome. Somente os pontos de acesso na Região da AWS selecionada aparecerão aqui.
1. Escolha o nome do ponto de acesso que você deseja gerenciar ou usar.
1. Na página **Ponto de acesso**, selecione **Excluir** para excluir o ponto de acesso selecionado.
1. Para confirmar a exclusão, digite o nome do ponto de acesso e escolha **Excluir**.
## Como usar o AWS CLI
O exemplo de comando `delete-access-point` a seguir mostra como você pode usar a AWS CLI para excluir um ponto de acesso.
O comando a seguir exclui o ponto de acesso *my-access-point* da Conta da AWS *111122223333*.
```
aws s3control delete-access-point --name my-access-point --account-id 111122223333
```
Para obter mais informações e exemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/delete-access-point.html) na *Referência de comandos da AWS CLI*.
## Uso da API REST
É possível usar a API REST para visualizar os detalhes de um ponto de acesso. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_DeleteAccessPoint.html) na *Referência da API do Amazon Simple Storage Service*.
# Usar o recurso Pontos de Acesso Amazon S3 para buckets de uso geral
Os exemplos a seguir demonstram como usar pontos de acesso para buckets de uso geral com operações compatíveis no Amazon S3.
**nota**
O S3 gera automaticamente aliases de ponto de acesso para todos os pontos de acesso e esses aliases podem ser usados em qualquer lugar em que um nome de bucket seja usado para realizar operações ao nível do objeto. Para obter mais informações, consulte [Alias de ponto de acesso](access-points-naming.md#access-points-alias).
Você só pode usar pontos de acesso para buckets de uso geral para executar operações em objetos. Não é possível usar pontos de acesso para executar outras operações do Amazon S3, como modificar ou excluir buckets. Para obter uma lista completa das operações do S3 que oferecem suporte a pontos de acesso, consulte [Compatibilidade dos pontos de acesso](access-points-service-api-support.md).
**Topics**
+ [Listar objetos por meio de um ponto de acesso para um bucket de uso geral](list-object-ap.md)
+ [Baixar um objeto por meio de um ponto de acesso para um bucket de uso geral](get-object-ap.md)
+ [Configurar listas de controle de acesso (ACLs) por meio de um ponto de acesso para um bucket de uso geral](put-acl-permissions-ap.md)
+ [Fazer upload de um objeto por meio de um ponto de acesso para um bucket de uso geral](put-object-ap.md)
+ [Adicionar um conjunto de tags por meio de um ponto de acesso para um bucket de uso geral](add-tag-set-ap.md)
+ [Excluir um objeto por meio de um ponto de acesso para um bucket de uso geral](delete-object-ap.md)
# Listar objetos por meio de um ponto de acesso para um bucket de uso geral
Esta seção explica como listar objetos por meio de um ponto de acesso para um bucket de uso geral usando o Console de gerenciamento da AWS, a AWS Command Line Interface ou a API REST.
## Usar o console do S3
**Como listar os objetos por meio de um ponto de acesso na Conta da AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região para a qual você deseja listar os pontos de acesso.
1. No painel de navegação, no lado esquerdo do console, escolha **Pontos de acesso**.
1. (Opcional) Pesquise pontos de acesso pelo nome. Somente os pontos de acesso na Região da AWS selecionada aparecerão aqui.
1. Escolha o nome do ponto de acesso que você deseja gerenciar ou usar.
1. Na guia **Objetos**, é possível visualizar o nome dos objetos que deseja acessar por meio do ponto de acesso. Enquanto estiver usando o ponto de acesso, você só pode executar as operações de objeto permitidas pelas permissões do ponto de acesso.
**nota**
A exibição do console sempre mostra todos os objetos no bucket. O uso de um ponto de acesso conforme descrito neste procedimento restringe as operações que você pode executar nesses objetos, mas não se você puder ver que eles existem no bucket.
O Console de gerenciamento da AWS não oferece suporte ao uso de pontos de acesso da nuvem privada virtual (VPC) para acessar recursos de bucket. Para acessar recursos de bucket em um ponto de acesso da VPC, use a AWS CLI, os AWS SDKs ou as APIs REST do Amazon S3.
## Como usar o AWS CLI
O exemplo de comando `list-objects-v2` a seguir mostra como você pode usar a AWS CLI para listar os objetos por meio de um ponto de acesso.
O comando a seguir lista os objetos da Conta da AWS *111122223333* usando o ponto de acesso *my-access-point*.
```
aws s3api list-objects-v2 --bucket arn:aws:s3:Região da AWS:111122223333:accesspoint/my-access-point
```
**nota**
O S3 gera automaticamente aliases de ponto de acesso para todos os pontos de acesso e esses aliases podem ser usados em qualquer lugar em que um nome de bucket seja usado para realizar operações ao nível do objeto. Para obter mais informações, consulte [Alias de ponto de acesso](access-points-naming.md#access-points-alias).
Para obter mais informações e exemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-objects-v2.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/list-objects-v2.html) na *Referência de comandos da AWS CLI*.
## Uso da API REST
É possível usar a API REST para listar os pontos de acesso. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) na *Referência da API do Amazon Simple Storage Service*.
# Baixar um objeto por meio de um ponto de acesso para um bucket de uso geral
Esta seção explica como baixar um objeto por meio de um ponto de acesso para um bucket de uso geral usando o Console de gerenciamento da AWS, a AWS Command Line Interface ou a API REST.
## Usar o console do S3
**Como fazer download de um objeto por meio de um ponto de acesso na Conta da AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região para a qual você deseja listar os pontos de acesso.
1. No painel de navegação, no lado esquerdo do console, escolha **Pontos de acesso**.
1. (Opcional) Pesquise pontos de acesso pelo nome. Somente os pontos de acesso na Região da AWS selecionada aparecerão aqui.
1. Escolha o nome do ponto de acesso que você deseja gerenciar ou usar.
1. Na guia **Objetos**, selecione o nome do objeto que você deseja baixar.
1. Escolha **Baixar**.
## Como usar o AWS CLI
O exemplo de comando `get-object` a seguir mostra como você pode usar a AWS CLI para fazer download de um objeto por meio de um ponto de acesso.
O comando a seguir faz download do objeto `puppy.jpg` da Conta da AWS *111122223333* usando o ponto de acesso *my-access-point*. Você deve incluir um `outfile`, que é um nome de arquivo para o objeto baixado, como `my_downloaded_image.jpg`.
```
aws s3api get-object --bucket arn:aws:s3:Região da AWS:111122223333:accesspoint/my-access-point --key puppy.jpg my_downloaded_image.jpg
```
**nota**
O S3 gera automaticamente aliases de ponto de acesso para todos os pontos de acesso e esses aliases podem ser usados em qualquer lugar em que um nome de bucket seja usado para realizar operações ao nível do objeto. Para obter mais informações, consulte [Alias de ponto de acesso](access-points-naming.md#access-points-alias).
Para obter mais informações e exemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/get-object.html) na *Referência de comandos da AWS CLI*.
## Uso da API REST
É possível usar a API REST para fazer download de um objeto por meio de um ponto de acesso. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) na *Referência da API do Amazon Simple Storage Service*.
## Usar SDKs da AWS
É possível usar o AWS SDK para Python para baixar um objeto por meio de um ponto de acesso.
------
#### [ Python ]
No exemplo a seguir, o arquivo chamado `hello.txt` é baixado para a conta da AWS *111122223333* usando o ponto de acesso denominado *my-access-point*.
```
import boto3
s3 = boto3.client('s3')
s3.download_file('arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point', 'hello.txt', '/tmp/hello.txt')
```
------
# Configurar listas de controle de acesso (ACLs) por meio de um ponto de acesso para um bucket de uso geral
Esta seção explica como configurar ACLs por meio de um ponto de acesso para um bucket de uso geral usando o Console de gerenciamento da AWS, a AWS Command Line Interface ou a API REST. Para ter mais informações sobre ACLs, consulte [Visão geral da lista de controle de acesso (ACL)](acl-overview.md).
## Usar o console do S3
**Como configurar ACLs por meio de um ponto de acesso na Conta da AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região para a qual você deseja listar os pontos de acesso.
1. No painel de navegação, no lado esquerdo do console, escolha **Pontos de acesso**.
1. (Opcional) Pesquise pontos de acesso pelo nome. Somente os pontos de acesso na Região da AWS selecionada aparecerão aqui.
1. Escolha o nome do ponto de acesso que você deseja gerenciar ou usar.
1. Na guia **Objetos**, selecione o nome do objeto para o qual você deseja configurar uma ACL.
1. Na guia **Permissões**, selecione **Editar** para configurar a ACL do objeto.
**nota**
Atualmente, o Amazon S3 não oferece suporte à alteração das configurações do bloqueio de acesso público após à criação de um ponto de acesso.
## Como usar o AWS CLI
O exemplo de comando `put-object-acl` a seguir mostra como você pode usar a AWS CLI para configurar permissões de acesso por meio de um ponto de acesso usando uma ACL.
O comando a seguir aplica uma ACL a um objeto `puppy.jpg` existente por meio de um ponto de acesso pertencente à Conta da AWS *111122223333*.
```
aws s3api put-object-acl --bucket arn:aws:s3:Região da AWS:111122223333:accesspoint/my-access-point --key puppy.jpg --acl private
```
**nota**
O S3 gera automaticamente aliases de ponto de acesso para todos os pontos de acesso e esses aliases podem ser usados em qualquer lugar em que um nome de bucket seja usado para realizar operações ao nível do objeto. Para obter mais informações, consulte [Alias de ponto de acesso](access-points-naming.md#access-points-alias).
Para obter mais informações e exemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-acl.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-acl.html) na *Referência de comandos da AWS CLI*.
## Uso da API REST
É possível usar a API REST para configurar as permissões de acesso por meio de um ponto de acesso usando uma ACL. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html) na *Referência da API do Amazon Simple Storage Service*.
# Fazer upload de um objeto por meio de um ponto de acesso para um bucket de uso geral
Esta seção explica como fazer upload de um objeto por meio de um ponto de acesso para um bucket de uso geral usando o Console de gerenciamento da AWS, a AWS Command Line Interface ou a API REST.
## Usar o console do S3
**Como fazer upload de um objeto por meio de um ponto de acesso na Conta da AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região para a qual você deseja listar os pontos de acesso.
1. No painel de navegação, no lado esquerdo do console, escolha **Pontos de acesso**.
1. (Opcional) Pesquise pontos de acesso pelo nome. Somente os pontos de acesso na Região da AWS selecionada aparecerão aqui.
1. Escolha o nome do ponto de acesso que você deseja gerenciar ou usar.
1. Na guia **Objetos**, selecione **Fazer upload**.
1. Arraste e solte os arquivos e as pastas que você deseja carregar aqui ou escolha **Adicionar arquivos** ou **Adicionar pasta**.
**nota**
O tamanho máximo de arquivo que você pode carregar usando o console do Amazon S3 é de 160 GB. Para fazer upload de um arquivo com mais de 160 GB, use a AWS Command Line Interface (AWS CLI), AWS SDKs ou a API REST do Amazon S3.
1. Para alterar as permissões da lista de controle de acesso, escolha **Permissions** (Permissões).
1. Em **Access control list (ACL)** (Lista de controle de acesso (ACL)), edite as permissões.
Para informações sobre permissões de acesso a objeto, consulte [Usar o console do S3 para definir permissões de ACL para um objeto](managing-acls.md#set-object-permissions). Você pode conceder acesso de leitura aos seus objetos ao público (todos no mundo), para todos os arquivos que você está carregando. No entanto, recomendamos não alterar a configuração padrão para acesso de leitura público. Conceder acesso público de leitura é aplicável a um pequeno subconjunto de casos de uso, como quando buckets são usados para sites. Você sempre pode alterar as permissões de objeto depois de carregar o objeto.
1. Para configurar outras propriedades, escolha **Properties** (Propriedades).
1. Na seção **Classe de armazenamento** escolha a classe de armazenamento para os arquivos que você está carregando.
Para obter mais informações sobre classes de armazenamento, consulte [Compreender e gerenciar classes de armazenamento do Amazon S3](storage-class-intro.md).
1. Para atualizar as configurações de criptografia para seus objetos, em **Server-side encryption settings (Configurações de criptografia do lado do servidor)**, faça o seguinte.
1. Escolha **Specify an encryption key** (Especificar uma chave de criptografia).
1. Em **Configurações de criptografia**, escolha **Usar configurações de bucket para criptografia padrão** ou **Substituir configurações de bucket para criptografia padrão**.
1. Se você escolher **Substituir configurações do bucket para criptografia padrão**, deverá definir as configurações de criptografia a seguir.
+ Para criptografar os arquivos carregados usando chaves gerenciadas pelo Amazon S3, escolha **Chave gerenciada pelo Amazon S3 (SSE-S3)**.
Para obter mais informações, consulte [Usar a criptografia do lado do servidor com chaves gerenciadas pelo Amazon S3 (SSE-S3)](UsingServerSideEncryption.md).
+ Para criptografar os arquivos carregados usando chaves armazenadas no AWS Key Management Service (AWS KMS), selecione **Chave do AWS Key Management Service (SSE-KMS)**. Depois, escolha uma das seguintes opções para a **chave do AWS KMS**:
+ Para escolher entre uma lista de chaves do KMS disponíveis, selecione **Escolher de sua AWS KMS keys** e escolha a **chave do KMS** na lista de chaves disponíveis.
As chaves Chave gerenciada pela AWS (`aws/s3`) e as chaves gerenciadas pelo cliente são exibidas nessa lista. Para ter mais informações sobre chaves gerenciadas pelo cliente, consulte [Chaves de clientes e chaves da AWS](https://docs.aws.amazon.com//kms/latest/developerguide/concepts.html#key-mgmt) no *Guia do desenvolvedor do AWS Key Management Service*.
+ Para inserir o ARN da chave do KMS, selecione **Inserir ARN da AWS KMS key** e insira o ARN da chave do KMS no campo exibido.
+ Para criar uma chave gerenciada pelo cliente no console do AWS KMS, selecione **Criar uma chave do KMS**.
Para ter mais informações sobre como criar uma AWS KMS key, consulte [Criação de chaves](https://docs.aws.amazon.com//kms/latest/developerguide/create-keys.html) no * Guia do desenvolvedor do AWS Key Management Service*.
**Importante**
Você só pode usar chaves do KMS disponíveis na mesma Região da AWS que o bucket. O console do Amazon S3 lista somente as primeiras 100 chaves do KMS na mesma região que o bucket. Para usar uma chave do KMS que não esteja listada, você deve inserir o ARN da chave do KMS. Se quiser usar uma chave do KMS que seja de propriedade de outra conta, primeiro você deverá ter permissão para usar a chave e, depois, inserir o ARN da chave do KMS.
O Amazon S3 só é compatível com chaves do KMS de criptografia simétrica, e não com chaves assimétricas do KMS. Para ter mais informações, consulte [Identificar chaves do KMS simétricas e assimétricas](https://docs.aws.amazon.com//kms/latest/developerguide/find-symm-asymm.html) no *Guia do desenvolvedor do AWS Key Management Service*.
1. Para usar somas de verificação adicionais, escolha **On** (Ativar). Em seguida, em **Checksum function** (Função de soma de verificação), escolha a função que você gostaria de usar. O Amazon S3 calcula e armazena o valor da soma de verificação depois de receber o objeto inteiro. Você pode usar a caixa **Precalculated value** (Valor pré-calculado) para fornecer esse valor. Se fizer isso, o Amazon S3 vai comparar o valor que você forneceu com o valor calculado. Se os dois valores não corresponderem, o Amazon S3 gerará um erro.
As somas de verificação adicionais permitem que você especifique o algoritmo de soma de verificação que gostaria de usar para verificar seus dados. Para obter mais informações sobre somas de verificação adicionais, consulte [Verificar a integridade do objeto no Amazon S3](checking-object-integrity.md).
1. Para adicionar tags a todos os objetos que você está carregando, escolha **Add tag (Adicionar tag)**. Insira um nome de tag no campo **Chave**. Insira um valor para a tag.
A marcação de objetos é uma forma de categorizar o armazenamento. Cada tag é um par de chave-valor. Os valores de chave e tag diferenciam maiúsculas de minúsculas. É possível ter até dez tags por objeto. Uma chave de tag pode ter até 128 caracteres Unicode e os valores de tag podem ter até 255 caracteres Unicode. Para obter mais informações sobre tags de objeto, consulte [Categorizar objetos usando tags](object-tagging.md).
1. Para adicionar metadados, escolha **Add metadata (Adicionar metadados)**.
1. Em **Type (Tipo)**, escolha **System defined (Definido pelo sistema)** ou **User defined (Definido pelo usuário)**.
Para metadados definidos pelo sistema, você pode selecionar cabeçalhos HTTP comuns, como **Content-Type** e **Content-Disposition**. Para obter uma lista de metadados definidos pelo sistema e informações sobre a possibilidade de adicionar o valor, consulte [Metadados do objeto definidos pelo sistema](UsingMetadata.md#SysMetadata). Todos os metadados que começam com o prefixo `x-amz-meta-` são tratados como metadados definidos pelo usuário. Os metadados definidos pelo usuário são armazenados com o objeto e retornados quando você baixa o objeto. As chaves e seus valores devem estar em conformidade com os padrões US-ASCII. Metadados definidos pelo usuário podem ter até 2 KB. Para obter mais informações sobre metadados definidos pelo sistema e pelo usuário, consulte [Trabalhar com metadados de objeto](UsingMetadata.md).
1. Para **Key (Chave)**, escolha uma chave.
1. Digite um valor para a chave.
1. Para carregar seus objetos, escolha **Upload (Fazer upload)**.
O Amazon S3 faz o upload do objeto. Quando o upload for concluído, você pode ver uma mensagem de sucesso na página de **Upload: status**.
## Como usar o AWS CLI
O exemplo de comando `put-object` a seguir mostra como você pode usar a AWS CLI para fazer upload de um objeto por meio de um ponto de acesso.
O comando a seguir faz upload do objeto `puppy.jpg` da Conta da AWS *111122223333* usando o ponto de acesso *my-access-point*.
```
aws s3api put-object --bucket arn:aws:s3:Região da AWS:111122223333:accesspoint/my-access-point --key puppy.jpg --body puppy.jpg
```
**nota**
O S3 gera automaticamente aliases de ponto de acesso para todos os pontos de acesso e esses aliases podem ser usados em qualquer lugar em que um nome de bucket seja usado para realizar operações ao nível do objeto. Para obter mais informações, consulte [Alias de ponto de acesso](access-points-naming.md#access-points-alias).
Para obter mais informações e exemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object.html) na *Referência de comandos da AWS CLI*.
## Uso da API REST
É possível usar a API REST para fazer upload de um objeto por meio de um ponto de acesso. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) na *Referência da API do Amazon Simple Storage Service*.
## Usar SDKs da AWS
É possível usar o AWS SDK para Python para fazer upload de um objeto por meio de um ponto de acesso.
------
#### [ Python ]
No exemplo a seguir, o arquivo chamado `hello.txt` é carregado na conta da AWS *111122223333* usando o ponto de acesso denominado *my-access-point*.
```
import boto3
s3 = boto3.client('s3')
s3.upload_file('/tmp/hello.txt', 'arn:aws:s3:us-east-1:111122223333:accesspoint/my-access-point', 'hello.txt')
```
------
# Adicionar um conjunto de tags por meio de um ponto de acesso para um bucket de uso geral
Esta seção explica como adicionar um conjunto de tags por meio de um ponto de acesso para um bucket de uso geral usando o Console de gerenciamento da AWS, a AWS Command Line Interface ou a API REST. Para obter mais informações, consulte [Categorizar objetos usando tags](object-tagging.md).
## Usar o console do S3
**Como adicionar um conjunto de tags por meio de um ponto de acesso na Conta da AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região para a qual você deseja listar os pontos de acesso.
1. No painel de navegação, no lado esquerdo do console, escolha **Pontos de acesso**.
1. (Opcional) Pesquise pontos de acesso pelo nome. Somente os pontos de acesso na Região da AWS selecionada aparecerão aqui.
1. Escolha o nome do ponto de acesso que você deseja gerenciar ou usar.
1. Na guia **Objetos**, selecione o nome do objeto para o qual você deseja adicionar um conjunto de tags.
1. Na guia **Propriedades**, encontre o subcabeçalho **Tags** e escolha **Editar**.
1. Revise os objetos listados e escolha **Adicionar tag**.
1. Cada tag de objeto é um par de chave-valor. Insira uma **Key (Chave)** e um **Value (Valor)**. Para adicionar outra tag, escolha **Add Tag (Adicionar tag)**.
Você pode digitar até 10 tags para um objeto.
1. Escolha **Salvar alterações**.
## Como usar o AWS CLI
O exemplo de comando `put-object-tagging` a seguir mostra como você pode usar a AWS CLI para adicionar um conjunto de tags por meio de um ponto de acesso.
O comando a seguir adiciona um conjunto de tags ao objeto `puppy.jpg` existente usando o ponto de acesso *my-access-point*.
```
aws s3api put-object-tagging --bucket arn:aws:s3:Região da AWS:111122223333:accesspoint/my-access-point --key puppy.jpg --tagging TagSet=[{Key="animal",Value="true"}]
```
**nota**
O S3 gera automaticamente aliases de ponto de acesso para todos os pontos de acesso e esses aliases podem ser usados em qualquer lugar em que um nome de bucket seja usado para realizar operações ao nível do objeto. Para obter mais informações, consulte [Alias de ponto de acesso](access-points-naming.md#access-points-alias).
Para obter mais informações e exemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-tagging.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/put-object-tagging.html) na *Referência de comandos da AWS CLI*.
## Uso da API REST
É possível usar a API REST para adicionar um conjunto de tags a um objeto por meio de um ponto de acesso. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html) na *Referência da API do Amazon Simple Storage Service*.
# Excluir um objeto por meio de um ponto de acesso para um bucket de uso geral
Esta seção explica como excluir um objeto por meio de um ponto de acesso para um bucket de uso geral usando o Console de gerenciamento da AWS, a AWS Command Line Interface ou a API REST.
## Usar o console do S3
**Como excluir um ou vários objetos por meio de um ponto de acesso na Conta da AWS**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região para a qual você deseja listar os pontos de acesso.
1. No painel de navegação, no lado esquerdo do console, escolha **Pontos de acesso**.
1. (Opcional) Pesquise pontos de acesso pelo nome. Somente os pontos de acesso na Região da AWS selecionada aparecerão aqui.
1. Escolha o nome do ponto de acesso que você deseja gerenciar ou usar.
1. Na guia **Objetos**, selecione os nomes dos objetos que você deseja excluir.
1. Revise os objetos listados para exclusão e digite *delete* na caixa de confirmação.
1. Escolha **Delete objects** (Excluir objetos).
## Como usar o AWS CLI
O exemplo de comando `delete-object` a seguir mostra como você pode usar a AWS CLI para excluir um objeto por meio de um ponto de acesso.
O comando a seguir exclui o objeto `puppy.jpg` existente usando o ponto de acesso *my-access-point*.
```
aws s3api delete-object --bucket arn:aws:s3:Região da AWS:111122223333:accesspoint/my-access-point --key puppy.jpg
```
**nota**
O S3 gera automaticamente aliases de ponto de acesso para todos os pontos de acesso e esses aliases podem ser usados em qualquer lugar em que um nome de bucket seja usado para realizar operações ao nível do objeto. Para obter mais informações, consulte [Alias de ponto de acesso](access-points-naming.md#access-points-alias).
Para obter mais informações e exemplos, consulte [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-object.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3api/delete-object.html) na *Referência de comandos da AWS CLI*.
## Uso da API REST
É possível usar a API REST para excluir um objeto por meio de um ponto de acesso. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html) na *Referência da API do Amazon Simple Storage Service*.
# Usar tags com pontos de acesso para buckets de uso geral do S3
Uma tag da AWS é um par de chave-valor que contém metadados sobre recursos; neste caso, Pontos de Acesso Amazon S3. Você pode atribuir tags aos pontos de acesso ao criá-los ou gerenciar tags em pontos de acesso existentes. Para ter informações gerais sobre tags, consulte [Atribuir tags para alocação de custos ou controle de acesso por atributo (ABAC)](tagging.md).
**nota**
Não há cobrança adicional para usar tags em pontos de acesso além das taxas de solicitação padrão da API do S3. Para obter mais informações, consulte [Preço do Amazon S3](https://aws.amazon.com/s3/pricing/).
## Maneiras comuns de usar tags com pontos de acesso
O controle de acesso por atributo (ABAC) permite ampliar as permissões de acesso e conceder acesso a pontos de acesso com base nas respectivas tags. Para ter mais informações sobre o ABAC no Amazon S3, consulte [Using tags for ABAC](https://docs.aws.amazon.com/AmazonS3/latest/userguide/tagging.html#).
### ABAC para o recurso Pontos de Acesso S3
O recurso Pontos de Acesso Amazon S3 permite utilizar o controle de acesso por atributo (ABAC) usando tags. Use chaves de condição baseadas em tags nas políticas de suas organizações da AWS, em como em suas políticas do IAM e de pontos de acesso. Para empresas, o ABAC no Amazon S3 permite a autorização em várias contas da AWS.
Nas suas políticas do IAM, você pode controlar o acesso aos pontos de acesso com base nas tags do ponto de acesso usando as seguintes [chaves de condição globais](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-tagkeys):
+ `aws:ResourceTag/key-name`
**Importante**
A chave de condição `aws:ResourceTag` pode ser usada somente para ações do S3 executadas por meio de um ARN de ponto de acesso para buckets de uso geral e abrange somente as tags de ponto de acesso subjacentes.
+ Use essa chave para comparar o par chave-valor da etiqueta especificado na política com o par chave-valor anexado ao recurso. Por exemplo, é possível exigir que o acesso a um recurso seja permitido somente se o recurso tiver a chave de tag `Dept` anexada com o valor `Marketing`. Para obter mais informações, consulte [Controle de acesso aos recursos do AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources).
+ `aws:RequestTag/key-name`
+ Use essa chave para comparar o par de chave/valor da tag que foi passado na solicitação com o par de tags especificado na política. Por exemplo, é possível verificar se a solicitação inclui a chave de tag `Dept` e se ela tem o valor `Accounting`. Para ter mais informações, consulte [Controlar o acesso durante solicitações da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-requests). Você pode usar essa chave de condição para restringir quais pares de chave-valor de tag podem ser transmitidos durante as operações de API `TagResource` e `CreateAccessPoint`.
+ `aws:TagKeys`
+ Use essa chave para comparar as chaves de tag em uma solicitação com as chaves especificadas na política. Ao usar políticas para controlar o acesso usando etiquetas, recomendamos o uso da chave de condição `aws:TagKeys` para definir quais chaves de etiquetas serão permitidas. Para ver exemplos de política e ter mais informações, consulte [Controlar o acesso com base em chaves de tag](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-tag-keys). Você pode criar um ponto de acesso com tags. Para permitir a marcação durante a operação de API `CreateAccessPoint`, você deve criar uma política que inclua as ações `s3:TagResource` e `s3:CreateAccessPoint`. Em seguida, você pode usar a chave de condição `aws:TagKeys` para impor o uso de tags específicas na solicitação `CreateAccessPoint`.
+ `s3:AccessPointTag/tag-key`
+ Use essa chave de condição para conceder permissões a dados específicos por meio de pontos de acesso usando tags. Ao usar `aws:ResourceTag/tag-key` em uma política do IAM, tanto o ponto de acesso quanto o bucket para o qual o ponto de acesso aponta precisam ter a mesma tag, pois ambos são considerados durante a autorização. Se você quiser controlar o acesso aos seus dados especificamente apenas por meio da tag do ponto de acesso, é possível usar a chave de condição `s3:AccessPointTag/tag-key`.
### Exemplos de política de ABAC para pontos de acesso
Veja a seguir exemplos de política de ABAC para o recurso Pontos de Acesso Amazon S3.
#### 1.1 Política do IAM para criar ou modificar buckets com tags específicas
Nesta política do IAM, usuários ou perfis com esta política só podem criar pontos de acesso se atribuírem tags aos pontos de acesso com a chave de tag `project` e o valor de tag `Trinity` na solicitação de criação de pontos de acesso. Eles também podem adicionar ou modificar tags em pontos de acesso existentes, desde que a solicitação `TagResource` inclua o par de chave-valor de tag `project:Trinity`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAccessPointWithTags",
"Effect": "Allow",
"Action": [
"s3:CreateAccessPoint",
"s3:TagResource"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/project": [
"Trinity"
]
}
}
}
]
}
```
#### 1.2 Política de ponto de acesso para restringir operações no ponto de acesso por meio de tags
Nesta política de ponto de acesso, as entidades principais do IAM (usuários e perfis) podem executar operações usando a ação `GetObject` no ponto de acesso somente se o valor da tag `project` do ponto de acesso corresponder ao valor da tag `project` da entidade principal.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowObjectOperations",
"Effect": "Allow",
"Principal": {
"AWS": "111122223333"
},
"Action": "s3:GetObject",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
}
}
}
]
}
```
#### 1.3 Política do IAM para modificar tags em recursos existentes, mantendo a governança de marcação
Nesta política do IAM, as entidades principais do IAM (usuários e perfis) podem modificar tags em um ponto de acesso somente se o valor da tag `project` do ponto de acesso corresponder ao valor da tag `project` da entidade principal. Somente as quatro tags (`project`, `environment`, `owner` e `cost-center`) especificadas nas chaves de condição `aws:TagKeys` são permitidas para esses pontos de acesso. Isso ajuda a impor a governança de tags, evita modificações não autorizadas nas tags e mantém o esquema de marcação consistente em todos os pontos de acesso.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EnforceTaggingRulesOnModification",
"Effect": "Allow",
"Action": [
"s3:TagResource"
],
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"aws:ResourceTag/project": "${aws:PrincipalTag/project}"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"project",
"environment",
"owner",
"cost-center"
]
}
}
}
]
}
```
#### 1.4 Usar a chave de condição s3:AccessPointTag
Nesta política do IAM, a instrução de condição permitirá acesso aos dados do bucket se o ponto de acesso tiver a chave de tag `Environment` e o valor de tag `Production`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
#### 1.5 Usar uma política de delegação de bucket
No Amazon S3, você pode delegar o acesso ou o controle da sua política de bucket do S3 a outra conta da AWS ou a um usuário ou perfil específico do AWS Identity and Access Management (IAM) na outra conta. A política de bucket delegada concede a essa outra conta, usuário ou perfil permissão para acessar seu bucket e os respectivos objetos. Para ter mais informações, consulte [Delegação de permissão](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-policy-language-overview.html#permission-delegation).
Se estiver usando uma política de bucket delegada, como a seguinte:
```
{
"Version": "2012-10-17",
"Statement": {
"Principal": {"AWS": "*"},
"Effect": "Allow",
"Action": ["s3:*"],
"Resource":["arn:aws::s3:::amzn-s3-demo-bucket/*", "arn:aws::s3:::amzn-s3-demo-bucket"],
"Condition": {
"StringEquals" : {
"s3:DataAccessPointAccount" : "111122223333"
}
}
}
}
```
Nesta política do IAM, a instrução de condição permitirá acesso aos dados do bucket se o ponto de acesso tiver a chave de tag `Environment` e o valor de tag `Production`.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAccessToSpecificAccessPoint",
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws::s3:region:111122223333:accesspoint/my-access-point",
"Condition": {
"StringEquals": {
"s3:AccessPointTag/Environment": "Production"
}
}
}
]
}
```
## Trabalhar com tags para pontos de acesso para buckets de uso geral
Você pode adicionar ou gerenciar tags para pontos de acesso usando o console do Amazon S3, a AWS Command Line Interface (CLI) e os SDKs da AWS ou as APIs [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html), [UntagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html) e [ListTagsForResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html) do S3. Para obter mais informações, consulte:
**Topics**
+ [Maneiras comuns de usar tags com pontos de acesso](#common-ways-to-use-tags-directory-bucket)
+ [Trabalhar com tags para pontos de acesso para buckets de uso geral](#working-with-tags-access-points)
+ [Criar pontos de acesso com tags](access-points-create-tag.md)
+ [Adicionar uma tag a um ponto de acesso](access-points-tag-add.md)
+ [Visualizar tags de um ponto de acesso](access-points-tag-view.md)
+ [Excluir uma tag de um ponto de acesso](access-points-tag-delete.md)
# Criar pontos de acesso com tags
Você pode atribuir tags a pontos de acesso ao criá-los. Não há cobrança adicional para usar tags em pontos de acesso além das taxas de solicitação padrão da API do S3. Para obter mais informações, consulte [Preço do Amazon S3](https://docs.aws.amazon.com/s3/pricing/). Para ter mais informações sobre como atribuir tags a pontos de acesso, consulte [Usar tags com pontos de acesso para buckets de uso geral do S3](access-points-tagging.md).
## Permissões
Para criar um ponto de acesso com tags, você precisa ter as seguintes permissões:
+ `s3:CreateBucket`
+ `s3:TagResource`
## Solucionar de problemas de erros
Se você encontrar um erro ao tentar criar um ponto de acesso com tags, é possível fazer o seguinte:
+ Verifique se você tem as [Permissões](#access-points-create-tag-permissions) necessárias para criar o ponto de acesso e adicionar uma tag a ele.
+ Confira sua política de usuário do IAM para ver se existe alguma condição de controle de acesso por atributo (ABAC). Pode ser necessário rotular os pontos de acesso somente com chaves e valores de tag específicos. Para obter mais informações, consulte [Usar tags para controle de acesso por atributo (ABAC)](tagging.md#using-tags-for-abac).
## Etapas
Você pode criar um ponto de acesso com tags aplicadas usando o console do Amazon S3, a AWS Command Line Interface (AWS CLI), a API REST do Amazon S3 e SDKs da AWS.
## Usar o console do S3
Para criar um ponto de acesso com tags usando o console do Amazon S3:
1. Faça login no console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Pontos de acesso (buckets de uso geral)**.
1. Escolha **Criar ponto de acesso** para criar um ponto de acesso.
1. Na página **Criar ponto de acesso**, **Tags** é uma opção ao criar um ponto de acesso.
1. Insira um nome para o ponto de acesso. Para obter mais informações, consulte [Regras de nomenclatura, restrições e limitações dos pontos de acesso](access-points-restrictions-limitations-naming-rules.md).
1. Escolha **Adicionar nova tag** para abrir o editor de **Tags** e inserir um par de chave-valor de tag. A chave de tag é necessária, mas o valor é opcional.
1. Para adicionar outra tag, selecione novamente **Adicionar nova tag**. É possível adicionar até cinquenta pares de chave-valor de tag.
1. Depois de concluir a especificação das opções para seu novo ponto de acesso, escolha **Criar ponto de acesso**.
## Usar SDKs da AWS
------
#### [ SDK for Java 2.x ]
Este exemplo mostra como criar um ponto de acesso com tags usando o AWS SDK for Java 2.x. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
```
CreateAccessPointRequest createAccessPointRequest = CreateAccessPointRequest.builder()
.accountId(111122223333)
.name(my-access-point)
.bucket(amzn-s3-demo-bucket)
.tags(Collections.singletonList(Tag.builder().key("key1").value("value1").build()))
.build();
awss3Control.createAccessPoint(createAccessPointRequest);
```
------
## Uso da API REST
Para ter informações sobre a compatibilidade oferecida pela API REST do Amazon S3 para criar um ponto de acesso com tags, consulte a seguinte seção na *Referência de API do Amazon Simple Storage Service*:
+ [CreateAccessPoint](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html)
## Como usar o AWS CLI
Para instalar a AWS CLI, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no *Guia do usuário da versão 2 da AWS Command Line Interface*.
O exemplo da CLI a seguir mostra como criar um ponto de acesso com tags usando a AWS CLI. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
**Solicitação:**
```
aws s3control create-access-point --name my-access-point \
--bucket amzn-s3-demo-bucket \
--account-id 111122223333 \ --profile personal \
--tags [{Key=key1,Value=value1},{Key=key2,Value=value2}] \
--region region
```
# Adicionar uma tag a um ponto de acesso
É possível adicionar tags a pontos de acesso do Amazon S3 e modificá-las. Não há cobrança adicional para usar tags em pontos de acesso além das taxas de solicitação padrão da API do S3. Para obter mais informações, consulte [Preço do Amazon S3](https://docs.aws.amazon.com/s3/pricing/). Para ter mais informações sobre como atribuir tags a pontos de acesso, consulte [Usar tags com pontos de acesso para buckets de uso geral do S3](access-points-tagging.md).
## Permissões
Para adicionar uma tag a um ponto de acesso, você deve ter a seguinte permissão:
+ `s3:TagResource`
## Solucionar de problemas de erros
Se você encontrar um erro ao tentar adicionar uma tag a um ponto de acesso, é possível fazer o seguinte:
+ Verifique se você tem as [Permissões](#access-points-tag-add-permissions) necessárias para adicionar uma tag a um ponto de acesso.
+ Se você tentou adicionar uma chave de tag que começa com o prefixo reservado `aws:` da AWS, altere-a e tente novamente.
## Etapas
É possível adicionar tags a pontos de acesso usando o console do Amazon S3, a AWS Command Line Interface (AWS CLI), a API REST do Amazon S3 e SDKs da AWS.
## Usar o console do S3
Para adicionar tags a um ponto de acesso usando o console do Amazon S3:
1. Faça login no console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Pontos de acesso (buckets de uso geral)**.
1. Escolha o nome do ponto de acesso.
1. Escolha a guia **Properties (Propriedades)**.
1. Role até a seção **Tags** e escolha **Adicionar nova tag**.
1. Isso abre a página **Adicionar tags**. É possível adicionar até cinquenta pares de chave-valor de tag.
1. Se você adicionar uma nova tag com a mesma chave de uma tag existente, o valor da nova sobrescreverá o valor da tag existente.
1. Nessa página, também é possível editar os valor das tags existentes.
1. Depois de adicionar as tags, escolha **Salvar alterações**.
## Usar SDKs da AWS
------
#### [ SDK for Java 2.x ]
Este exemplo mostra como adicionar tags a um ponto de acesso usando o AWS SDK for Java 2.x. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
```
TagResourceRequest tagResourceRequest = TagResourceRequest.builder().resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333)
.tags(List.of(Tag.builder().key("key1").value("value1").build(),
Tag.builder().key("key2").value("value2").build()))
.build();
awss3Control.tagResource(tagResourceRequest);
```
------
## Uso da API REST
Para ter informações sobre a compatibilidade oferecida pela API REST do Amazon S3 para adicionar tags a um ponto de acesso, consulte a seguinte seção na *Referência de API do Amazon Simple Storage Service*:
+ [TagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_TagResource.html)
## Como usar o AWS CLI
Para instalar a AWS CLI, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no *Guia do usuário da versão 2 da AWS Command Line Interface*.
O exemplo da CLI a seguir mostra como adicionar tags a um ponto de acesso usando a AWS CLI. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
**Solicitação:**
```
aws s3control tag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:111122223333:accesspoint/my-access-point/* \
--tags "Key=key1,Value=value1"
```
**Resposta:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 200,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```
# Visualizar tags de um ponto de acesso
É possível visualizar ou listar as tags aplicadas aos pontos de acesso. Para obter mais informações sobre tags, consulte [Usar tags com pontos de acesso para buckets de uso geral do S3](access-points-tagging.md).
## Permissões
Para visualizar as tags aplicadas a um ponto de acesso, você precisa ter a seguinte permissão:
+ `s3:ListTagsForResource`
## Solucionar de problemas de erros
Se você encontrar um erro ao tentar listar ou visualizar as tags de um ponto de acesso, é possível fazer o seguinte:
+ Verifique se você tem as [Permissões](#access-points-tag-view-permissions) necessárias para visualizar ou listar as tags do ponto de acesso.
## Etapas
Você pode visualizar as tags aplicadas a pontos de acesso usando o console do Amazon S3, a AWS Command Line Interface (AWS CLI), a API REST do Amazon S3 e os SDKs da AWS.
## Usar o console do S3
Para adicionar as tags aplicadas a um ponto de acesso usando o console do Amazon S3:
1. Faça login no console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Pontos de acesso (buckets de uso geral)**.
1. Escolha o nome do ponto de acesso.
1. Escolha a guia **Properties (Propriedades)**.
1. Role até a seção **Tags** para visualizar todas as tags aplicadas ao ponto de acesso.
1. Por padrão, a seção **Tags** mostra as **tags definidas elo usuário**. Você pode selecionar a guia **Etiquetas geradas pela AWS** para visualizar as tags aplicadas ao seu ponto acesso pelos serviços da AWS.
## Usar SDKs da AWS
Esta seção oferece um exemplo de como visualizar as tags aplicadas a um ponto de acesso usando os SDKs da AWS.
------
#### [ SDK for Java 2.x ]
Este exemplo mostra como visualizar as tags aplicadas a um ponto de acesso usando o AWS SDK for Java 2.x.
```
ListTagsForResourceRequest listTagsForResourceRequest = ListTagsForResourceRequest
.builder().resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333).build();
awss3Control.listTagsForResource(listTagsForResourceRequest);
```
------
## Uso da API REST
Para ter informações sobre a compatibilidade oferecida pela API REST do Amazon S3 para visualizar as tags aplicadas a um ponto de acesso, consulte a seguinte seção na *Referência de API do Amazon Simple Storage Service*:
+ [ListTagsforResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_ListTagsForResource.html)
## Como usar o AWS CLI
Para instalar a AWS CLI, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no *Guia do usuário da versão 2 da AWS Command Line Interface*.
O exemplo de CLI a seguir mostra como visualizar as tags aplicadas a um ponto de acesso. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
**Solicitação:**
```
aws s3control list-tags-for-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:bucket/prefix--use1-az4--x-s3 \
```
**Resposta: tags presentes:**
```
{
"Tags": [
{
"Key": "MyKey1",
"Value": "MyValue1"
},
{
"Key": "MyKey2",
"Value": "MyValue2"
},
{
"Key": "MyKey3",
"Value": "MyValue3"
}
]
}
```
**Resposta: nenhuma tag presente:**
```
{
"Tags": []
}
```
# Excluir uma tag de um ponto de acesso
É possível remover tags de pontos de acesso do Amazon S3. Uma tag da AWS é um par de chave-valor que contém metadados sobre recursos; neste caso, pontos de acesso. Para obter mais informações sobre tags, consulte [Usar tags com pontos de acesso para buckets de uso geral do S3](access-points-tagging.md).
**nota**
Se você excluir uma tag e depois descobrir que ela estava sendo usada para rastrear custos ou controlar o acesso, poderá adicionar a tag novamente ao ponto de acesso.
## Permissões
Para excluir uma tag de um ponto de acesso, você precisa ter a seguinte permissão:
+ `s3:UntagResource`
## Solucionar de problemas de erros
Se você encontrar um erro ao tentar excluir uma tag de um ponto de acesso, é possível fazer o seguinte:
+ Verifique se você tem as [Permissões](access-points-db-tag-delete.md#access-points-db-tag-delete-permissions) necessárias para excluir uma tag de um ponto de acesso.
## Etapas
Você pode excluir tags de pontos de acesso usando o console do Amazon S3, a AWS Command Line Interface (AWS CLI), a API REST do Amazon S3 e os SDKs da AWS.
## Usar o console do S3
Para excluir tags de um ponto de acesso usando o console do Amazon S3:
1. Faça login no console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Pontos de acesso (buckets de uso geral)**.
1. Escolha o nome do ponto de acesso.
1. Escolha a guia **Properties (Propriedades)**.
1. Role até a seção **Tags** e marque a caixa de seleção ao lado das tags que você gostaria de excluir.
1. Escolha **Excluir**.
1. O pop-up **Excluir etiquetas definidas pelo usuário** é exibido e solicita que você confirme a exclusão das tags selecionadas.
1. Escolha **Delete** para confirmar.
## Usar SDKs da AWS
------
#### [ SDK for Java 2.x ]
Este exemplo mostra como excluir tags de um ponto de acesso usando o AWS SDK for Java 2.x. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
```
UntagResourceRequest tagResourceRequest = UntagResourceRequest.builder()
.resourceArn(arn:aws::s3:region:111122223333:accesspoint/my-access-point/*)
.accountId(111122223333)
.tagKeys(List.of("key1", "key2")).build();
awss3Control.untagResource(tagResourceRequest);
```
------
## Uso da API REST
Para ter informações sobre a compatibilidade oferecida pela API REST do Amazon S3 para excluir tags de um ponto de acesso, consulte a seguinte seção na *Referência de API do Amazon Simple Storage Service*:
+ [UnTagResource](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_UntagResource.html)
## Como usar o AWS CLI
Para instalar a AWS CLI, consulte [Instalar ou atualizar a versão mais recente da AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html) no *Guia do usuário da versão 2 da AWS Command Line Interface*.
O exemplo da CLI a seguir mostra como excluir tags de um ponto de acesso para buckets de diretório usando a AWS CLI. Para usar o comando, substitua os *espaços reservados para entrada do usuário* por suas próprias informações.
**Solicitação:**
```
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:access-point/my-access-point \
--tag-keys "tagkey1" "tagkey2"
aws s3control untag-resource \
--account-id 111122223333 \
--resource-arn arn:aws::s3:region:444455556666:accesspointmy-access-point/* \
--tag-keys "key1" "key2"
```
**Resposta:**
```
{
"ResponseMetadata": {
"RequestId": "EXAMPLE123456789",
"HTTPStatusCode": 204,
"HTTPHeaders": {
"date": "Wed, 19 Jun 2025 10:30:00 GMT",
"content-length": "0"
},
"RetryAttempts": 0
}
}
```