Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Points de terminaison VPC pour les vecteurs S3
<a name="s3-vectors-privatelink"></a>

Pour accéder aux vecteurs S3 depuis votre cloud privé virtuel (VPC), Amazon S3 prend en charge les points de terminaison VPC d'interface en utilisant (). AWS PrivateLink PrivateLink PrivateLink fournit une connectivité privée entre votre VPC et vos vecteurs S3 sans nécessiter de passerelle Internet ou de périphérique NAT. Les points de terminaison d'interface sont représentés par une ou plusieurs interfaces réseau élastiques (ENIs) auxquelles des adresses IP privées sont attribuées à partir de sous-réseaux de votre VPC. Les demandes adressées aux vecteurs S3 via les points de terminaison de l'interface restent sur le AWS réseau. 

Vous pouvez également accéder aux points de terminaison de l'interface de votre VPC à partir d'applications sur site AWS ou AWS Direct Connect via un réseau AWS privé virtuel (VPN). Pour plus d'informations sur la façon de connecter votre VPC à votre réseau local, consultez le guide de l'utilisateur et le *[guide de AWS Direct Connect l'utilisateur](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)* du *[AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)*. *Pour des informations générales sur les points de terminaison d'interface, consultez la section [Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) dans le AWS PrivateLink Guide.*

## Avantages de l'utilisation PrivateLink des vecteurs S3
<a name="s3-vectors-privatelink-benefits"></a>

L'utilisation PrivateLink de S3 Vectors offre plusieurs avantages opérationnels et de sécurité :
+ **Sécurité renforcée** : le trafic entre votre VPC et les vecteurs S3 reste sur le AWS réseau et ne passe pas par Internet.
+ **Architecture réseau simplifiée** : accédez aux vecteurs S3 sans configurer de passerelles Internet, de périphériques NAT ou de connexions VPN.
+ **Contrôle d'accès granulaire** : utilisez les politiques de point de terminaison VPC pour contrôler les compartiments vectoriels et les index vectoriels accessibles via le point de terminaison.
+ **Assistance en matière de conformité** : respectez les exigences réglementaires qui imposent une connectivité réseau privée pour les données sensibles.

## Noms DNS et résolution des points de terminaison VPC
<a name="s3-vectors-privatelink-endpoints"></a>

Lorsque vous créez un point de terminaison VPC, S3 Vectors génère deux types de noms DNS spécifiques au point de terminaison : régional et zonal.

Les noms DNS régionaux et zonaux des points de terminaison VPC d'interface pour les vecteurs S3 sont les suivants :
+ **Nom DNS régional : `vpce-1a2b3c4d-5e6f.s3vectors.region.vpce.amazonaws.com` - Le nom DNS** du point de terminaison VPC régional. Optez toujours pour des adresses IP privées.
+ **Nom DNS zonal : `vpce-1a2b3c4d-5e6f-availability_zone_code.s3vectors.region.vpce.amazonaws.com` - Noms DNS** des points de terminaison VPC spécifiques à la zone. Optez toujours pour des adresses IP privées.

Vous pouvez également utiliser le nom DNS du point de terminaison public `s3vectors.region.api.aws` comme nom DNS privé du service de point de terminaison si le DNS privé est activé pour le point de terminaison VPC.

## Adressage IP pour les points de terminaison d'interface
<a name="s3-vectors-privatelink-ip-support"></a>

Les points de terminaison DNS régionaux, zonaux et privés des vecteurs S3 prennent en charge IPv4 IPv6, et les types d'IP à double pile pour. AWS PrivateLink Pour plus d'informations, consultez les [sections Types d'adresses IP](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type) et [type d'adresse IP d'enregistrement DNS pour les AWS services](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-services-dns-record-ip-type) dans le *AWS PrivateLink Guide*. 

Voici certaines informations que vous devez connaître avant d'essayer d'accéder aux index vectoriels et aux compartiments vectoriels S3 Vectors IPv6 dans votre VPC :
+ Le client que vous utilisez pour accéder aux vecteurs et votre client S3 Vectors doivent tous deux avoir activé la double pile.
+ Si votre groupe de sécurité VPC n'est pas IPv6 configuré, vous devez configurer une règle pour autoriser IPv6 le trafic. Pour plus d'informations, consultez [Étape 3 : Mettre à jour les règles de votre groupe de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html#vpc-migrate-ipv6-sg-rules) dans le *guide de l'utilisateur VPC* et [configurer les règles du groupe de sécurité](https://docs.aws.amazon.com/ec2/latest/userguide/working-with-security-groups.html#adding-security-group-rule) dans le guide de l'utilisateur *Amazon EC2*.
+ Si votre VPC n'a pas d' IPv6 CIDRs attribution, vous devrez ajouter manuellement un bloc IPv6 CIDR à votre VPC. *Pour plus d'informations, consultez la section [Ajouter IPv6 un support pour votre VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-ipv6) dans le AWS PrivateLink guide.*
+ Si vous utilisez des politiques IAM de filtrage d'adresses IP, elles doivent être mises à jour pour gérer les IPv6 adresses. Pour de plus amples informations sur la gestion des autorisations d'accès avec IAM, veuillez consulter [Identity and Access Management dans S3 Vectors](s3-vectors-access-management.md).

## Création d'un point de terminaison d'interface VPC pour les vecteurs S3
<a name="s3-vectors-privatelink-create"></a>

Vous pouvez créer un point de terminaison d'interface VPC pour les vecteurs S3 à l'aide de la console VPC, de la AWS CLI ou de l'API. AWS SDKs AWS 

### Utilisation de la console S3
<a name="s3-vectors-privatelink-create-console"></a>

1. Ouvrez la console VPC à l'adresse. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Dans le panneau de navigation, choisissez **Points de terminaison**.

1. Choisissez **Créer un point de terminaison**.

1. Pour **Service category (Catégorie de service)**, choisissez **Services AWS **.

1. Pour **Services**, recherchez `s3vectors` et sélectionnez`com.amazonaws.region.s3vectors`.

1. Pour le **VPC**, sélectionnez le VPC dans lequel vous souhaitez créer le point de terminaison.

1. (Facultatif) Sous **Paramètres supplémentaires**, pour **Activer le nom DNS**, indiquez si vous souhaitez activer la fonctionnalité DNS privé. Lorsque cette option est activée, les demandes qui utilisent le point de terminaison de service public (`s3vectors.region.api.aws`), telles que les demandes effectuées via AWS SDKs, sont résolues vers votre point de terminaison VPC plutôt que vers le point de terminaison public. 

1. Pour les **sous-réseaux**, sélectionnez les sous-réseaux dans lesquels vous souhaitez créer les interfaces réseau des points de terminaison.

1. Pour le **type d'adresse IP**, choisissez le type d'adresse IP du point de terminaison :
   + **IPv4**: Attribuez IPv4 des adresses aux interfaces réseau des terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d' IPv4 adresses.
   + **IPv6**: Attribuez IPv6 des adresses aux interfaces réseau des terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés IPv6 ne sont que des sous-réseaux.
   + **Dualstack** : Attribuez à la fois des IPv6 adresses IPv4 et des adresses aux interfaces réseau des terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d' IPv6adresses IPv4 et des plages d'adresses.

1. Pour **Security groups** (Groupes de sécurité), sélectionnez les groupes de sécurité à associer aux interfaces réseau du point de terminaison. 

1. (Facultatif) Pour **Policy**, vous pouvez associer une politique de point de terminaison VPC pour contrôler l'accès aux vecteurs S3 via le point de terminaison. Pour autoriser toutes les opérations effectuées par tous les principaux sur toutes les ressources S3 Vectors via le point de terminaison de l'interface, choisissez **Accès complet**. Pour restreindre l'accès, choisissez **Personnalisé** et entrez une politique. Pour plus d'informations, consultez la section [Contrôler l'accès aux points de terminaison VPC à l'aide des politiques relatives aux points de terminaison dans le Guide](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html). AWS PrivateLink Si vous ne joignez aucune politique, la stratégie par défaut autorise un accès complet. 

1. Choisissez **Créer un point de terminaison**.

### À l'aide du AWS CLI
<a name="s3-vectors-privatelink-create-cli"></a>

Pour créer un nouveau point de terminaison VPC qui renvoie à la fois IPv4 et IPv6 pour les vecteurs S3, utilisez l'exemple de commande CLI suivant. Pour de plus amples informations, veuillez consulter [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html).

```
aws ec2 create-vpc-endpoint \
    --vpc-id vpc-12345678 \
    --service-name com.amazonaws.region.s3vectors \
    --vpc-endpoint-type Interface \
    --subnet-ids subnet-12345678 subnet-87654321 \
    --security-group-ids sg-12345678 \
    --ip-address-type dualstack \
    --private-dns-enabled
```

Le `--private-dns-enabled` paramètre active la fonctionnalité DNS privé. Lorsque cette option est activée, les demandes `s3vectors.region.api.aws` seront acheminées via le point de terminaison de votre VPC.

*Pour plus d'informations sur la création de points de terminaison VPC, consultez la section Créer [un point de terminaison VPC dans le guide de l'utilisateur VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws).*

## Politiques de point de terminaison VPC pour les vecteurs S3
<a name="s3-vectors-privatelink-policies"></a>

À l'instar des politiques basées sur les ressources, vous pouvez associer une politique de point de terminaison à votre point de terminaison VPC pour contrôler l'accès aux index vectoriels et aux compartiments vectoriels. Pour plus d'informations sur les politiques relatives aux points de terminaison, consultez la section [Contrôler l'accès aux points de terminaison VPC à l'aide des politiques relatives aux points de terminaison](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) dans le Guide. AWS PrivateLink 

### Exemples de politiques de point de terminaison VPC
<a name="s3-vectors-privatelink-policy-examples"></a>

L'exemple de politique de point de terminaison VPC suivant autorise l'accès à toutes les opérations S3 Vectors pour tous les principaux :

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:*"
      ],
      "Resource": "*"
    }
  ]
}
```

L'exemple de politique de point de terminaison VPC suivant restreint l'accès à un compartiment vectoriel spécifique :

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:GetVectorBucket",
        "s3vectors:ListIndexes",
        "s3vectors:GetIndex",
        "s3vectors:QueryVectors",
        "s3vectors:GetVectors"
      ],
      "Resource": [
        "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket",
        "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket/*"
      ]
    }
  ]
}
```

L'exemple de politique de point de terminaison VPC suivant autorise l'accès uniquement pendant les heures ouvrables à l'aide de la clé de `aws:CurrentTime` condition :

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3vectors:*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "08:00Z"
        },
        "DateLessThan": {
          "aws:CurrentTime": "18:00Z"
        }
      }
    }
  ]
}
```

## Configuration des clients S3 Vectors pour les points de terminaison VPC
<a name="s3-vectors-privatelink-configure-clients"></a>

Lorsque vous utilisez des points de terminaison VPC avec des vecteurs S3, vous pouvez configurer vos clients S3 Vectors pour qu'ils utilisent le nom DNS du service ou le nom DNS du point de terminaison VPC.

### À l'aide du AWS SDKs
<a name="s3-vectors-privatelink-sdk-config"></a>

------
#### [ SDK for Python ]

L'exemple suivant montre comment configurer le client S3 Vectors dans le SDK pour Python (Boto3) afin d'utiliser un point de terminaison VPC :

```
import boto3

# Using service DNS name (requires private DNS feature enabled on VPC endpoint)
s3vectors_client = boto3.client(
    's3vectors',
    region_name='us-west-2',
    endpoint_url='https://s3vectors.us-west-2.api.aws'
)

# Using VPC endpoint DNS name
s3vectors_client = boto3.client(
    's3vectors',
    region_name='us-west-2',
    endpoint_url='https://vpce-12345678.s3vectors.us-west-2.vpce.amazonaws.com'
)
```

------

## Résolution des problèmes liés aux points de terminaison VPC
<a name="s3-vectors-privatelink-troubleshooting"></a>

Si vous rencontrez des problèmes avec votre point de terminaison VPC d'interface, considérez les étapes de dépannage suivantes :
+ **Résolution DNS** : vérifiez que les requêtes DNS pour le point de terminaison sont résolues en adresses IP privées comprises dans la plage d'adresses CIDR de votre VPC lorsque vous utilisez un DNS privé.
+ **Groupes de sécurité** : assurez-vous que le groupe de sécurité associé au point de terminaison VPC autorise le trafic HTTPS entrant (port 443) en provenance de vos ressources VPC.
+ Tables de **routage : vérifiez que les tables** de routage de votre sous-réseau ne comportent pas de routes conflictuelles susceptibles de rediriger le trafic hors du point de terminaison VPC.
+ Politique de point de **terminaison VPC : vérifiez que votre politique** de point de terminaison VPC autorise les actions et les ressources nécessaires aux vecteurs S3.
+ **Configuration du client** : si la fonctionnalité DNS privé est désactivée, configurez votre client S3 Vectors pour qu'il utilise le nom DNS du point de terminaison VPC au lieu du nom DNS du service.

## Surveillance de l'utilisation des points de terminaison VPC
<a name="s3-vectors-privatelink-monitoring"></a>

Vous pouvez surveiller l'utilisation de vos points de terminaison VPC S3 Vectors via les journaux d' CloudTrail [NetworkActivity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html)événements.

Pour plus d'informations sur la journalisation des vecteurs S3, consultez[Journalisation avec AWS CloudTrail for S3 Vectors](s3-vectors-logging.md).