As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando o acesso à rede para pontos de acesso do Amazon S3
Ao criar um ponto de acesso Amazon S3 para um volume FSx for ONTAP, você configura como o ponto de acesso pode ser alcançado pela rede e quem está autorizado a usá-lo. Esta seção ajuda você a escolher a configuração correta de rede e controle de acesso para seu ambiente.
Esta seção aborda as camadas de autorização da rede e do IAM — especificamente, a origem da rede do ponto de acesso, os endpoints da VPC, as políticas do ponto de acesso, as políticas de endpoint da VPC, as políticas de identidade do IAM e as políticas de controle de serviços. Para obter informações sobre autorização em nível de sistema de arquivos (permissões de usuário do UNIX e do Windows), consulte. [Identidade e autorização do usuário do sistema de arquivos](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity)
**Topics**
+ [Como o Amazon S3 avalia as solicitações de pontos de acesso](#s3-ap-request-evaluation)
+ [Escolhendo uma origem de rede](#s3-ap-choosing-network-origin)
+ [Como funciona a fiscalização da origem da VPC](#s3-ap-vpc-origin-enforcement)
+ [Usando endpoints VPC com pontos de acesso Amazon S3](#s3-ap-vpc-endpoints)
+ [Políticas de ponto de acesso](#s3-ap-policies-network)
+ [Cenários de exemplo](#s3-ap-example-scenarios)
+ [Solução de problemas de acesso à rede](#s3-ap-troubleshooting-network)
## Como o Amazon S3 avalia as solicitações de pontos de acesso
Quando uma solicitação é feita por meio de um ponto de acesso Amazon S3 conectado a um volume FSx for ONTAP, a solicitação deve ser autorizada por todas as seguintes camadas:
+ **Verificação da origem da rede** — Se o ponto de acesso tiver uma origem na rede VPC, a solicitação deverá chegar por meio de um VPC endpoint na VPC vinculada. Caso contrário, a solicitação será negada antes que qualquer avaliação de política ocorra.
+ **Política de VPC endpoint** — se a solicitação atravessar um VPC endpoint, a política do endpoint deve permitir a ação no recurso do ponto de acesso.
+ **política de ponto de** acesso — A política de recursos do IAM do ponto de acesso é avaliada. Para acesso à mesma conta, a política de ponto de acesso ou a política de identidade do chamador podem conceder acesso. Para acesso entre contas, ambos devem permitir.
+ **Política de identidade do IAM** — A política baseada em identidade do principal solicitante é avaliada em relação ao recurso de ponto de acesso.
+ **Políticas de controle de serviços (SCPs)** — Se a conta fizer parte de uma organização da AWS Organizations, qualquer SCPs aplicável deverá permitir a ação.
A verificação da origem da rede ocorre antes da avaliação da política. As camadas restantes são avaliadas em conjunto como parte da decisão de autorização padrão do IAM — uma negação explícita em **qualquer** camada substitui as instruções Permitir em outras camadas.
## Escolhendo uma origem de rede
Ao criar um ponto de acesso do Amazon S3, você escolhe uma **origem de rede** que determina como o ponto de acesso pode ser alcançado. Você não pode alterar a origem da rede após a criação.
### Origem da Internet
Um ponto de acesso com origem de rede na Internet é semelhante à forma como os buckets do S3 são acessados por padrão. **Todas as solicitações ainda exigem credenciais e autorização válidas do IAM** — origem na Internet não significa acesso público ou anônimo. O Amazon S3 impõe o Block Public Access em todos os pontos de acesso conectados ao FSx para volumes ONTAP, e você não pode desativar essa configuração.
Com a origem na Internet, as solicitações autenticadas podem vir de qualquer lugar: VPCs, redes locais, outras AWS contas ou da Internet pública. Você controla quais chamadores autenticados são permitidos usando a política de ponto de acesso e as políticas de identidade do IAM.
Com a origem na Internet, você controla o acesso usando a política de ponto de acesso e as políticas de identidade do IAM. Para chamadores da mesma conta, use instruções de negação explícitas na política de ponto de acesso para restringir o acesso — uma Allow-only política não é suficiente porque a política de identidade do IAM do chamador pode conceder acesso de forma independente. Para chamadores de várias contas, a política de ponto de acesso deve permitir explicitamente a solicitação, portanto, omitir uma permissão é suficiente para bloquear o acesso.
### Origem do VPC
Um ponto de acesso com origem na rede VPC está vinculado a uma VPC específica e se comporta efetivamente como uma declaração de política de negação explícita que rejeita qualquer solicitação que não corresponda à VPC vinculada. `aws:SourceVpc` Como uma negação explícita sempre substitui qualquer permissão, até mesmo uma política de ponto de acesso totalmente permissiva ou uma política de identidade do IAM não podem conceder acesso a solicitações de fora da VPC vinculada.
Os chamadores fora da VPC vinculada ainda podem acessar o ponto de acesso se o tráfego for roteado por meio de um endpoint de VPC na VPC vinculada — por exemplo, via emparelhamento de VPC ou Transit Gateway para um endpoint de interface do Amazon S3 implantado na VPC vinculada.
### Principais diferenças
| | Origem da Internet | Origem do VPC |
| --- | --- | --- |
| Aplicação da rede | Nenhum — acesso controlado somente pela política | Efetivamente, uma negação explícita para solicitações que não chegam por meio de um endpoint de VPC na VPC vinculada |
| Multi-VPC access | Suportado por meio de condições políticas | Compatível se os chamadores fizerem roteamento por meio de um endpoint de interface na VPC vinculada (via emparelhamento de VPC ou Transit Gateway) |
| Alterar escopo de acesso | Atualize a política | É necessário recriar o ponto de acesso para alterar a VPC vinculada |
| É necessário um endpoint VPC | Somente se estiver usando aws:SourceVpc condições | Sim — as solicitações devem passar por um endpoint na VPC vinculada |
## Como funciona a fiscalização da origem da VPC
Quando um ponto de acesso tem origem na rede VPC, ele se comporta efetivamente como se houvesse uma declaração de política de negação explícita que nega todas as solicitações que `aws:SourceVpc` não sejam iguais ao ID da VPC especificado no ponto de acesso. `VpcConfiguration` Essa negação se aplica a todos os diretores, a todas as ações do Amazon S3 e a todos os recursos dentro do ponto de acesso.
Como essa é uma negação explícita, ela substitui qualquer declaração de permissão, seja na política de ponto de acesso, na política de identidade do IAM do chamador ou em qualquer outra política.
Na prática, isso significa:
+ As solicitações devem chegar por meio de um endpoint de VPC (gateway ou interface) implantado na VPC vinculada, porque somente os endpoints de VPC preenchem o atributo na solicitação. `aws:SourceVpc`
+ Solicitações de outras VPCs são negadas porque seus endpoints de VPC são `aws:SourceVpc` preenchidos com um ID de VPC diferente.
+ Solicitações da Internet são negadas, porque não `aws:SourceVpc` está presente na solicitação.
É também por isso que a mensagem de erro para solicitações negadas diz “negação explícita em uma política baseada em recursos”.
**Importante**
Você não pode alterar a origem da rede de um ponto de acesso após a criação. Se você precisar mudar da origem da VPC para a origem da Internet (ou vice-versa), exclua o ponto de acesso e crie um novo.
### Origem do VPC versus origem da Internet com uma negação explícita
Um ponto de VPC-origin acesso e um ponto de acesso de origem na Internet com uma `StringNotEquals aws:SourceVpc` negação escrita manualmente obtêm um resultado semelhante — ambos negam solicitações que não são da VPC especificada. A principal diferença é:
+ **Origem da VPC**: o Deny é incorporado à configuração da VPC do ponto de acesso. Você não pode removê-lo acidentalmente ou configurá-lo incorretamente.
+ **Origem da Internet com Deny**: Você mesmo escreve e gerencia o Deny. Isso oferece mais flexibilidade (por exemplo, permitindo várias VPCs), mas também mais responsabilidade — se o Deny estiver ausente ou configurado incorretamente, a restrição não será aplicada.
## Usando endpoints VPC com pontos de acesso Amazon S3
Os pontos de acesso do Amazon S3 funcionam com os dois tipos de endpoints VPC para o Amazon S3. O tipo de endpoint de que você precisa depende de onde seus chamadores estão localizados.
### Endpoints de gateway
Os endpoints do gateway são gratuitos e baseados em tabelas de rotas. Quando você cria um endpoint do Gateway, uma rota é adicionada às tabelas de rotas especificadas que direciona o tráfego do Amazon S3 pelo endpoint. Essa rota se aplica somente ao tráfego **originado na VPC**.
Use endpoints do Gateway para:
+ **Instâncias do Amazon EC2, funções Lambda, tarefas do Amazon ECS e outros recursos computacionais dentro da VPC**
Os endpoints **do gateway não roteiam** o tráfego que entra na VPC a partir de:
+ On-premises redes via VPN ou Direct Connect
+ VPCs emparelhadas
+ Conexões do Transit Gateway
Para obter mais informações, consulte [Endpoints de gateway para Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html) S3 no Guia do usuário da *Amazon VPC*.
### Endpoints de interface
Os endpoints de interface criam uma interface de rede elástica (ENI) com um endereço IP privado em sua sub-rede. O tráfego deve ser direcionado explicitamente para o nome DNS ou IP privado do endpoint.
Use endpoints de interface para:
+ On-premises chamadores acessando o Amazon S3 via VPN ou Direct Connect
+ Cross-account chamadores acessando o Amazon S3 via emparelhamento de VPC
+ Qualquer cenário em que o tráfego entre na VPC de fora
Ao usar um endpoint de interface, os chamadores devem:
+ Use o `--endpoint-url` parâmetro apontando para o nome DNS do endpoint da interface ou
+ Configure o DNS para resolver os endpoints do Amazon S3 para o IP privado do endpoint da interface (usando o Route 53 Resolver ou o encaminhamento de DNS local)
Os endpoints de interface têm cobranças por hora e por GB. Para obter mais informações, consulte [Preços do AWS PrivateLink](https://aws.amazon.com/privatelink/pricing/).
### Usando os dois tipos de endpoint juntos
Você pode implantar um endpoint de gateway e um endpoint de interface na mesma VPC. Essa configuração é útil quando você tem chamadores no VPC e no local:
+ **Endpoint de gateway**: gerencia o tráfego na VPC (gratuito, transparente)
+ **Endpoint de interface**: manipula o tráfego local que entra via VPN ou Direct Connect (requer configuração de DNS ou) `--endpoint-url`
Ambos os tipos de endpoint preenchem o `aws:SourceVpc` atributo com o ID da VPC, portanto, ambos satisfazem a condição de negação da origem da VPC.
### Políticas de VPC endpoint
As políticas de endpoint da VPC controlam quais recursos do Amazon S3 podem ser acessados por meio do endpoint. Por padrão, um VPC endpoint permite todas as ações do Amazon S3 em todos os recursos. Você pode definir o escopo da política de endpoint para permitir somente pontos de acesso específicos:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
]
}
]
}
```
## Políticas de ponto de acesso
Os pontos de acesso do Amazon S3 oferecem suporte a políticas de recursos AWS Identity and Access Management (IAM) que permitem controlar o uso do ponto de acesso por recurso, usuário ou outras condições. Para acesso entre contas, tanto a política de ponto de acesso quanto a política de identidade do IAM do chamador devem permitir a solicitação. Para acesso à mesma conta, a política de ponto de acesso ou a política de identidade do IAM do chamador podem conceder acesso de forma independente. Para restringir os chamadores da mesma conta, use instruções Negar explícitas na política do ponto de acesso. Se a solicitação passar por um VPC endpoint, a política de VPC endpoint também deverá permitir a solicitação.
Para obter mais informações sobre políticas de pontos de acesso, consulte [Como configurar políticas do IAM para usar pontos de acesso](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) no *Guia do usuário do Amazon Simple Storage Service*.
### Chaves de condição para controle de acesso baseado em rede
O IAM fornece chaves de condição globais que você pode usar em políticas de pontos de acesso para controlar o acesso com base nas propriedades de rede da solicitação. Essas chaves de condição são incluídas no contexto da solicitação somente em circunstâncias específicas, conforme descrito na tabela a seguir.
| Chave de condição | Disponibilidade | Description |
| --- | --- | --- |
| aws:SourceVpc | Incluído no contexto da solicitação somente se o solicitante usar um VPC endpoint para fazer a solicitação. | Verifica se a solicitação viaja pela VPC à qual o VPC endpoint está conectado. Use essa chave para permitir o acesso somente a uma VPC específica. |
| aws:SourceVpce | Incluído no contexto da solicitação somente se o solicitante usar um VPC endpoint para fazer a solicitação. | O ID do VPC endpoint por meio do qual a solicitação foi feita. |
| aws:VpcSourceIp | Incluído no contexto da solicitação somente se a solicitação for feita usando um VPC endpoint. | Compara o endereço IP do qual uma solicitação foi feita com o endereço IP especificado na política. Corresponde somente se a solicitação for originada do endereço IP especificado e passar por um VPC endpoint. |
| aws:SourceIp | Incluído no contexto da solicitação somente se a solicitação não atravessar um VPC endpoint. | O endereço IP público do chamador. Não disponível para solicitações feitas por meio de um VPC endpoint. |
**Importante**
`aws:SourceIp`e `aws:VpcSourceIp` são mutuamente exclusivos. Quando uma solicitação passa por um VPC endpoint, não `aws:SourceIp` está disponível — use em vez disso. `aws:VpcSourceIp` Quando uma solicitação vem da Internet (sem um VPC endpoint), não `aws:VpcSourceIp` está disponível — use em vez disso. `aws:SourceIp`
**Importante**
A chave de condição diferencia `aws:VpcSourceIp` maiúsculas de minúsculas.
Para obter mais informações sobre as chaves de condição globais do IAM, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.
## Cenários de exemplo
Os seguintes exemplos de cenários mostram configurações comuns para pontos de acesso do Amazon S3 conectados ao FSx para volumes ONTAP. Cada cenário inclui a origem de rede recomendada, o tipo de endpoint VPC e a política de ponto de acesso.
### Acesso único à VPC
**Caso de uso:** instâncias do Amazon EC2, funções Lambda ou tarefas do Amazon ECS em uma única VPC acessam o ponto de acesso. Não é necessário acesso externo.
**Com a origem da rede VPC:**
A configuração de origem da VPC nega efetivamente solicitações quando `aws:SourceVpc` não corresponde à VPC vinculada. Solicitações de outras VPCs, da Internet ou de redes locais são negadas. Você pode usar um endpoint VPC Gateway ou Interface Amazon S3.
**Exemplo de política de ponto de acesso (origem VPC):** com a origem VPC, a restrição de rede é incorporada. A política de ponto de acesso só precisa conceder as permissões desejadas.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::{{123456789012}}:role/{{my-app-role}}"},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
]
}
]
}
```
**Com origem na rede da Internet:**
Com a origem na Internet, você restringe o acesso à VPC usando `aws:SourceVpc` condições na política do ponto de acesso (com uma negação explícita). É necessário um VPC endpoint para que `aws:SourceVpc` seja preenchido na solicitação.
**Exemplo de política de ponto de acesso (origem na Internet):** a política inclui uma condição Permitir com uma VPC e uma Negação para solicitações que não sejam da VPC.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {"AWS": "arn:aws:iam::{{123456789012}}:role/{{my-app-role}}"},
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
],
"Condition": {
"StringEquals": {"aws:SourceVpc": "{{vpc-1a2b3c4d}}"}
}
},
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}",
"arn:aws:s3:{{us-east-1}}:{{123456789012}}:accesspoint/{{my-access-point}}/object/*"
],
"Condition": {
"StringNotEquals": {"aws:SourceVpc": "{{vpc-1a2b3c4d}}"}
}
}
]
}
```
**nota**
As declarações Permitir e Negar são obrigatórias na política de pontos de acesso. Sem a declaração Deny, a restrição de VPC pode não ser aplicada a todos os chamadores.
| | Origem do VPC | Origem da Internet |
| --- | --- | --- |
| Aplicação da rede | Built-in Negar | Policy-based (Permitir \+ Negar) |
| Endpoint da VPC | Obrigatório (gateway ou interface) | Obrigatório (paraaws:SourceVpc) |
| política de pontos de acesso | Mínimo — o Deny incorporado lida com a restrição | Deve incluir aws:SourceVpc Permitir \+ Negar |
### On-premises e acesso VPC
**Caso de uso:** tanto usuários locais (via VPN ou Direct Connect) quanto recursos de computação na VPC acessam o ponto de acesso. Todo o tráfego permanece privado.
**Importante**
Os endpoints do gateway não roteiam o tráfego que entra na VPC a partir de conexões VPN, Direct Connect ou Transit Gateway. On-premises os chamadores devem usar um endpoint da interface Amazon S3. Para mais detalhes, consulte [Usando endpoints VPC com pontos de acesso Amazon S3](#s3-ap-vpc-endpoints).
Tanto o endpoint do Gateway (tráfego na VPC) quanto o endpoint da interface (tráfego local) estão na mesma VPC, portanto, ambos satisfazem a condição de negação da origem da VPC.
| | Origem do VPC | Origem da Internet |
| --- | --- | --- |
| In-VPC endpoint | Gateway (gratuito) | Gateway (paraaws:SourceVpc) |
| On-prem endpoint | Interface (obrigatório) | Interface (obrigatório) |
| On-prem DNS | Resolva o Amazon S3 para fazer a interface IP do endpoint | Resolva o Amazon S3 para fazer a interface IP do endpoint |
### Multi-VPC acesso
**Caso de uso:** os chamadores em várias VPCs precisam acessar o mesmo ponto de acesso. Por exemplo, aplicativos em VPCs separadas na mesma conta ou VPCs em contas diferentes conectadas por meio de emparelhamento de VPC ou Transit Gateway.
Há duas abordagens para o acesso a várias VPCs, dependendo se você deseja usar controles baseados em políticas ou a imposição da rede de origem da VPC.
**Opção 1: origem da Internet com um endpoint de gateway em cada VPC**
Cada VPC tem seu próprio endpoint do Amazon S3 Gateway. Os chamadores em cada VPC acessam o ponto de acesso por meio do endpoint local do Gateway, que é `aws:SourceVpc` preenchido na solicitação. A política de ponto de acesso restringe o acesso às IDs de VPC permitidas.
+ **Origem da rede:** Internet
+ **Endpoints VPC: endpoint do Amazon S3** Gateway em cada VPC (gratuito, sem necessidade de configuração adicional)
+ **política de ponto de acesso:** permitir a `aws:SourceVpc` listagem de todos os IDs de VPC, além de uma negação com `StringNotEquals`
**nota**
As declarações Permitir e Negar são obrigatórias na política de pontos de acesso. Sem a declaração Deny, a restrição de VPC pode não ser aplicada a todos os chamadores.
Essa opção é mais simples de configurar porque cada VPC opera de forma independente — nenhum emparelhamento de VPC ou Transit Gateway é necessário. Para adicionar ou remover VPCs, atualize a política de pontos de acesso.
**Opção 2: origem da VPC com um endpoint de interface centralizado**
Uma VPC hospeda um endpoint de interface Amazon S3, e o ponto de acesso é criado com a origem da VPC vinculada a essa VPC. Outras VPCs roteiam seu tráfego do Amazon S3 para o endpoint da interface por meio do emparelhamento de VPC ou do Transit Gateway. Como todas as solicitações chegam por meio de um endpoint na VPC vinculada, elas satisfazem a imposição de origem da VPC.
+ **Origem da rede:** VPC (vinculada à VPC que hospeda o endpoint da interface)
+ **VPC endpoints: endpoint da interface Amazon S3** na VPC vinculada
+ **Conectividade: emparelhamento** de VPC ou Transit Gateway entre as outras VPCs e a VPC vinculada
+ **política de ponto de acesso:** mínima — a imposição de origem da VPC lida com a restrição de rede
+ **Configuração do chamador:** os chamadores em outras VPCs devem usar `--endpoint-url` nossa configuração de DNS para rotear solicitações pelo endpoint da interface
Essa opção fornece uma fiscalização mais forte porque a restrição de origem da VPC não pode ser contornada por meio de mudanças na política. No entanto, ele exige emparelhamento de VPC ou conectividade do Transit Gateway, e o endpoint da interface tem cobranças por hora e por GB. Para obter mais informações sobre endpoints de interface, consulte AWS PrivateLink o [Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html) S3 no Guia do usuário do *Amazon Simple Storage Service*.
## Solução de problemas de acesso à rede
Quando uma solicitação de ponto de acesso do Amazon S3 falha, a mensagem de erro geralmente não indica qual camada de autorização negou a solicitação. Use as orientações a seguir para diagnosticar problemas comuns.
### AccessDenied com “negação explícita em uma política baseada em recursos”
Esse erro pode vir de várias fontes. Execute as seguintes verificações na ordem:
**1. Verifique a negação de origem da VPC (somente pontos de VPC-origin acesso)**
Se o ponto de acesso tiver uma origem de rede VPC, ele efetivamente negará solicitações que `aws:SourceVpc` não correspondam à VPC vinculada. Verificar se:
+ Um VPC endpoint (gateway ou interface) existe na VPC vinculada.
+ O tráfego do chamador está passando por esse endpoint. Para chamadores na VPC, verifique se a tabela de rotas do endpoint do Gateway está associada à sub-rede do chamador. Para chamadores locais, verifique se eles estão usando um endpoint de interface (endpoints de gateway não roteiam tráfego de VPN ou Direct Connect).
+ O chamador está na VPC vinculada, não em uma VPC emparelhada. As solicitações de VPCs emparelhadas são negadas, a menos que sejam roteadas por meio de um endpoint de interface na VPC vinculada.
**2. Verifique a política de VPC endpoint**
Se a solicitação passar por um VPC endpoint, a política do endpoint deverá permitir a ação no recurso do ponto de acesso. A política de endpoint padrão permite todas as ações em todos os recursos. Se você definiu o escopo da política, verifique se ela inclui o ARN do ponto de acesso.
**3. Verifique a política de pontos de acesso**
Verifique se a política de ponto de acesso permite o principal solicitante. Verifique se há declarações de negação com condições que possam corresponder à solicitação.
**4. Verifique a política de identidade do IAM do chamador**
A função do IAM ou o usuário do chamador devem ter permissões para realizar a ação do Amazon S3 no ARN do ponto de acesso.
**5. Verifique as políticas de controle de serviço (SCPs)**
Se a conta fizer parte de uma organização AWS Organizations, verifique se nenhum SCPs nega as ações do Amazon S3 no ponto de acesso.
### On-premises os chamadores recebem, AccessDenied mas os chamadores na VPC são bem-sucedidos
Isso normalmente significa que o tráfego local não está sendo roteado por meio de um VPC endpoint:
+ **Os endpoints do gateway não roteiam o tráfego local.** O tráfego que entra na VPC a partir de conexões VPN, Direct Connect ou Transit Gateway não é afetado pelas rotas de endpoint do Gateway. Crie um endpoint de interface do Amazon S3 para chamadores locais.
+ Verifique se o grupo de segurança do endpoint da interface permite a entrada de HTTPS (porta 443) do CIDR local.
+ Verifique se o DNS local resolve os endpoints do Amazon S3 para o IP privado do endpoint da interface ou que os chamadores usam. `--endpoint-url`
### As condições da política de pontos de acesso parecem não ter efeito
+ **Allow-only as políticas não restringem o acesso.** Se você usar condições (como`aws:SourceVpc`) somente em uma instrução Allow sem uma Deny correspondente, a política de identidade do IAM do chamador poderá conceder acesso de forma independente. Adicione uma declaração Deny explícita com a condição inversa.
+ **Sensibilidade de maiúsculas** A chave de condição diferencia `aws:VpcSourceIp` maiúsculas de minúsculas.
+ **Chaves de condição mutuamente exclusivas.** `aws:SourceIp`e `aws:VpcSourceIp` são mutuamente exclusivos. `aws:SourceIp`não está disponível quando a solicitação atravessa um VPC endpoint — use em vez disso. `aws:VpcSourceIp` Por outro lado, não `aws:VpcSourceIp` está disponível para solicitações pela Internet — use`aws:SourceIp`. Isso se aplica a todas as políticas que usam essas chaves de condição, incluindo políticas de ponto de acesso, políticas de endpoint de VPC e políticas de identidade do IAM.