As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Criar um ponto de acesso
Você pode criar e gerenciar pontos de acesso S3 que se conectam aos FSx volumes da Amazon usando o FSx console da Amazon, a CLI, a API e o suporte. SDKs
**nota**
Como talvez você queira divulgar o nome do ponto de acesso do S3 para que outros usuários possam usar o ponto de acesso, evite incluir informações confidenciais no nome do ponto de acesso do S3. Os nomes de ponto de acesso são publicados em um banco de dados acessível ao público conhecido como Sistema de Nome de Domínio (DNS). Para obter mais informações sobre nomes de pontos de acesso, consulte[Regras de nomenclatura de pontos de acesso](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
## Permissões obrigatórias
As seguintes permissões são necessárias para criar um ponto de acesso S3 conectado a um FSx volume da Amazon:
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
A `s3:PutAccessPointPolicy` permissão é necessária para criar uma política de ponto de acesso opcional usando o console Amazon FSx ou S3. Para obter mais informações, consulte [Políticas de pontos de acesso do IAM](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies).
Para criar um ponto de acesso, consulte os tópicos a seguir.
**Topics**
+ [Permissões obrigatórias](#create-ap-permissions)
+ [Criar pontos de acesso](create-access-points.md)
+ [Criar pontos de acesso restritos a uma nuvem privada virtual](access-points-for-fsxn-vpc.md)
# Criar pontos de acesso
**Importante**
Para conectar um ponto de acesso S3 a um volume FSx for ONTAP, o volume deve estar montado (ter um caminho de junção). Consulte a [documentação do ONTAP](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html) para obter mais detalhes.
O volume FSx for ONTAP já deve existir em sua conta ao criar um ponto de acesso S3 para seu volume.
Para criar o ponto de acesso S3 conectado a um volume FSx for ONTAP, você especifica as seguintes propriedades:
+ O nome do ponto de acesso. Para obter informações sobre regras de nomenclatura de pontos de acesso, consulte[Regras de nomenclatura de pontos de acesso](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
+ A identidade do usuário do sistema de arquivos a ser usada para autorizar solicitações de acesso a arquivos feitas usando o ponto de acesso. Especifique no UNIX ou no Windows o nome de usuário POSIX que você deseja incluir. Para obter mais informações, consulte [Identidade e autorização do usuário do sistema de arquivos](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity).
+ A configuração de rede do ponto de acesso determina se o ponto de acesso pode ser acessado pela Internet ou se o acesso está restrito a uma nuvem privada virtual (VPC) específica. Para obter mais informações, consulte [Criar pontos de acesso restritos a uma nuvem privada virtual](access-points-for-fsxn-vpc.md).
## Para criar um ponto de acesso S3 conectado a um FSx volume (FSx console)
1. Abra o FSx console da Amazon em [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Na barra de navegação na parte superior da página, escolha aquele Região da AWS em que você deseja criar um ponto de acesso. O ponto de acesso deve ser criado na mesma região do volume associado.
1. No painel de navegação à esquerda, selecione **Volumes**.
1. Na página **Volumes**, escolha o FSx volume do ONTAP ao qual você deseja conectar o ponto de acesso.
1. Exiba a página **Criar ponto de acesso S3** escolhendo **Criar ponto de acesso S3** no menu **Ações**.
1. **Em Nome do ponto de acesso**, insira o nome do ponto de acesso. Para obter mais informações sobre diretrizes e restrições para nomes de pontos de acesso, consulte[Regras de nomenclatura de pontos de acesso](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
Os **detalhes da fonte de dados** são preenchidos com as informações do volume que você escolheu na Etapa 3.
1. A identidade do usuário do sistema de arquivos é usada pela Amazon FSx para autenticar solicitações de acesso a arquivos feitas usando esse ponto de acesso. Certifique-se de que o usuário do sistema de arquivos especificado tenha as permissões corretas no volume FSx for ONTAP.
Em **Tipo de identidade de usuário do sistema de arquivos**, selecione UNIX ou Windows.
1. Em **Nome de usuário**, insira o nome de usuário do usuário.
1. No painel **Configuração de rede**, você escolhe se o ponto de acesso pode ser acessado pela Internet ou se o acesso é restrito a uma nuvem privada virtual específica.
Em **Origem da rede**, escolha **Internet** para tornar o ponto de acesso acessível pela Internet ou escolha **Nuvem privada virtual (VPC)** e insira a **ID da VPC** a partir da qual você deseja limitar o acesso ao ponto de acesso.
Para obter mais informações sobre origens de rede para pontos de acesso, consulte [Criar pontos de acesso restritos a uma nuvem privada virtual](access-points-for-fsxn-vpc.md).
1. (Opcional) Em **Política de ponto de acesso - *opcional***, especifique uma política de ponto de acesso opcional. Certifique-se de resolver quaisquer avisos, erros e sugestões de políticas. Para obter mais informações sobre a especificação de uma política de ponto de acesso, consulte [Como configurar políticas do IAM para usar pontos de acesso no Guia](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) *do usuário do Amazon Simple Storage Service*.
1. Escolha **Criar ponto de acesso** para revisar a configuração do anexo do ponto de acesso.
## Para criar um ponto de acesso S3 conectado a um FSx volume (CLI)
O comando de exemplo a seguir cria um ponto de acesso chamado *`my-ontap-ap`* que é anexado ao volume FSx for ONTAP *`fsvol-0123456789abcdef9`* na conta*`111122223333`*.
```
$ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json
```
Para uma solicitação bem-sucedida, o sistema responde devolvendo o novo anexo do ponto de acesso S3.
```
$ {
{
"S3AccessPointAttachment": {
"CreationTime": 1728935791.8,
"Lifecycle": "CREATING",
"LifecycleTransitionReason": {
"Message": "string"
},
"Name": "my-ontap-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "ec2-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-0123467"
}
}
}
}
```
# Criar pontos de acesso restritos a uma nuvem privada virtual
Ao criar um ponto de acesso, você pode optar por tornar o ponto de acesso acessível pela Internet ou especificar que todas as solicitações feitas por meio desse ponto de acesso devem ser originadas de uma Amazon Virtual Private Cloud específica. Considera-se que um ponto de acesso acessível da Internet tem uma origem de rede da `Internet`. Ele pode ser usado de qualquer lugar na Internet, sujeito a quaisquer outras restrições de acesso em vigor para o ponto de acesso, bucket subjacente ou FSx volume da Amazon e recursos relacionados, como os objetos solicitados. Um ponto de acesso que só é acessível a partir de uma Amazon VPC especificada tem uma origem de rede de`VPC`, e o Amazon S3 rejeita qualquer solicitação feita ao ponto de acesso que não seja originária dessa Amazon VPC.
**Importante**
Você só pode especificar a origem da rede de um ponto de acesso ao criá-lo. Depois de criar o ponto de acesso, não é possível alterar a origem da rede.
Para restringir um ponto de acesso ao acesso exclusivo do Amazon VPC, você inclui o `VpcConfiguration` parâmetro na solicitação para criar o ponto de acesso. No `VpcConfiguration` parâmetro, você especifica o ID da Amazon VPC que deseja que possa usar no ponto de acesso. Se uma solicitação for feita por meio do ponto de acesso, a solicitação deverá ser originada da Amazon VPC ou o Amazon S3 a rejeitará.
Você pode recuperar a origem da rede de um ponto de acesso usando o AWS CLI AWS SDKs, ou REST APIs. Se um ponto de acesso tiver uma configuração da Amazon VPC especificada, sua origem de rede será. `VPC` Caso contrário, a origem da rede do ponto de acesso será `Internet`.
**Example**
***Exemplo: Crie um ponto de acesso restrito ao acesso à Amazon VPC***
O exemplo a seguir cria um ponto de acesso com o nome `example-vpc-ap` de bucket `amzn-s3-demo-bucket` na conta `123456789012` que permite acesso somente a partir da `vpc-1a2b3c` Amazon VPC. O exemplo verifica se o novo ponto de acesso tem uma origem de rede da `VPC`.
```
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
```
```
$ {
{
"S3AccessPointAttachment": {
"Lifecycle": "CREATING",
"CreationTime": 1728935791.8,
"Name": "example-vpc-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "my-unix-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
"Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
}
}
}
}
```
Para usar um ponto de acesso com uma Amazon VPC, você deve modificar a política de acesso para seu endpoint da Amazon VPC. Os endpoints do Amazon VPC permitem que o tráfego flua do seu Amazon VPC para o Amazon S3. Eles têm políticas de controle de acesso que controlam como os recursos dentro da Amazon VPC podem interagir com o Amazon S3. As solicitações de sua Amazon VPC para o Amazon S3 só são bem-sucedidas por meio de um ponto de acesso se a política de endpoint da Amazon VPC conceder acesso ao ponto de acesso e ao bucket subjacente.
**nota**
Para tornar os recursos acessíveis somente dentro de uma Amazon VPC, certifique-se de criar uma [zona hospedada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) para seu endpoint da Amazon VPC. Para usar uma zona hospedada privada, [modifique suas configurações da Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) para que os [atributos `enableDnsHostnames` da rede Amazon VPC estejam definidos](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) como. `enableDnsSupport` `true`
O exemplo de declaração de política a seguir configura um endpoint da Amazon VPC para permitir chamadas e um ponto de `GetObject` acesso chamado. `example-vpc-ap`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**nota**
A declaração `Resource` neste exemplo usa um nome de recurso da Amazon (ARN) para especificar o ponto de acesso.
*Para obter mais informações sobre as políticas de endpoint da Amazon VPC, consulte [Endpoints de gateway para Amazon S3 no Guia do usuário da](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) Amazon VPC.*