As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Criar pontos de acesso restritos a uma nuvem privada virtual
<a name="access-points-for-fsxn-vpc"></a>

Ao criar um ponto de acesso, você pode optar por tornar o ponto de acesso acessível pela Internet ou especificar que todas as solicitações feitas por meio desse ponto de acesso devem ser originadas de uma Amazon Virtual Private Cloud específica. Considera-se que um ponto de acesso acessível da Internet tem uma origem de rede da `Internet`. Ele pode ser usado de qualquer lugar na Internet, sujeito a quaisquer outras restrições de acesso em vigor para o ponto de acesso, bucket subjacente ou FSx volume da Amazon e recursos relacionados, como os objetos solicitados. Um ponto de acesso que só é acessível a partir de uma Amazon VPC especificada tem uma origem de rede de`VPC`, e o Amazon S3 rejeita qualquer solicitação feita ao ponto de acesso que não seja originária dessa Amazon VPC.

**Importante**  
Você só pode especificar a origem da rede de um ponto de acesso ao criá-lo. Depois de criar o ponto de acesso, não é possível alterar a origem da rede.

Para restringir um ponto de acesso ao acesso exclusivo do Amazon VPC, você inclui o `VpcConfiguration` parâmetro na solicitação para criar o ponto de acesso. No `VpcConfiguration` parâmetro, você especifica o ID da Amazon VPC que deseja que possa usar no ponto de acesso. Se uma solicitação for feita por meio do ponto de acesso, a solicitação deverá ser originada da Amazon VPC ou o Amazon S3 a rejeitará. 

Você pode recuperar a origem da rede de um ponto de acesso usando o AWS CLI AWS SDKs, ou REST APIs. Se um ponto de acesso tiver uma configuração da Amazon VPC especificada, sua origem de rede será. `VPC` Caso contrário, a origem da rede do ponto de acesso será `Internet`.

**Example**  
***Exemplo: Crie um ponto de acesso restrito ao acesso à Amazon VPC***  
O exemplo a seguir cria um ponto de acesso com o nome `example-vpc-ap` de bucket `amzn-s3-demo-bucket` na conta `123456789012` que permite acesso somente a partir da `vpc-1a2b3c` Amazon VPC. O exemplo verifica se o novo ponto de acesso tem uma origem de rede da `VPC`.  

```
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
   VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
   --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
```

```
$ {
  {
     "S3AccessPointAttachment": {
        "Lifecycle": "CREATING",
        "CreationTime": 1728935791.8,
        "Name": "example-vpc-ap",
        "OntapConfiguration": {
            "VolumeId": "fsvol-0123456789abcdef9",
            "FileSystemIdentity": {
                "Type": "UNIX",
                "UnixUser": {
                    "Name": "my-unix-user"
                }
            }
        },
        "S3AccessPoint": {
            "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
            "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
            "VpcConfiguration": { 
                "VpcId": "vpc-1a2b3c"
            }
        }
     }
  }
```

Para usar um ponto de acesso com uma Amazon VPC, você deve modificar a política de acesso para seu endpoint da Amazon VPC. Os endpoints do Amazon VPC permitem que o tráfego flua do seu Amazon VPC para o Amazon S3. Eles têm políticas de controle de acesso que controlam como os recursos dentro da Amazon VPC podem interagir com o Amazon S3. As solicitações de sua Amazon VPC para o Amazon S3 só são bem-sucedidas por meio de um ponto de acesso se a política de endpoint da Amazon VPC conceder acesso ao ponto de acesso e ao bucket subjacente.

**nota**  
Para tornar os recursos acessíveis somente dentro de uma Amazon VPC, certifique-se de criar uma [zona hospedada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) para seu endpoint da Amazon VPC. Para usar uma zona hospedada privada, [modifique suas configurações da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) para que os [atributos `enableDnsHostnames` da rede Amazon VPC estejam definidos](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) como. `enableDnsSupport` `true`

O exemplo de declaração de política a seguir configura um endpoint da Amazon VPC para permitir chamadas e um ponto de `GetObject` acesso chamado. `example-vpc-ap`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
```

------

**nota**  
A declaração `Resource` neste exemplo usa um nome de recurso da Amazon (ARN) para especificar o ponto de acesso. 

*Para obter mais informações sobre as políticas de endpoint da Amazon VPC, consulte [Endpoints de gateway para Amazon S3 no Guia do usuário da](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) Amazon VPC.*