Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengakses data Anda melalui jalur akses Amazon S3
Anda juga dapat menggunakan titik akses S3 untuk mengakses data file yang disimpan di sistem FSx file Amazon seolah-olah berada di S3, memungkinkan Anda untuk menggunakannya dengan aplikasi dan layanan yang bekerja dengan S3 tanpa perubahan aplikasi atau memindahkan data dari penyimpanan file. Titik akses Amazon S3 adalah titik akhir S3 yang terpasang ke bucket S3 atau untuk ONTAP dan FSx untuk volume OpenZFS. FSx Jalur akses Amazon S3 menyederhanakan pengelolaan akses data untuk aplikasi atau AWS layanan apa pun yang berfungsi dengan S3. Dengan titik akses S3, pelanggan dengan kumpulan data bersama, termasuk data lake, arsip media, dan konten buatan pengguna, dapat dengan mudah mengontrol dan menskalakan akses data untuk ratusan aplikasi, tim, atau individu dengan membuat titik akses individual dengan nama dan izin yang disesuaikan untuk masing-masing.
Titik akses S3 yang dilampirkan ke Amazon FSx untuk volume NetApp ONTAP mendukung akses baca dan tulis ke data file Anda menggunakan operasi objek S3 (misalnya,, `GetObject``PutObject`, dan`ListObjectsV2`) terhadap titik akhir Amazon S3.
Setiap titik akses S3 yang dilampirkan ke sistem file FSx untuk ONTAP memiliki kebijakan titik akses AWS Identity and Access Management (IAM) dan pengguna sistem file UNIX atau Windows terkait yang digunakan untuk mengotorisasi semua permintaan yang dibuat melalui jalur akses. Untuk setiap permintaan, S3 pertama-tama mengevaluasi semua kebijakan yang relevan, termasuk kebijakan pengguna, titik akses, Titik Akhir VPC S3, dan kebijakan kontrol layanan, untuk mengotorisasi permintaan tersebut. Setelah permintaan disahkan oleh S3, permintaan tersebut kemudian diotorisasi oleh sistem file, yang mengevaluasi apakah pengguna sistem file yang terkait dengan titik akses S3 memiliki izin untuk mengakses data pada sistem file. Anda dapat mengonfigurasi titik akses untuk menerima permintaan hanya dari virtual private cloud (VPC) untuk membatasi akses data Amazon S3 ke jaringan pribadi. Amazon S3 memberlakukan Blokir akses publik secara default untuk semua titik akses yang dilampirkan ke volume FSx untuk ONTAP, dan Anda tidak dapat mengubah atau menonaktifkan setelan ini.
Anda menggunakan FSx konsol Amazon, CLI, dan API untuk [membuat titik akses S3 dan melampirkannya](fsxn-creating-access-points.md) ke volume untuk ONTAP. FSx Titik akses memungkinkan Anda untuk mengakses data file Anda menggunakan API S3, meskipun data Anda terus berada di sistem file ONTAP Anda FSx dan Anda dapat terus menggunakan protokol NFS dan SMB untuk mengakses data Anda di samping S3 API.
Jalur akses Amazon S3 FSx untuk sistem pengisian ONTAP memberikan latensi dalam rentang puluhan milidetik, konsisten dengan akses bucket S3. Throughput dan permintaan per detik yang dapat Anda arahkan ke sistem FSx file Amazon melalui S3 API bergantung pada throughput yang disediakan sistem file. Untuk informasi selengkapnya tentang kemampuan kinerja sistem file, lihat [Amazon FSx untuk kinerja NetApp ONTAPPerforma](performance.md)
**Topics**
+ [
## Wilayah AWS dengan jalur akses Amazon S3 untuk FSx ONTAP
](#access-points-for-fsx-ontap-supported-regions)
+ [
# Aturan, batasan, dan batasan penamaan titik akses
](access-point-for-fsxn-restrictions-limitations-naming-rules.md)
+ [
# Mereferensikan titik akses dengan ARNs, alias titik akses, atau virtual-hosted-style URIs
](referencing-access-points-for-fsxn.md)
+ [
# Kompatibilitas titik akses
](access-points-for-fsxn-object-api-support.md)
+ [
# Mengelola akses titik akses
](s3-ap-manage-access-fsxn.md)
+ [
# Membuat titik akses
](fsxn-creating-access-points.md)
+ [
# Mengelola titik akses Amazon S3
](access-points-for-fsxn-manage.md)
+ [
# Menggunakan titik akses
](access-points-for-fsxn-usage-examples.md)
+ [
# Memecahkan masalah titik akses S3
](troubleshooting-access-points-for-fsxn.md)
## Wilayah AWS dengan jalur akses Amazon S3 untuk FSx ONTAP
Jalur akses Amazon S3 FSx untuk ONTAP didukung sebagai berikut Wilayah AWS: Afrika (Cape Town), Asia Pasifik (Hong Kong, Hyderabad, Jakarta, Melbourne, Mumbai, Osaka, Seoul, Singapura, Sydney, Tokyo), Kanada (Tengah), Kanada Barat (Calgary), Eropa (Frankfurt, Irlandia, London, Milan, Paris, Spanyol, Stockholm, Zurich), Israel (Tel Aviv), Timur Tengah (Bahrain, UEA), Amerika Selatan (Sao Paulo), AS Timur (Virginia N., Ohio), dan AS Barat (California N., Oregon).
# Aturan, batasan, dan batasan penamaan titik akses
Saat membuat titik akses S3 Anda memilih nama untuk itu. Topik berikut memberikan informasi tentang aturan dan batasan dan batasan penamaan jalur akses S3.
**Topics**
+ [
## Aturan penamaan titik akses
](#access-points-for-fsxn-naming-rules)
+ [
## Pembatasan dan batasan titik akses
](#access-points-for-fsxn-restrictions-limitations)
## Aturan penamaan titik akses
Saat Anda membuat titik akses S3, Anda memilih namanya. Nama titik akses tidak harus unik di seluruh Akun AWS atau Wilayah AWS. Hal yang sama Akun AWS dapat membuat titik akses dengan nama yang sama di berbeda Wilayah AWS atau dua yang berbeda Akun AWS dapat menggunakan nama titik akses yang sama. Namun, dalam satu Wilayah AWS Akun AWS mungkin tidak memiliki dua titik akses bernama identik.
Nama titik akses S3 tidak dapat diakhiri dengan akhiran`-ext-s3alias`, yang dicadangkan untuk alias titik akses. Untuk daftar lengkap aturan penamaan titik akses, lihat [Aturan penamaan untuk titik akses Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html#access-points-names) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
## Pembatasan dan batasan titik akses
Titik akses S3 yang dilampirkan FSx untuk volume ONTAP memiliki batasan berikut, yang tidak berlaku untuk titik akses yang terpasang pada bucket S3:
+ Anda hanya dapat membuat titik akses S3 Wilayah AWS sama dengan volume ONTAP FSx untuk yang Anda lampirkan.
+ Hal yang sama Akun AWS harus memiliki sistem file FSx untuk ONTAP dan titik akses S3. Anda hanya dapat membuat titik akses S3 yang dilampirkan FSx untuk volume ONTAP yang Anda miliki. Anda tidak dapat membuat titik akses S3 yang dilampirkan ke volume yang dimiliki oleh orang lain Akun AWS.
+ Anda hanya dapat membuat dan melampirkan jalur akses S3 FSx untuk sistem file ONTAP yang menjalankan NetApp ONTAP versi 9.17.1 dan yang lebih baru.
Untuk daftar lengkap semua batasan dan batasan jalur akses, lihat [Pembatasan dan batasan untuk titik akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
# Mereferensikan titik akses dengan ARNs, alias titik akses, atau virtual-hosted-style URIs
Setelah Anda membuat titik akses yang dilampirkan ke volume ONTAP FSx untuk, Anda dapat mengakses data Anda melalui API AWS CLI dan S3, serta layanan AWS dan aplikasi pihak ketiga yang kompatibel dengan S3. Saat merujuk ke titik akses dalam aplikasi Layanan AWS atau, Anda dapat menggunakan Nama Sumber Daya Amazon (ARN), alias titik akses, atau URI gaya host virtual.
**Topics**
+ [
## Titik akses ARNs
](#access-point-arns)
+ [
## Alias titik akses
](#access-point-aliases)
+ [
## URI bergaya host virtual
](#virtual-hosted-style-uri)
## Titik akses ARNs
Titik akses memiliki Nama Sumber Daya Amazon (ARNs). Access point ARNs mirip dengan bucket S3 ARNs, tetapi mereka secara eksplisit diketik dan menyandikan titik akses Wilayah AWS dan Akun AWS ID pemilik jalur akses. Untuk informasi selengkapnya ARNs, lihat [Mengidentifikasi AWS sumber daya dengan Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) di *Panduan AWS Identity and Access Management Pengguna*.
Titik akses ARNs memiliki format berikut:
```
arn:aws::s3:region:account-id:accesspoint/resource
```
`arn:aws:s3:us-west-2:777777777777:accesspoint/test`mewakili titik akses bernama*test*, dimiliki oleh akun 77777777777777 di Wilayah. *us-west-2*
ARNs untuk objek dan file yang diakses melalui jalur akses gunakan format berikut:
```
arn:aws::s3:region:account-id:accesspoint/access-point-name/object/resource
```
`arn:aws:s3:us-west-2:111122223333:accesspoint/test/object/lions.jpg`mewakili file*lions.jpg*, diakses melalui titik akses bernama*test*, dimiliki oleh akun 111122223333 di Wilayah. *us-west-2*
Untuk informasi selengkapnya tentang titik [akses ARNs, lihat Titik akses ARNs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-arns) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
## Alias titik akses
Saat Anda membuat titik akses, Amazon S3 secara otomatis menghasilkan alias titik akses yang dapat Anda gunakan di mana saja Anda dapat menggunakan nama bucket S3 untuk mengakses data.
Alias titik akses tidak dapat diubah. Untuk titik akses yang dilampirkan ke volume FSx untuk ONTAP, alias titik akses terdiri dari bagian-bagian berikut:
```
access point prefix-metadata-ext-s3alias
```
Berikut ini menunjukkan alias ARN dan titik akses untuk titik akses S3 yang dilampirkan ke volume FSx untuk ONTAP, dikembalikan sebagai bagian dari respons terhadap perintah CLI. `describe-s3-access-point-attachments` FSx Titik akses dalam contoh ini diberi nama`my-ontap-ap`.
```
...
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
...
```
**catatan**
`-ext-s3alias`Akhiran dicadangkan untuk alias titik akses S3 yang dilampirkan ke volume FSx untuk ONTAP, dan tidak dapat digunakan untuk nama titik akses.
Anda dapat menggunakan alias titik akses alih-alih ARN titik akses Amazon S3 di beberapa operasi pesawat data S3. Untuk daftar operasi yang didukung, lihat[Kompatibilitas titik akses](access-points-for-fsxn-object-api-support.md).
Untuk set lengkap batasan alias titik akses, lihat [Batasan alias titik akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-alias) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
## URI bergaya host virtual
Titik akses hanya mendukung virtual-host-style pengalamatan. Dalam URI gaya host virtual, nama titik akses Akun AWS, dan Wilayah AWS merupakan bagian dari nama domain di URL. Untuk melihat URI S3 untuk titik akses yang dilampirkan ke volume FSx untuk ONTAP, di halaman detail titik akses di bawah detail titik **akses S3, pilih nama titik** akses yang tercantum untuk titik akses **S3**. Ini membawa Anda ke halaman detail titik akses di konsol Amazon S3. Anda dapat menemukan **URI S3** di bawah **Properties**.
Untuk informasi selengkapnya, lihat [URI bergaya Virtual-host di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#accessing-a-bucket-through-s3-access-point) Pengguna Layanan Penyimpanan *Sederhana Amazon*.
# Kompatibilitas titik akses
Anda dapat menggunakan titik akses untuk mengakses data yang disimpan pada volume FSx untuk ONTAP menggunakan Amazon APIs S3 berikut untuk akses data. Semua operasi yang tercantum di bawah ini dapat menerima alias titik akses ARNs atau titik akses.
Tabel berikut adalah sebagian daftar operasi Amazon S3 dan jika kompatibel dengan titik akses. Tabel menunjukkan operasi mana yang didukung oleh titik akses menggunakan volume FSx untuk ONTAP sebagai sumber data.
| Operasi S3 | Titik akses yang dilampirkan ke volume FSx untuk ONTAP |
| --- | --- |
| `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | Didukung |
| `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | Didukung |
| `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)`(Hanya salinan wilayah yang sama) | Didukung, jika sumber dan tujuan berada dalam titik akses yang sama |
| `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | Didukung |
| `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | Didukung |
| `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | Didukung |
| `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | Didukung |
| `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | Tidak didukung |
| `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | Tidak didukung |
| `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | Didukung |
| `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | Tidak didukung |
| `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | Tidak didukung |
| `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | Didukung |
| `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | Tidak didukung |
| `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | Didukung |
| `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | Tidak didukung |
| `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | Tidak didukung |
| `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | Didukung |
| `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | Didukung |
| `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | Didukung |
| `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | Didukung |
| `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | Didukung |
| `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | Didukung |
| `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | Tidak didukung |
| `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | Didukung |
| `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | Tidak didukung |
| `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | Didukung |
| `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | Tidak didukung |
| `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | Tidak didukung |
| `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | Tidak didukung |
| `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | Didukung |
| `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | Tidak didukung |
| `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | Didukung |
| `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)`(Hanya salinan wilayah yang sama) | Didukung, jika sumber dan tujuan berada dalam titik akses yang sama |
Batasan untuk menggunakan operasi Amazon S3 adalah sebagai berikut:
+ Ukuran objek maksimum adalah 5 GB untuk diunggah, tetapi Anda dapat mengunduh objek yang lebih besar dari itu
+ `FSX_ONTAP`adalah satu-satunya kelas penyimpanan yang didukung
+ SSE-FSX adalah satu-satunya mode enkripsi sisi server yang didukung
+ Fitur Amazon S3 berikut tidak didukung: daftar kontrol akses (ACLs) selain`bucket-owner-full-control`, Requester Pays, Object Versioning, Object Lock, Object Lifecycle, Static Website Hosting (misalnya, pengalihan situs web), otentikasi multi-faktor (MFA), dan penulisan bersyarat
Untuk contoh menggunakan titik akses untuk melakukan operasi akses data pada data file, lihat[Menggunakan titik akses](access-points-for-fsxn-usage-examples.md).
**Objek ETag**
Tag entitas adalah hash dari objek. ETag Merefleksikan perubahan hanya pada isi objek, bukan metadatanya. ETag Ini bukan MD5 intisari dari data objek.
**Objek Checksum**
Anda dapat menggunakan nilai checksum untuk memverifikasi integritas data yang Anda unggah. Saat Anda mengunggah data dan menentukan algoritma checksum, AWS SDK menggunakan algoritma checksum yang Anda pilih untuk menghitung nilai checksum sebelum transmisi data. Amazon S3 kemudian secara independen menghitung checksum data Anda dan memvalidasinya terhadap nilai checksum yang disediakan. Objek diterima hanya setelah mengonfirmasi integritas data dipertahankan selama transit ke Amazon S3. Tidak seperti checksum untuk objek di bucket Tujuan Umum Amazon S3, nilai checksum tidak disimpan dalam volume NetApp untuk ONTAP sebagai FSx metadata objek dan objek itu sendiri. Ini berarti bahwa nilai checksum tidak dikembalikan dalam respons dan tidak digunakan untuk memverifikasi integritas objek saat diunduh.
**Enkripsi sisi server dengan Amazon FSx (SSE-FSX)**
Semua sistem FSx file Amazon memiliki enkripsi yang dikonfigurasi secara default dan dienkripsi saat istirahat dengan kunci yang dikelola menggunakan. AWS Key Management Service Data secara otomatis dienkripsi dan didekripsi pada sistem file karena data sedang ditulis dan dibaca dari sistem file. Proses ini ditangani secara transparan oleh Amazon. FSx
**Pengunggahan multibagian**
Unggahan multibagian memungkinkan Anda untuk mengunggah satu objek sebagai kumpulan bagian. Setiap bagian merupakan bagian data objek yang saling berkaitan. Anda dapat mengunggah bagian objek ini secara independen, dan dalam urutan apa pun. Unggahan multipart memiliki pertimbangan berikut saat menggunakan jalur akses S3 dengan FSx untuk ONTAP:
+ Bagian yang terkait dengan unggahan multibagian yang sedang berlangsung (yaitu unggahan tidak lengkap) tidak disertakan untuk pencadangan volume ONTAP. FSx
+ Penyimpanan yang digunakan terkait dengan bagian unggahan multibagian yang sedang berlangsung (yaitu unggahan tidak lengkap) tidak tercermin dalam CloudWatch metrik kapasitas `StorageUsed` penyimpanan volume tujuan tetapi tercermin dalam metrik kapasitas `StorageUsed` penyimpanan sistem file induk. CloudWatch
+ Setelah operasi upload multipart selesai, metadata bagian terkait tidak lagi disimpan dengan objek. Ini berarti Anda tidak dapat mengambil bagian objek metdata menggunakan `GetObjectAttributes` atau mengunduh satu bagian objek dengan nomor bagian objek yang sedang dibaca.
**Daftar Kontrol Akses (ACL)**
Daftar kontrol akses Amazon S3 (ACLs) memungkinkan Anda mengelola akses ke bucket dan objek. Titik akses S3 FSx hanya mendukung nilai `bucket-owner-full-control` ACL. Menggunakan nilai ACL lainnya akan menghasilkan `InvalidArgument` pengecualian.
# Mengelola akses titik akses
Anda dapat mengonfigurasi setiap titik akses S3 dengan izin dan kontrol jaringan yang berbeda yang diterapkan S3 untuk setiap permintaan yang dibuat menggunakan jalur akses tersebut. Kebijakan sumber daya dukungan titik akses S3 AWS Identity and Access Management (IAM) yang dapat Anda gunakan untuk mengontrol penggunaan titik akses menurut sumber daya, pengguna, atau kondisi lainnya. Untuk aplikasi atau pengguna untuk mengakses file melalui titik akses, baik titik akses dan volume yang mendasarinya harus mengizinkan permintaan. Untuk informasi selengkapnya, lihat [Kebijakan jalur akses IAM](#access-points-for-fsxn-policies).
Jalur akses Amazon S3 FSx untuk ONTAP menggunakan model otorisasi lapisan ganda yang menggabungkan izin AWS IAM dengan izin tingkat sistem file. Pendekatan ini memastikan bahwa permintaan akses data diotorisasi dengan benar pada tingkat AWS layanan dan tingkat sistem file yang mendasarinya.
Agar aplikasi atau pengguna berhasil mengakses data melalui titik akses, kebijakan jalur akses S3 dan yang mendasari FSx volume ONTAP harus mengizinkan permintaan tersebut.
**Topics**
+ [
## Identitas dan otorisasi pengguna sistem file
](#fsxn-file-system-user-identity)
+ [
## Otorisasi permintaan API S3
](#access-points-for-fsxn-s3-iam-auth)
+ [
## Blokir Akses Publik S3
](#access-points-for-fsxn-bpa)
+ [
## Kebijakan jalur akses IAM
](#access-points-for-fsxn-policies)
## Identitas dan otorisasi pengguna sistem file
Saat Anda membuat jalur akses S3 untuk volume ONTAP, Anda menentukan identitas sistem file yang akan digunakan untuk mengotorisasi semua permintaan sistem file yang dibuat melalui titik akses tersebut. FSx Identitas sistem file ini menentukan tingkat akses apa yang diberikan ke file dan direktori yang mendasari berdasarkan model izin sistem file. Pengguna sistem file adalah akun pengguna pada sistem FSx file Amazon yang mendasarinya. Jika pengguna sistem file memiliki akses *hanya-baca, maka hanya* permintaan baca yang dibuat menggunakan titik akses yang diotorisasi, dan permintaan tulis diblokir. Jika pengguna sistem file memiliki akses baca-tulis, maka permintaan baca dan tulis ke volume terlampir yang dibuat menggunakan titik akses diotorisasi.
Identitas sistem file dapat menjadi salah satu dari dua jenis:
+ **Identitas UNIX** — Gunakan identitas UNIX (nama pengguna) saat mengakses volume dengan gaya keamanan UNIX
+ **Windows Identity** — Gunakan identitas Windows (domain dan nama pengguna) saat mengakses volume dengan gaya keamanan NTFS.
Saat Anda menentukan identitas UNIX atau Windows, semua operasi API S3 yang dilakukan melalui titik akses diotorisasi menggunakan izin pengguna tersebut pada sistem file.
Identitas sistem file yang Anda kaitkan dengan titik akses menentukan tingkat akses ke file dan direktori. Misalnya, jika Anda mengaitkan titik akses dengan identitas UNIX root (UID 0), yang biasanya memiliki izin akses file penuh pada sistem file, maka semua operasi file akan diotorisasi. Sebaliknya, jika Anda mengaitkan titik akses dengan identitas pengguna terbatas, operasi file akan terbatas pada apa yang dapat diakses pengguna berdasarkan model izin sistem file.
Anda harus menggunakan jenis identitas sistem file UNIX untuk volume dengan gaya keamanan UNIX dan tipe identitas Windows untuk volume dengan gaya keamanan NTFS. Penyelarasan ini memastikan bahwa model otorisasi cocok dengan konfigurasi keamanan volume.
Untuk volume gaya keamanan UNIX, sistem file menggunakan mode-bit atau NFSv4 ACLs untuk mengontrol akses. Untuk volume gaya keamanan NTFS, sistem file menggunakan Windows ACLs untuk mengontrol akses.
**penting**
Melampirkan titik akses S3 ke volume FSx untuk ONTAP tidak mengubah perilaku volume saat volume diakses langsung melalui NFS atau SMB. Semua operasi yang ada terhadap volume akan terus bekerja seperti sebelumnya. Pembatasan yang Anda sertakan dalam kebijakan jalur akses S3 hanya berlaku untuk permintaan yang dibuat menggunakan jalur akses.
## Otorisasi permintaan API S3
Saat Anda membuat permintaan API S3 melalui titik akses yang dilampirkan ke volume NetApp ONTAP FSx untuk, Amazon S3 mengevaluasi izin IAM dari prinsipal panggilan terhadap kebijakan sumber daya IAM titik akses. Penelepon utama IAM harus memiliki izin yang diperlukan yang diberikan melalui kebijakan berbasis identitas mereka, dan kebijakan sumber daya jalur akses juga harus mengizinkan tindakan yang diminta.
Amazon S3 mengevaluasi semua kebijakan yang relevan—termasuk kebijakan pengguna, kebijakan titik akses, kebijakan titik akhir VPC, dan kebijakan kontrol layanan—untuk menentukan apakah akan mengizinkan permintaan tersebut.
Anda juga dapat mengonfigurasi titik akses S3 untuk hanya menerima permintaan dari virtual private cloud (VPC) tertentu untuk membatasi akses data. Untuk informasi selengkapnya, lihat [Membuat titik akses terbatas pada cloud privat virtual](access-points-for-fsxn-vpc.md).
## Blokir Akses Publik S3
Titik akses Amazon S3 yang dilampirkan ke volume ONTAP secara otomatis dikonfigurasi dengan akses publik blok diaktifkan, yang tidak dapat Anda ubah. FSx
## Kebijakan jalur akses IAM
Kebijakan sumber daya dukungan jalur akses Amazon S3 AWS Identity and Access Management (IAM) yang memungkinkan Anda mengontrol penggunaan titik akses berdasarkan sumber daya, pengguna, atau kondisi lainnya. Agar aplikasi atau pengguna dapat mengakses objek melalui titik akses, baik titik akses dan sumber data yang mendasarinya harus mengizinkan permintaan tersebut.
`s3:PutAccessPointPolicy`Izin diperlukan untuk membuat kebijakan jalur akses opsional.
Setelah Anda melampirkan jalur akses S3 ke FSx volume Amazon, semua operasi yang ada terhadap volume akan terus berfungsi seperti sebelumnya. Pembatasan yang Anda sertakan dalam kebijakan titik akses hanya berlaku untuk permintaan yang dibuat melalui titik akses tersebut. Untuk informasi selengkapnya, lihat [Mengonfigurasi kebijakan IAM untuk menggunakan titik akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
Anda dapat mengonfigurasi kebijakan titik akses saat membuat titik akses yang dilampirkan ke volume FSx untuk ONTAP menggunakan FSx konsol Amazon. Untuk menambahkan, memodifikasi, atau menghapus kebijakan titik akses pada titik akses S3 yang ada, Anda dapat menggunakan konsol S3, CLI, atau API.
# Membuat titik akses
Anda dapat membuat dan mengelola jalur akses S3 yang dilampirkan ke FSx volume Amazon menggunakan FSx konsol Amazon, CLI, API, dan didukung. SDKs
**catatan**
Karena Anda mungkin ingin mempublikasikan nama jalur akses S3 Anda sehingga pengguna lain dapat menggunakan titik akses, hindari memasukkan informasi sensitif dalam nama jalur akses S3. Nama titik akses diterbitkan dalam basis data yang dapat diakses publik yang dikenal sebagai Sistem Nama Domain (DNS). Untuk informasi selengkapnya tentang nama titik akses, lihat[Aturan penamaan titik akses](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
## Izin yang diperlukan
Izin berikut diperlukan untuk membuat titik akses S3 yang dilampirkan ke volume Amazon FSx :
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
`s3:PutAccessPointPolicy`Izin diperlukan untuk membuat kebijakan Access Point opsional menggunakan konsol Amazon FSx atau S3. Untuk informasi selengkapnya, lihat [Kebijakan jalur akses IAM](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies).
Untuk membuat titik akses, lihat topik berikut ini.
**Topics**
+ [
## Izin yang diperlukan
](#create-ap-permissions)
+ [
# Membuat titik akses
](create-access-points.md)
+ [
# Membuat titik akses terbatas pada cloud privat virtual
](access-points-for-fsxn-vpc.md)
# Membuat titik akses
**penting**
Untuk melampirkan titik akses S3 ke volume ONTAP FSx untuk, volume harus dipasang (memiliki jalur persimpangan). Lihat [dokumentasi ONTAP](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html) untuk detail selengkapnya.
Volume FSx untuk ONTAP harus sudah ada di akun Anda saat membuat titik akses S3 untuk volume Anda.
Untuk membuat titik akses S3 yang dilampirkan ke volume FSx untuk ONTAP, Anda menentukan properti berikut:
+ Nama titik akses. Untuk informasi tentang aturan penamaan titik akses, lihat[Aturan penamaan titik akses](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
+ Identitas pengguna sistem file yang digunakan untuk mengotorisasi permintaan akses file yang dibuat menggunakan titik akses. Tentukan UNIX atau Windows nama pengguna POSIX yang ingin Anda sertakan. Untuk informasi selengkapnya, lihat [Identitas dan otorisasi pengguna sistem file](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity).
+ Konfigurasi jaringan titik akses menentukan apakah titik akses dapat diakses dari internet atau jika akses dibatasi ke virtual private cloud (VPC) tertentu. Untuk informasi selengkapnya, lihat [Membuat titik akses terbatas pada cloud privat virtual](access-points-for-fsxn-vpc.md).
## Untuk membuat titik akses S3 yang dilampirkan ke FSx volume (FSx konsol)
1. Buka FSx konsol Amazon di [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Di bilah navigasi di bagian atas halaman, pilih Wilayah AWS di mana Anda ingin membuat titik akses. Titik akses harus dibuat di Wilayah yang sama dengan volume terkait.
1. Di panel navigasi kiri, pilih **Volume**.
1. Pada halaman **Volume**, pilih volume ONTAP FSx untuk yang ingin Anda lampirkan titik akses.
1. Tampilkan halaman **Create S3 access point** dengan memilih **Create S3 access point dari menu** **Actions**.
1. Untuk **nama titik akses**, masukkan nama untuk titik akses. Untuk informasi selengkapnya tentang pedoman dan batasan untuk nama titik akses, lihat[Aturan penamaan titik akses](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
**Rincian sumber data** diisi dengan informasi volume yang Anda pilih di Langkah 3.
1. Identitas pengguna sistem file digunakan oleh Amazon FSx untuk mengautentikasi permintaan akses file yang dibuat menggunakan titik akses ini. Pastikan bahwa pengguna sistem file yang Anda tentukan memiliki izin yang benar pada volume FSx untuk ONTAP.
Untuk **tipe identitas pengguna sistem file**, pilih UNIX atau Windows.
1. Untuk **Nama Pengguna**, masukkan nama pengguna.
1. Di panel **konfigurasi Jaringan** Anda memilih apakah titik akses dapat diakses dari Internet, atau akses dibatasi ke cloud pribadi virtual tertentu.
Untuk **Network origin**, pilih **Internet** untuk membuat jalur akses dapat diakses dari internet, atau pilih **Virtual private cloud (VPC)**, dan masukkan **ID VPC** yang ingin Anda batasi akses ke titik akses.
Untuk informasi lebih lanjut tentang asal jaringan untuk titik akses, lihat [Membuat titik akses terbatas pada cloud privat virtual](access-points-for-fsxn-vpc.md).
1. (Opsional) Di bawah **Kebijakan Titik Akses - *opsional***, tentukan kebijakan jalur akses opsional. Pastikan untuk menyelesaikan peringatan, kesalahan, dan saran kebijakan apa pun. Untuk informasi selengkapnya tentang menentukan kebijakan jalur akses, lihat [Mengonfigurasi kebijakan IAM untuk menggunakan titik akses](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) di Panduan Pengguna *Layanan Penyimpanan Sederhana Amazon*.
1. Pilih **Buat titik akses** untuk meninjau konfigurasi lampiran titik akses.
## Untuk membuat titik akses S3 yang dilampirkan ke FSx volume (CLI)
Contoh perintah berikut membuat titik akses bernama *`my-ontap-ap`* yang dilampirkan ke volume FSx untuk ONTAP *`fsvol-0123456789abcdef9`* di akun*`111122223333`*.
```
$ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json
```
Untuk permintaan yang berhasil, sistem merespons dengan mengembalikan lampiran titik akses S3 baru.
```
$ {
{
"S3AccessPointAttachment": {
"CreationTime": 1728935791.8,
"Lifecycle": "CREATING",
"LifecycleTransitionReason": {
"Message": "string"
},
"Name": "my-ontap-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "ec2-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-0123467"
}
}
}
}
```
# Membuat titik akses terbatas pada cloud privat virtual
Saat Anda membuat titik akses, Anda dapat memilih untuk membuat jalur akses dapat diakses dari internet, atau Anda dapat menentukan bahwa semua permintaan yang dibuat melalui jalur akses tersebut harus berasal dari Amazon Virtual Private Cloud tertentu. Titik akses yang dapat diakses dari internet dikatakan memiliki asal jaringan dari `Internet`. Ini dapat digunakan dari mana saja di internet, tunduk pada batasan akses lain yang berlaku untuk titik akses, bucket atau FSx volume Amazon yang mendasari, dan sumber daya terkait, seperti objek yang diminta. Jalur akses yang hanya dapat diakses dari VPC Amazon tertentu memiliki asal jaringan`VPC`, dan Amazon S3 menolak permintaan apa pun yang dibuat ke titik akses yang tidak berasal dari VPC Amazon itu.
**penting**
Anda hanya dapat menentukan asal jaringan titik akses saat membuat titik akses. Setelah membuat titik akses, Anda tidak dapat mengubah asal jaringannya.
Untuk membatasi jalur akses ke akses khusus Amazon VPC, Anda menyertakan `VpcConfiguration` parameter dengan permintaan untuk membuat titik akses. Dalam `VpcConfiguration` parameter, Anda menentukan ID VPC Amazon yang Anda inginkan untuk dapat menggunakan titik akses. Jika permintaan dibuat melalui jalur akses, permintaan harus berasal dari Amazon VPC atau Amazon S3 akan menolaknya.
Anda dapat mengambil asal jaringan titik akses menggunakan AWS CLI, AWS SDKs, atau REST APIs. Jika titik akses memiliki konfigurasi VPC Amazon yang ditentukan, asal jaringannya adalah. `VPC` Jika tidak, asal jaringan titik aksesnya adalah `Internet`.
**Example**
***Contoh: Buat jalur akses yang dibatasi untuk akses VPC Amazon***
Contoh berikut membuat titik akses bernama `example-vpc-ap` bucket `amzn-s3-demo-bucket` in account `123456789012` yang memungkinkan akses hanya dari `vpc-1a2b3c` VPC Amazon. Contoh tersebut kemudian memverifikasi bahwa titik akses yang baru memiliki asal jaringan `VPC`.
```
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
```
```
$ {
{
"S3AccessPointAttachment": {
"Lifecycle": "CREATING",
"CreationTime": 1728935791.8,
"Name": "example-vpc-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "my-unix-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
"Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
}
}
}
}
```
Untuk menggunakan titik akses dengan VPC Amazon, Anda harus mengubah kebijakan akses untuk titik akhir VPC Amazon Anda. Titik akhir Amazon VPC memungkinkan lalu lintas mengalir dari VPC Amazon Anda ke Amazon S3. Mereka memiliki kebijakan kontrol akses yang mengontrol bagaimana sumber daya dalam VPC Amazon diizinkan untuk berinteraksi dengan Amazon S3. Permintaan dari VPC Amazon Anda ke Amazon S3 hanya berhasil melalui titik akses jika kebijakan titik akhir VPC Amazon memberikan akses ke titik akses dan bucket yang mendasarinya.
**catatan**
Agar sumber daya hanya dapat diakses dalam VPC Amazon, pastikan untuk membuat [zona host pribadi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) untuk titik akhir VPC Amazon Anda. Untuk menggunakan zona yang dihosting pribadi, [ubah setelan VPC Amazon Anda](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) sehingga [atribut jaringan VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) Amazon `enableDnsHostnames` dan `enableDnsSupport` disetel ke. `true`
Contoh pernyataan kebijakan berikut mengonfigurasi titik akhir VPC Amazon untuk mengizinkan panggilan `GetObject` ke dan titik akses bernama. `example-vpc-ap`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**catatan**
Pernyataan `Resource` di dalam contoh ini menggunakan Amazon Resource Name (ARN) untuk menentukan titik akses.
*Untuk informasi selengkapnya tentang kebijakan titik akhir Amazon VPC, lihat Titik [akhir Gateway untuk Amazon S3 di](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) Panduan Pengguna Amazon VPC.*
# Mengelola titik akses Amazon S3
Bagian ini menjelaskan cara mengelola dan menggunakan jalur akses Amazon S3 Anda menggunakan Konsol Manajemen AWS, AWS Command Line Interface, atau API.
**Topics**
+ [
# Daftar lampiran titik akses S3
](access-points-list.md)
+ [
# Melihat detail titik akses
](access-points-details.md)
+ [
# Menghapus lampiran titik akses S3
](delete-access-point.md)
# Daftar lampiran titik akses S3
Bagian ini menjelaskan cara membuat daftar titik akses S3 menggunakan Konsol Manajemen AWS, AWS Command Line Interface, atau REST API.
## Untuk mencantumkan semua titik akses S3 yang dilampirkan ke volume FSx untuk ONTAP (konsol Amazon FSx )
1. Buka FSx konsol Amazon di [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Di panel navigasi di sisi kiri konsol, pilih **Volume**.
1. Pada halaman **Volume**, pilih volume **ONTAP** yang ingin Anda lihat lampiran titik akses.
1. Pada halaman Detail volume, pilih **S3** untuk melihat daftar semua titik akses S3 yang dilampirkan pada volume.
## Untuk mencantumkan semua titik akses S3 yang dilampirkan ke volume FSx untuk ONTAP ()AWS CLI
[https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html)Contoh perintah berikut menunjukkan bagaimana Anda dapat menggunakan AWS CLI untuk daftar lampiran titik akses S3.
Perintah berikut mencantumkan semua titik akses S3 yang dilampirkan ke volume pada sistem file FSx untuk ONTAP fs-0abcdef123456789.
```
aws fsx describe-s3-access-point-attachments --filter {[Name: file-system-id, Values:{[fs-0abcdef123456789]}}
```
Perintah berikut mencantumkan titik akses S3 yang dilampirkan ke volume ONTAP FSx vol-9abcdef123456789].
```
aws fsx describe-s3-access-point-attachments --filter {[Name: volume-id, Values:{[vol-9abcdef123456789]}}
```
Untuk informasi dan contoh selengkapnya, lihat [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html) di *AWS CLI Referensi Perintah*.
# Melihat detail titik akses
Bagian ini menjelaskan cara melihat detail titik akses S3 menggunakan Konsol Manajemen AWS, AWS Command Line Interface, atau REST API.
## Untuk melihat detail titik akses S3 yang dilampirkan ke volume FSx untuk ONTAP (konsol Amazon FSx )
1. Buka FSx konsol Amazon di [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Arahkan ke volume yang dilampirkan ke titik akses yang detailnya ingin Anda lihat.
1. Pilih **S3** untuk menampilkan daftar titik akses yang melekat pada volume.
1. Pilih titik akses yang detailnya ingin Anda lihat.
1. Di bawah **ringkasan lampiran titik akses S3**, lihat detail konfigurasi dan properti untuk titik akses yang dipilih.
Konfigurasi **identitas pengguna sistem File** dan kebijakan **izin titik akses S3** juga terdaftar untuk lampiran titik akses.
1. Untuk melihat konfigurasi S3 titik akses di konsol Amazon S3, pilih nama titik akses S3 yang ditampilkan **di bawah** titik akses S3. Ini membawa Anda ke halaman detail titik akses di konsol Amazon S3.
# Menghapus lampiran titik akses S3
Bagian ini menjelaskan cara menghapus titik akses S3 menggunakan Konsol Manajemen AWS, AWS Command Line Interface, atau REST API.
`s3control:DeleteAccessPoint`Izin `fsx:DetatchAndDeleteS3AccessPoint` dan diperlukan untuk menghapus lampiran titik akses S3.
## Untuk menghapus titik akses S3 yang dilampirkan ke volume FSx untuk ONTAP (konsol Amazon FSx )
1. Buka FSx konsol Amazon di [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Arahkan ke volume yang dilampirkan lampiran titik akses S3 yang ingin Anda hapus.
1. Pilih **S3** untuk menampilkan daftar titik akses S3 yang melekat pada volume.
1. Pilih lampiran titik akses S3 yang ingin Anda hapus.
1. Pilih **Hapus**.
1. Konfirmasikan bahwa Anda ingin menghapus titik akses S3, dan pilih **Hapus**.
## Untuk menghapus titik akses S3 yang dilampirkan ke volume FSx untuk ONTAP ()AWS CLI
+ Untuk menghapus lampiran titik akses S3, gunakan perintah CLI [detach-and-delete-s3-access-point](https://docs.aws.amazon.com/cli/latest/reference/fsx/detach-and-delete-s3-access-point.html) (atau operasi API AccessPoint S3 yang [DetachAndDeletesetara](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DetachAndDeleteS3AccessPoint.html)), seperti yang ditunjukkan pada contoh berikut. Gunakan `--name` properti untuk menentukan nama lampiran titik akses S3 yang ingin Anda hapus.
```
aws fsx detach-and-delete-s3-access-point \
--region us-east-1 \
--name my-ontap-ap
```
# Menggunakan titik akses
Contoh berikut menunjukkan cara menggunakan titik akses untuk mengakses data file yang disimpan pada volume FSx untuk ONTAP menggunakan API S3. Untuk daftar lengkap operasi Amazon S3 API yang didukung oleh titik akses yang dilampirkan ke volume ONTAP, lihat. FSx [Kompatibilitas titik akses](access-points-for-fsxn-object-api-support.md)
**catatan**
File FSx untuk volume ONTAP diidentifikasi dengan file`StorageClass`. `FSX_ONTAP`
**Topics**
+ [
# Mengunduh file menggunakan titik akses S3
](get-object-ap.md)
+ [
# Mengunggah file menggunakan titik akses S3
](put-object-ap.md)
+ [
# Daftar file menggunakan titik akses S3
](list-object-ap.md)
+ [
# Menandai file menggunakan titik akses S3
](add-tag-set-ap.md)
+ [
# Menghapus file menggunakan titik akses S3
](delete-object-ap.md)
# Mengunduh file menggunakan titik akses S3
`get-object`Contoh perintah berikut menunjukkan bagaimana Anda dapat menggunakan AWS CLI untuk men-download file melalui titik akses. Anda harus menyertakan outfile, yang merupakan nama file untuk objek yang diunduh.
Contoh meminta file *`my-image.jpg`* melalui titik akses *`my-ontap-ap`* dan menyimpan file yang diunduh sebagai file*`download.jpg`*.
```
$ aws s3api get-object --key my-image.jpg --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias download.jpg
{
"AcceptRanges": "bytes",
"LastModified": "Mon, 14 Oct 2024 17:01:48 GMT",
"ContentLength": 141756,
"ETag": "\"00751974dc146b76404bb7290f8f51bb-1\"",
"ContentType": "binary/octet-stream",
"ServerSideEncryption": "SSE_FSX",
"Metadata": {},
"StorageClass": "FSX_ONTAP"
}
```
Anda juga dapat menggunakan REST API untuk mengunduh objek melalui titik akses. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html) dalam *Referensi API Amazon Simple Storage Service*.
# Mengunggah file menggunakan titik akses S3
`put-object`Contoh perintah berikut menunjukkan bagaimana Anda dapat menggunakan AWS CLI untuk meng-upload file melalui titik akses. Anda harus menyertakan outfile, yang merupakan nama file untuk objek yang diunggah.
Contoh mengunggah file *`my-new-image.jpg`* melalui titik akses *`my-ontap-ap`* dan menyimpan file yang diunggah sebagai file. *`my-new-image.jpg`*
```
$ aws s3api put-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-new-image.jpg --body my-new-image.jpg
```
Anda juga dapat menggunakan REST API untuk mengunggah objek melalui titik akses. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html) dalam *Referensi API Amazon Simple Storage Service*.
# Daftar file menggunakan titik akses S3
Contoh berikut mencantumkan file melalui alias access point yang `my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias` dimiliki oleh ID akun *`111122223333`* di Region*`us-east-2`*.
```
$ aws s3api list-objects-v2 --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias
{
"Contents": [
{
"Key": ".hidden-dir-with-data/file.txt",
"LastModified": "2024-10-29T14:22:05.4359",
"ETag": "\"88990077ab44cd55ef66aa77-1\"",
"Size": 18,
"StorageClass": "FSX_ONTAP"
},
{
"Key": "documents/report.rtf",
"LastModified": "2024-11-02T10:18:15.6621",
"ETag": "\"ab12cd34ef56a89219zg6aa77-1\"",
"Size": 1048576,
"StorageClass": "FSX_ONTAP"
},
]
}
```
Anda juga dapat menggunakan REST API untuk membuat daftar file Anda. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html) dalam *Referensi API Amazon Simple Storage Service*.
# Menandai file menggunakan titik akses S3
`put-object-tagging`Contoh perintah berikut menunjukkan bagaimana Anda dapat menggunakan AWS CLI untuk menambahkan tag-set melalui titik akses. Setiap tag adalah pasangan nilai kunci. Untuk informasi selengkapnya, lihat [Mengkategorikan penyimpanan menggunakan tag](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.
Contoh menambahkan tag-set ke file yang ada `my-image.jpg` menggunakan titik akses. *`my-ontap-ap`*
```
$ aws s3api put-object-tagging --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg --tagging TagSet=[{Key="finance",Value="true"}]
```
Anda juga dapat menggunakan REST API untuk menambahkan tag-set ke objek melalui titik akses. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html) dalam *Referensi API Amazon Simple Storage Service*.
# Menghapus file menggunakan titik akses S3
`delete-object`Contoh perintah berikut menunjukkan bagaimana Anda dapat menggunakan AWS CLI untuk menghapus file melalui titik akses.
```
$ aws s3api delete-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg
```
Anda juga dapat menggunakan REST API untuk menghapus objek melalui titik akses. Untuk informasi selengkapnya, lihat [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html) dalam *Referensi API Amazon Simple Storage Service*.
# Memecahkan masalah titik akses S3
Bagian ini menjelaskan gejala, penyebab, dan resolusi ketika Anda mengalami masalah saat mengakses FSx data Anda dari titik akses S3.
## Pembuatan jalur akses S3 gagal karena kegagalan pencarian identitas pengguna sistem file
Saat membuat dan melampirkan Titik Akses S3, a [https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type)harus disediakan. Anda bertanggung jawab untuk mengonfigurasi pengguna UNIX atau Windows yang disediakan dalam ONTAP.
Jika a [https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html)disediakan, ONTAP harus dapat memetakan UnixUser nama ke UNIX UID/. GIDs ONTAP menentukan cara melakukan pemetaan ini menggunakan konfigurasi [sakelar layanan nama](https://docs.netapp.com/us-en/ontap/nfs-admin/ontap-name-service-switch-config-concept.html).
```
> vserver services name-service ns-switch show
```
```
Vserver Database Order
--------------- ------------ ---------
svm_1 hosts files,
dns
svm_1 group files,
ldap
svm_1 passwd files,
ldap
svm_1 netgroup nis,
files
```
Pastikan Anda UnixUser memiliki entri di `group` database `passwd` dan menggunakan sumber yang valid (`files`,`ldap`, dll). `files`Sumber dapat dikonfigurasi menggunakan `vserver services name-service unix-group` perintah `vserver services name-service unix-user` and. `ldap`Sumber dapat dikonfigurasi menggunakan `vserver services name-service ldap` perintah.
Jika a [https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html)disediakan, ONTAP harus dapat menemukan WindowsUser nama di domain Active Directory yang bergabung.
Untuk mengonfirmasi apakah disediakan UnixUser atau WindowsUser dipetakan dengan benar, menggunakan `fsxadmin` Anda dapat menggunakan perintah berikut (ganti `-unix-user-name` dengan `-win-name` for WindowsUsers):
```
> vserver services access-check authentication show-creds -node FsxId0fd48ff588b9d3eee-01 -vserver svm_name -unix-user-name root -show-partial-unix-creds true
```
Contoh output yang berhasil:
```
UNIX UID: root
GID: daemon
Supplementary GIDs:
daemon
```
Contoh output yang tidak berhasil:
```
Error: Acquire UNIX credentials procedure failed
[ 2 ms] Entry for user-name: unmapped-user not found in the
current source: FILES. Entry for user-name: unmapped-user
not found in any of the available sources
**[ 3] FAILURE: Unable to retrieve UID for UNIX user
** unmapped-user
Error: command failed: Failed to resolve user name to a UNIX ID. Reason: "SecD Error: object not found".
```
Pemetaan pengguna yang salah dapat mengakibatkan `Access Denied` kesalahan dari S3. Lihat contoh alasan kegagalan di bawah ini.
**`Entry for user-name not found in the current source: LDAP`**
Jika Anda `ns-switch` dikonfigurasi untuk menggunakan `ldap` sumber, pastikan ONTAP dikonfigurasi untuk menggunakan server LDAP Anda dengan benar. Lihat [NetAppLaporan Teknis untuk mengonfigurasi LDAP](https://www.netapp.com/pdf.html?item=/media/19423-tr-4835.pdf) untuk informasi selengkapnya.
**`RESULT_ERROR_DNS_CANT_REACH_SERVER` atau `RESULT_ERROR_SECD_IN_DISCOVERY`**
Kesalahan ini menunjukkan masalah dengan konfigurasi DNS vserver di ONTAP. Jalankan yang berikut ini untuk memastikan DNS vserver Anda dikonfigurasi dengan benar:
```
> dns check -vserver svm_name
```
**`NT_STATUS_PENDING`**
Kesalahan ini menunjukkan masalah saat berkomunikasi dengan pengontrol domain. Penyebab yang mendasarinya mungkin karena kurangnya kredit SMB. Lihat [NetApp KB](https://kb.netapp.com/on-prem/ontap/da/NAS/NAS-KBs/How_ONTAP_implements_SMB_crediting) untuk informasi lebih lanjut.
## Pembuatan titik akses S3 gagal karena volume tidak dipasang.
Titik akses S3 hanya dapat dilampirkan FSx untuk volume ONTAP yang dipasang (memiliki jalur persimpangan). Ini juga berlaku untuk jenis volume DP (Perlindungan Data). Lihat [dokumentasi pemasangan volume ONTAP](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html) untuk informasi selengkapnya.
## Pembuatan titik akses S3 gagal karena protokol S3 dinonaktifkan pada SVM
Titik akses S3 memerlukan protokol S3 untuk diaktifkan pada Storage Virtual Machine (SVM). Untuk mengaktifkan protokol S3, jalankan perintah berikut di CLI ONTAP menggunakan: `fsxadmin`
```
> vserver add-protocols -vserver svm_name -protocols s3
```
Untuk memverifikasi protokol diaktifkan:
```
> vserver show -vserver svm_name -fields allowed-protocols,disallowed-protocols
```
## Sistem file tidak dapat menangani permintaan S3
Jika volume permintaan S3 untuk beban kerja tertentu melebihi kapasitas sistem file untuk menangani lalu lintas, Anda mungkin mengalami kesalahan permintaan S3 (misalnya,, `Internal Server Error``503 Slow Down`, dan). `Service Unavailable` Anda dapat secara proaktif memantau dan alarm kinerja sistem file Anda menggunakan CloudWatch metrik Amazon (misalnya, `Network throughput utilization` dan`CPU utilization`). Jika Anda mengamati kinerja yang menurun, Anda dapat mengatasi masalah ini dengan meningkatkan kapasitas throughput sistem file.
## Akses Ditolak dengan izin titik akses S3 default untuk peran layanan yang dibuat secara otomatis
Beberapa AWS layanan terintegrasi S3 akan membuat peran layanan khusus dan menyesuaikan izin terlampir ke kasus penggunaan spesifik Anda. Saat menentukan alias titik akses S3 Anda sebagai sumber daya S3, izin terlampir tersebut mungkin menyertakan titik akses Anda menggunakan format ARN bucket (misalnya,) `arn:aws:s3:::my-fsx-ap-foo7detztxouyjpwtu8krroppxytruse1a-ext-s3alias` daripada format ARN titik akses (misalnya,). `arn:aws:s3:us-east-1:1234567890:accesspoint/my-fsx-ap` Untuk mengatasi hal ini, ubah kebijakan untuk menggunakan ARN dari titik akses.