As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando o acesso ao ponto de acesso

Você pode configurar cada ponto de acesso do S3 com permissões e controles de rede distintos que o S3 aplica a qualquer solicitação feita usando esse ponto de acesso. Os pontos de acesso do S3 oferecem suporte a políticas de recursos AWS Identity and Access Management (IAM) que você pode usar para controlar o uso do ponto de acesso por recurso, usuário ou outras condições. Para que um aplicativo ou usuário acesse arquivos por meio de um ponto de acesso, tanto o ponto de acesso quanto o volume subjacente devem permitir a solicitação. Para obter mais informações, consulte Políticas de pontos de acesso do IAM.

Os pontos de acesso do Amazon S3 FSx para ONTAP usam um modelo de autorização de camada dupla que combina permissões do AWS IAM com permissões no nível do sistema de arquivos. Essa abordagem garante que as solicitações de acesso aos dados sejam devidamente autorizadas tanto no nível do AWS serviço quanto no nível do sistema de arquivos subjacente.

Para que um aplicativo ou usuário acesse com êxito os dados por meio de um ponto de acesso, tanto a política de ponto de acesso do S3 quanto a subjacente FSx do volume ONTAP devem permitir a solicitação.

Identidade e autorização do usuário do sistema de arquivos

Ao criar um ponto de acesso S3 para um volume FSx para ONTAP, você especifica uma identidade do sistema de arquivos que será usada para autorizar todas as solicitações do sistema de arquivos feitas por meio desse ponto de acesso. Essa identidade do sistema de arquivos determina qual nível de acesso é concedido aos arquivos e diretórios subjacentes com base no modelo de permissão do sistema de arquivos. O usuário do sistema de arquivos é uma conta de usuário no sistema de FSx arquivos subjacente da Amazon. Se o usuário do sistema de arquivos tiver acesso somente para leitura, somente as solicitações de leitura feitas usando o ponto de acesso serão autorizadas e as solicitações de gravação serão bloqueadas. Se o usuário do sistema de arquivos tiver acesso de leitura e gravação, as solicitações de leitura e gravação no volume conectado feitas usando o ponto de acesso serão autorizadas.

A identidade do sistema de arquivos pode ser de dois tipos:

Quando você especifica uma identidade UNIX ou Windows, todas as operações de API do S3 realizadas por meio do ponto de acesso são autorizadas usando as permissões desse usuário no sistema de arquivos.

A identidade do sistema de arquivos que você associa ao ponto de acesso determina o nível de acesso aos arquivos e diretórios. Por exemplo, se você associar o ponto de acesso à identidade UNIX raiz (UID 0), que normalmente tem permissões completas de acesso a arquivos no sistema de arquivos, todas as operações de arquivo serão autorizadas. Por outro lado, se você associar o ponto de acesso a uma identidade de usuário restrita, as operações de arquivo serão limitadas ao que esse usuário pode acessar com base no modelo de permissão do sistema de arquivos.

Você deve usar o tipo de identidade do sistema de arquivos UNIX para volumes com estilo de segurança UNIX e o tipo de identidade Windows para volumes com estilo de segurança NTFS. Esse alinhamento garante que o modelo de autorização corresponda à configuração de segurança do volume.

Para volumes de estilo de segurança UNIX, o sistema de arquivos usa mode-bits ou NFSv4 ACLs para controlar o acesso. Para volumes de estilo de segurança NTFS, o sistema de arquivos usa o Windows ACLs para controlar o acesso.

Autorização de solicitação da API S3

Quando você faz uma solicitação de API do S3 por meio de um ponto de acesso anexado a um volume FSx for NetApp ONTAP, o Amazon S3 avalia as permissões do IAM do principal chamador em relação à política de recursos do IAM do ponto de acesso. O chamador principal do IAM deve ter as permissões necessárias concedidas por meio de suas políticas baseadas em identidade, e a política de recursos do ponto de acesso também deve permitir a ação solicitada.

O Amazon S3 avalia todas as políticas relevantes, incluindo políticas de usuário, política de pontos de acesso, políticas de endpoints de VPC e políticas de controle de serviços, para determinar se a solicitação deve ser autorizada.

Você também pode configurar um ponto de acesso S3 para aceitar somente solicitações de uma nuvem privada virtual (VPC) específica para restringir o acesso aos dados. Para obter mais informações, consulte Criar pontos de acesso restritos a uma nuvem privada virtual.

Bloqueio de acesso público do S3

Os pontos de acesso do Amazon S3 conectados a um volume FSx for ONTAP são configurados automaticamente com o bloqueio de acesso público ativado, o que você não pode alterar.

Políticas de pontos de acesso do IAM

Os pontos de acesso do Amazon S3 oferecem suporte a políticas de recursos AWS Identity and Access Management (IAM) que permitem controlar o uso do ponto de acesso por recurso, usuário ou outras condições. Para que um aplicativo ou usuário possa acessar objetos por meio de um ponto de acesso, tanto o ponto de acesso quanto a fonte de dados subjacente devem permitir a solicitação.

A s3:PutAccessPointPolicy permissão é necessária para criar uma política de ponto de acesso opcional.

Depois de conectar um ponto de acesso S3 a um FSx volume da Amazon, todas as operações existentes no volume continuarão funcionando como antes. As restrições que você incluir em uma política de ponto de acesso se aplicam somente a solicitações feitas por meio desse ponto de acesso. Para obter mais informações, consulte Configurar políticas do IAM para usar pontos de acesso no Guia do usuário do Amazon Simple Storage Service.

Você pode configurar uma política de ponto de acesso ao criar um ponto de acesso conectado a um volume FSx for ONTAP usando o FSx console da Amazon. Para adicionar, modificar ou excluir uma política de ponto de acesso em um ponto de acesso existente do S3, você pode usar o console, a CLI ou a API do S3.