Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Endpoint VPC per S3 Vectors
<a name="s3-vectors-privatelink"></a>

Per accedere a S3 Vectors dal tuo cloud privato virtuale (VPC), Amazon S3 supporta gli endpoint VPC di interfaccia utilizzando (). AWS PrivateLink PrivateLink PrivateLink fornisce connettività privata tra il tuo VPC e S3 Vectors senza richiedere un gateway Internet o un dispositivo NAT. Gli endpoint dell'interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENIs) a cui vengono assegnati indirizzi IP privati dalle sottoreti del VPC. Le richieste ai vettori S3 tramite gli endpoint di interfaccia rimangono sulla rete. AWS 

Puoi anche accedere agli endpoint di interfaccia nel tuo VPC da applicazioni locali AWS Direct Connect tramite AWS la nostra rete AWS privata virtuale (VPN). Per ulteriori informazioni su come connettere il VPC alla rete locale, consulta la Guida per l'utente e la *[Guida per AWS Direct Connect l'utente](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)* della *[AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)*. *Per informazioni generali sugli endpoint di interfaccia, consulta [Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *

## Vantaggi dell'utilizzo con PrivateLink S3 Vectors
<a name="s3-vectors-privatelink-benefits"></a>

L'utilizzo PrivateLink con S3 Vectors offre diversi vantaggi operativi e di sicurezza:
+ **Sicurezza migliorata**: il traffico tra il tuo VPC e S3 Vectors rimane all'interno della AWS rete e non attraversa Internet.
+ **Architettura di rete semplificata**: accedi a S3 Vectors senza configurare gateway Internet, dispositivi NAT o connessioni VPN.
+ **Controllo granulare degli accessi**: utilizza le policy degli endpoint VPC per controllare a quali bucket vettoriali e indici vettoriali è possibile accedere tramite l'endpoint.
+ **Supporto alla conformità**: soddisfa i requisiti normativi che impongono la connettività di rete privata per i dati sensibili.

## Nomi e risoluzione DNS degli endpoint VPC
<a name="s3-vectors-privatelink-endpoints"></a>

Quando crei un endpoint VPC, S3 Vectors genera due tipi di nomi DNS specifici dell'endpoint: regionale e zonale.

I nomi DNS regionali e zonali degli endpoint VPC di interfaccia per S3 Vectors sono i seguenti:
+ **Nome DNS regionale: `vpce-1a2b3c4d-5e6f.s3vectors.region.vpce.amazonaws.com` - Il nome DNS** regionale dell'endpoint VPC. Risolvi sempre a indirizzi IP privati.
+ **Nome DNS zonale: `vpce-1a2b3c4d-5e6f-availability_zone_code.s3vectors.region.vpce.amazonaws.com` - Nomi DNS** degli endpoint VPC specifici della zona. Risolvi sempre a indirizzi IP privati.

Puoi anche utilizzare il nome DNS dell'endpoint pubblico `s3vectors.region.api.aws` come nome DNS privato del servizio endpoint se hai abilitato il DNS privato per l'endpoint VPC.

## Indirizzamento IP per gli endpoint di interfaccia
<a name="s3-vectors-privatelink-ip-support"></a>

Supporto per endpoint DNS regionali, zonali e privati di S3 Vectors e tipi IP IPv4 dualstack IPv6 per. AWS PrivateLink*Per ulteriori informazioni, consulta [Tipi di indirizzi IP e Tipo IP](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-service-ip-address-type) dei record [DNS](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-services-dns-record-ip-type) per i servizi nella Guida. AWS AWS PrivateLink * 

Di seguito sono riportate alcune cose che dovresti sapere prima di provare ad accedere agli indici vettoriali e ai bucket vettoriali di S3 Vectors nel tuo VPC: IPv6 
+ Il client che usi per accedere ai vettori e il tuo client S3 Vectors devono entrambi avere il dual-stack abilitato.
+ Se il tuo gruppo di sicurezza VPC non è IPv6 configurato, dovrai configurare una regola per consentire IPv6 il traffico. Per ulteriori informazioni, consulta la [Fase 3: Aggiornamento delle regole del gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html#vpc-migrate-ipv6-sg-rules) nella Guida per l'*utente VPC e [Configurazione delle regole dei gruppi di sicurezza](https://docs.aws.amazon.com/ec2/latest/userguide/working-with-security-groups.html#adding-security-group-rule) nella Guida* per l'utente di *Amazon EC2*.
+ Se il tuo VPC non è IPv6 CIDRs stato assegnato, dovrai aggiungere manualmente un blocco IPv6 CIDR al tuo VPC. *Per ulteriori informazioni, consulta [Aggiungere il IPv6 supporto per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-ipv6) nella AWS PrivateLink Guida.*
+ Se utilizzi le policy IAM per il filtraggio degli indirizzi IP, queste devono essere aggiornate per gestire IPv6 gli indirizzi. Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso con IAM, consulta [Identity and Access Management in S3 Vectors](s3-vectors-access-management.md).

## Creazione di un endpoint di interfaccia VPC per S3 Vectors
<a name="s3-vectors-privatelink-create"></a>

Puoi creare un endpoint di interfaccia VPC per S3 Vectors utilizzando la console VPC AWS , l'interfaccia CLI o l'API. AWS SDKs AWS 

### Utilizzo della console S3
<a name="s3-vectors-privatelink-create-console"></a>

1. Apri la console VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Nel pannello di navigazione, seleziona **Endpoints (Endpoint)**.

1. Seleziona **Crea endpoint**.

1. Per **Service category (Categoria servizio)**, scegli **AWS services**.

1. Per **Servizi**, cerca `s3vectors` e seleziona`com.amazonaws.region.s3vectors`.

1. Per **VPC**, seleziona il VPC in cui desideri creare l'endpoint.

1. (Facoltativo) In **Impostazioni aggiuntive**, in **Abilita nome DNS**, scegli se abilitare la funzionalità DNS privata. Se abilitate, le richieste che utilizzano l'endpoint del servizio pubblico (`s3vectors.region.api.aws`), come le richieste effettuate tramite AWS SDKs, vengono risolte sull'endpoint VPC anziché sull'endpoint pubblico. 

1. Per **Subnet, seleziona le sottoreti** in cui desideri creare le interfacce di rete degli endpoint.

1. Per il tipo di **indirizzo IP, scegli il tipo di indirizzo** IP per l'endpoint:
   + **IPv4**: assegna IPv4 gli indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno intervalli di indirizzi. IPv4 
   + **IPv6**: assegna IPv6 indirizzi alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono solo sottoreti. IPv6 
   + **Dualstack**: assegna entrambi IPv4 gli indirizzi alle interfacce di rete degli endpoint. IPv6 Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di indirizzi. IPv4 IPv6

1. Per **Security groups** (Gruppi di sicurezza), seleziona i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint. 

1. (Facoltativo) Per **Policy**, puoi allegare una policy degli endpoint VPC per controllare l'accesso a S3 Vectors tramite l'endpoint. **Per consentire tutte le operazioni da parte di tutti i principali su tutte le risorse S3 Vectors sull'endpoint di interfaccia, scegli Accesso completo.** Per limitare l'accesso, scegli **Personalizzato** e inserisci una politica. Per ulteriori informazioni, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella Guida. AWS PrivateLink Se non alleghi una policy, la policy predefinita consente l'accesso completo. 

1. Seleziona **Crea endpoint**.

### Utilizzando il AWS CLI
<a name="s3-vectors-privatelink-create-cli"></a>

Per creare un nuovo endpoint VPC che restituisca entrambi IPv4 e IPv6 per i vettori S3, usa il seguente comando CLI di esempio. Per ulteriori informazioni, consulta [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html).

```
aws ec2 create-vpc-endpoint \
    --vpc-id vpc-12345678 \
    --service-name com.amazonaws.region.s3vectors \
    --vpc-endpoint-type Interface \
    --subnet-ids subnet-12345678 subnet-87654321 \
    --security-group-ids sg-12345678 \
    --ip-address-type dualstack \
    --private-dns-enabled
```

Il `--private-dns-enabled` parametro abilita la funzionalità DNS privata. Se abilitato, le richieste di `s3vectors.region.api.aws` verranno inoltrate attraverso l'endpoint VPC.

*Per ulteriori informazioni sulla creazione di endpoint VPC, consulta Creare [un endpoint VPC nella Guida per l'utente VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws).*

## Policy degli endpoint VPC per S3 Vectors
<a name="s3-vectors-privatelink-policies"></a>

Analogamente alle politiche basate sulle risorse, puoi allegare una policy endpoint al tuo endpoint VPC per controllare l'accesso agli indici vettoriali e ai bucket vettoriali. Per ulteriori informazioni sulle politiche degli endpoint, consulta [Controllare l'accesso agli endpoint VPC utilizzando le politiche degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella Guida. AWS PrivateLink 

### Esempi di policy per gli endpoint VPC
<a name="s3-vectors-privatelink-policy-examples"></a>

Il seguente esempio di policy sugli endpoint VPC consente l'accesso a tutte le operazioni di S3 Vectors per tutti i principali:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:*"
      ],
      "Resource": "*"
    }
  ]
}
```

Il seguente esempio di politica degli endpoint VPC limita l'accesso a un bucket vettoriale specifico:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:GetVectorBucket",
        "s3vectors:ListIndexes",
        "s3vectors:GetIndex",
        "s3vectors:QueryVectors",
        "s3vectors:GetVectors"
      ],
      "Resource": [
        "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket",
        "arn:aws:s3vectors:us-west-2:111122223333:bucket/amzn-s3-demo-vector-bucket/*"
      ]
    }
  ]
}
```

Il seguente esempio di politica degli endpoint VPC consente l'accesso solo durante l'orario lavorativo utilizzando la `aws:CurrentTime` chiave di condizione:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3vectors:*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "08:00Z"
        },
        "DateLessThan": {
          "aws:CurrentTime": "18:00Z"
        }
      }
    }
  ]
}
```

## Configurazione dei client S3 Vectors per gli endpoint VPC
<a name="s3-vectors-privatelink-configure-clients"></a>

Quando si utilizzano endpoint VPC con S3 Vectors, è possibile configurare i client S3 Vectors in modo che utilizzino il nome DNS del servizio o il nome DNS dell'endpoint VPC.

### Utilizzando il AWS SDKs
<a name="s3-vectors-privatelink-sdk-config"></a>

------
#### [ SDK for Python ]

L'esempio seguente mostra come configurare il client S3 Vectors in SDK for Python (Boto3) per utilizzare un endpoint VPC:

```
import boto3

# Using service DNS name (requires private DNS feature enabled on VPC endpoint)
s3vectors_client = boto3.client(
    's3vectors',
    region_name='us-west-2',
    endpoint_url='https://s3vectors.us-west-2.api.aws'
)

# Using VPC endpoint DNS name
s3vectors_client = boto3.client(
    's3vectors',
    region_name='us-west-2',
    endpoint_url='https://vpce-12345678.s3vectors.us-west-2.vpce.amazonaws.com'
)
```

------

## Risoluzione dei problemi relativi agli endpoint VPC
<a name="s3-vectors-privatelink-troubleshooting"></a>

Se riscontri problemi con l'endpoint VPC dell'interfaccia, considera i seguenti passaggi per la risoluzione dei problemi:
+ **Risoluzione DNS**: verifica che le query DNS per l'endpoint si risolvano in indirizzi IP privati all'interno dell'intervallo CIDR del VPC quando utilizzi DNS privato.
+ **Gruppi di sicurezza**: assicurati che il gruppo di sicurezza associato all'endpoint VPC consenta il traffico HTTPS in entrata (porta 443) dalle tue risorse VPC.
+ **Tabelle di routing**: verifica che le tabelle di routing della subnet non abbiano percorsi in conflitto che potrebbero reindirizzare il traffico lontano dall'endpoint VPC.
+ Policy **degli endpoint VPC: verifica che la policy** degli endpoint VPC consenta le azioni e le risorse S3 Vectors necessarie.
+ **Configurazione client**: se la funzionalità DNS privato è disabilitata, configura il client S3 Vectors per utilizzare il nome DNS dell'endpoint VPC anziché il nome DNS del servizio.

## Monitoraggio dell'utilizzo degli endpoint VPC
<a name="s3-vectors-privatelink-monitoring"></a>

Puoi monitorare l'utilizzo degli endpoint VPC S3 Vectors tramite i registri degli eventi. CloudTrail [NetworkActivity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html)

Per ulteriori informazioni sulla registrazione di S3 Vectors, consulta. [Registrazione con AWS CloudTrail per i vettori S3](s3-vectors-logging.md)