기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon S3 액세스 포인트를 통해 데이터 액세스
또한 S3 액세스 포인트를 사용하여 S3에 있는 것처럼 Amazon FSx 파일 시스템에 저장된 파일 데이터에 액세스할 수 S3있으므로 애플리케이션 변경이나 파일 스토리지 외부로 데이터 이동 없이 S3로 작업하는 애플리케이션 및 서비스와 함께 사용할 수 있습니다. Amazon S3 액세스 포인트는 S3 버킷 또는 FSx for ONTAP 및 FSx for OpenZFS 볼륨에 연결하는 S3 엔드포인트입니다. Amazon S3 액세스 포인트는 S3에서 작동하는 모든 애플리케이션 또는 AWS 서비스에 대한 데이터 액세스 관리를 간소화합니다. S3 액세스 포인트를 사용하면 데이터 레이크, 미디어 아카이브, 사용자 생성 콘텐츠를 포함한 공유 데이터 세트를 보유한 고객이 각각에 맞게 사용자 지정된 이름과 권한이 있는 개별화된 액세스 포인트를 생성하여 수백 개의 애플리케이션, 팀 또는 개인에 대한 데이터 액세스를 쉽게 제어하고 확장할 수 있습니다.
Amazon FSx for NetApp ONTAP 볼륨에 연결된 S3 액세스 포인트는 Amazon S3 엔드포인트에 대한 S3 객체 작업(예: , 및 `ListObjectsV2`)을 사용하여 파일 데이터에 대한 읽기 `GetObject` `PutObject`및 쓰기 액세스를 지원합니다.
FSx for ONTAP 파일 시스템에 연결된 각 S3 액세스 포인트에는 AWS Identity and Access Management (IAM) 액세스 포인트 정책과 액세스 포인트를 통해 이루어진 모든 요청을 승인하는 데 사용되는 연결된 UNIX 또는 Windows 파일 시스템 사용자가 있습니다. 각 요청에 대해 S3는 먼저 사용자, 액세스 포인트, S3 VPC 엔드포인트 및 서비스 제어 정책에 대한 정책을 포함하여 모든 관련 정책을 평가하여 요청을 승인합니다. 요청이 S3에 의해 승인되면 요청은 파일 시스템에 의해 승인됩니다. 파일 시스템은 S3 액세스 포인트와 연결된 파일 시스템 사용자에게 파일 시스템의 데이터에 대한 액세스 권한이 있는지 여부를 평가합니다. Virtual Private Cloud(VPC)의 요청만 수락하도록 액세스 포인트를 구성하여 프라이빗 네트워크에 대한 Amazon S3 데이터 액세스를 제한할 수 있습니다. Amazon S3는 FSx for ONTAP 볼륨에 연결된 모든 액세스 포인트에 대해 기본적으로 퍼블릭 액세스 차단을 적용하며이 설정을 수정하거나 비활성화할 수 없습니다.
Amazon FSx 콘솔, CLI 및 API를 사용하여 [ S3 액세스 포인트를 생성하고 FSx for ONTAP 볼륨에 연결합니다](fsxn-creating-access-points.md). FSx 액세스 포인트를 사용하면 S3 API를 사용하여 파일 데이터에 액세스할 수 있지만 데이터는 FSx for ONTAP 파일 시스템에 계속 상주하며 NFS 및 SMB 프로토콜을 계속 사용하여 S3 API와 함께 데이터에 액세스할 수 있습니다.
FSx for ONTAP 파일 시스템의 Amazon S3 액세스 포인트는 S3 버킷 액세스와 일치하는 수십 밀리초 범위의 지연 시간을 제공합니다. S3 API를 통해 Amazon FSx 파일 시스템으로 구동할 수 있는 초당 처리량 및 요청은 파일 시스템의 프로비저닝된 처리량에 따라 달라집니다. 파일 시스템 성능 기능에 대한 자세한 내용은 섹션을 참조하세요. [Amazon FSx for NetApp ONTAP 성능성능](performance.md)
**Topics**
+ [AWS 리전 FSx for ONTAP용 Amazon S3 액세스 포인트 사용](#access-points-for-fsx-ontap-supported-regions)
+ [액세스 포인트 이름 지정 규칙, 제한 및 한계](access-point-for-fsxn-restrictions-limitations-naming-rules.md)
+ [ARNs, 액세스 포인트 별칭 또는 virtual-hosted-style URIs를 사용하여 액세스 포인트 참조](referencing-access-points-for-fsxn.md)
+ [액세스 포인트 호환성](access-points-for-fsxn-object-api-support.md)
+ [액세스 포인트 액세스 관리](s3-ap-manage-access-fsxn.md)
+ [액세스 포인트 생성](fsxn-creating-access-points.md)
+ [Amazon S3 액세스 포인트 관리](access-points-for-fsxn-manage.md)
+ [액세스 포인트 사용](access-points-for-fsxn-usage-examples.md)
+ [S3 액세스 포인트 문제 해결](troubleshooting-access-points-for-fsxn.md)
## AWS 리전 FSx for ONTAP용 Amazon S3 액세스 포인트 사용
FSx for ONTAP에 대한 Amazon S3 액세스 포인트는 AWS 리전아프리카(케이프타운), 아시아 태평양(홍콩, 하이데라바드, 자카르타, 멜버른, 뭄바이, 오사카, 서울, 싱가포르, 시드니, 도쿄), 캐나다(중부), 캐나다 서부(캘거리), 유럽(프랑크푸르트, 아일랜드, 런던, 밀라노, 파리, 스페인, 스톡홀름, 취리히), 이스라엘(텔아비브), 중동(바레인, UAE), 남아메리카(상파울루), 미국 동부(버지니아 북부, 오하이오) 및 미국 서부(캘리포니아 북부, 오레곤)에서 지원됩니다.
# 액세스 포인트 이름 지정 규칙, 제한 및 한계
S3 액세스 포인트를 생성할 때 해당 액세스 포인트의 이름을 선택합니다. 다음 주제에서는 S3 액세스 포인트 이름 지정 규칙, 제한 및 제한에 대한 정보를 제공합니다.
**Topics**
+ [액세스 포인트 이름 지정 규칙](#access-points-for-fsxn-naming-rules)
+ [액세스 포인트 규제 및 제한](#access-points-for-fsxn-restrictions-limitations)
## 액세스 포인트 이름 지정 규칙
S3 액세스 포인트를 생성할 때 해당 이름을 선택합니다. 액세스 포인트 이름은 AWS 계정 또는 간에 고유할 필요가 없습니다 AWS 리전. 동일한에서 동일한 이름의 액세스 포인트를 만들 AWS 계정 수도 있고, AWS 리전 두에서 동일한 액세스 포인트 이름을 사용할 수도 AWS 계정 있습니다. 그러나 단일 내에서 이름이 동일한 액세스 포인트 2개가 없을 AWS 리전 AWS 계정 수 있습니다.
S3 액세스 포인트 이름은 액세스 포인트 별칭용으로 `-ext-s3alias`예약된 접미사 로 끝날 수 없습니다. 액세스 포인트 이름 지정 규칙의 전체 목록은 [ Amazon Simple Storage Service 사용 설명서의 Amazon S3 액세스 포인트의 이름 지정 규칙을](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html#access-points-names) 참조하세요. **
## 액세스 포인트 규제 및 제한
FSx for ONTAP 볼륨에 연결된 S3 액세스 포인트에는 다음과 같은 제한이 있으며, 이는 S3 버킷에 연결된 액세스 포인트에는 적용되지 않습니다.
+ 연결하려는 FSx for ONTAP 볼륨 AWS 리전 과 동일한 에서만 S3 액세스 포인트를 생성할 수 있습니다.
+ 동일한가 FSx for ONTAP 파일 시스템과 S3 액세스 포인트를 소유해야 AWS 계정 합니다. 소유한 FSx for ONTAP 볼륨에 연결된 S3 액세스 포인트만 생성할 수 있습니다. 다른이 소유한 볼륨에 연결된 S3 액세스 포인트는 생성할 수 없습니다 AWS 계정.
+ NetApp ONTAP 버전 9.17.1 이상을 실행하는 FSx for ONTAP 파일 시스템에만 S3 액세스 포인트를 생성하고 연결할 수 있습니다.
모든 액세스 포인트 제한 및 제한의 전체 목록은 *Amazon Simple Storage Service 사용 설명서*의 [액세스 포인트에 대한 제한 및 제한을 참조하세요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html).
# ARNs, 액세스 포인트 별칭 또는 virtual-hosted-style URIs를 사용하여 액세스 포인트 참조
FSx for ONTAP 볼륨에 연결된 액세스 포인트를 생성한 후 AWS CLI 및 S3 API와 S3-compatible AWS 및 타사 서비스 및 애플리케이션을 통해 데이터에 액세스할 수 있습니다. AWS 서비스 또는 애플리케이션의 액세스 포인트를 참조할 때 Amazon 리소스 이름(ARN), 액세스 포인트 별칭 또는 가상 호스팅 스타일 URI를 사용할 수 있습니다.
**Topics**
+ [액세스 포인트 ARN](#access-point-arns)
+ [액세스 포인트 별칭](#access-point-aliases)
+ [가상 호스팅 방식 URI](#virtual-hosted-style-uri)
## 액세스 포인트 ARN
액세스 포인트에 Amazon 리소스 이름(ARN)이 있습니다. 액세스 포인트 ARNs은 S3 버킷 ARNs과 유사하지만 명시적으로 입력되고 액세스 포인트의 AWS 리전 및 액세스 포인트 소유자의 AWS 계정 ID를 인코딩합니다. ARN에 대한 자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [Amazon AWS 리소스 이름(ARNs)으로 리소스 식별](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 참조하세요.
액세스 포인트 ARNs 형식은 다음과 같습니다.
```
arn:aws::s3:region:account-id:accesspoint/resource
```
`arn:aws:s3:us-west-2:777777777777:accesspoint/test`는 *us-west-2* 리전의 계정 777777777777에서 소유한 *test*라는 액세스 포인트를 나타냅니다.
액세스 포인트를 통해 액세스되는 객체 및 파일의 ARNs은 다음 형식을 사용합니다.
```
arn:aws::s3:region:account-id:accesspoint/access-point-name/object/resource
```
`arn:aws:s3:us-west-2:111122223333:accesspoint/test/object/lions.jpg`는 *us-west-2* 리전의 계정 111122223333에서 소유한 *test*라는 액세스 포인트를 통해 액세스하는 *lions.jpg* 파일을 나타냅니다.
액세스 포인트 ARNs에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [액세스 포인트 ARNs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-arns)을 참조하세요.
## 액세스 포인트 별칭
액세스 포인트를 생성하면 Amazon S3는 S3 버킷 이름을 사용하여 데이터에 액세스할 수 있는 모든 곳에서 사용할 수 있는 액세스 포인트 별칭을 자동으로 생성합니다.
액세스 포인트 별칭은 변경할 수 없습니다. FSx for ONTAP 볼륨에 연결된 액세스 포인트의 경우 액세스 포인트 별칭은 다음 부분으로 구성됩니다.
```
access point prefix-metadata-ext-s3alias
```
다음은 FSx for ONTAP 볼륨에 연결된 S3 액세스 포인트의 ARN 및 액세스 포인트 `describe-s3-access-point-attachments` 별칭으로, FSx CLI 명령에 대한 응답의 일부로 반환됩니다. 이 예제의 액세스 포인트 이름은 입니다`my-ontap-ap`.
```
...
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
...
```
**참고**
접미사는 `-ext-s3alias` FSx for ONTAP 볼륨에 연결된 S3 액세스 포인트의 별칭에 예약되어 있으며 액세스 포인트 이름에 사용할 수 없습니다.
일부 Amazon S3 S3 액세스 포인트 ARN 대신 액세스 포인트 별칭을 사용할 수 있습니다. 지원되는 작업 목록은 섹션을 참조하세요[액세스 포인트 호환성](access-points-for-fsxn-object-api-support.md).
액세스 포인트 별칭 제한의 전체 세트는 *Amazon Simple Storage Service 사용 설명서*의 [액세스 포인트 별칭 제한을 참조하세요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-alias).
## 가상 호스팅 방식 URI
액세스 포인트는 가상 호스트 스타일의 주소 지정만 지원합니다. 가상 호스팅 방식 URI에서 액세스 포인트 이름 AWS 계정및 AWS 리전 는 URL에 있는 도메인 이름의 일부입니다. FSx for ONTAP 볼륨에 연결된 액세스 포인트의 S3 URI를 보려면 액세스 포인트 세부 정보 페이지의 **S3 액세스 포인트 세부 정보**에서 **S3 액세스 포인트에 대해 나열된 액세스 포인트** 이름을 선택합니다. 그러면 Amazon S3 콘솔의 액세스 포인트 세부 정보 페이지로 이동합니다. **속성**에서 **S3 URI**를 찾을 수 있습니다.
자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [가상 호스팅 방식 URI](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#accessing-a-bucket-through-s3-access-point)를 참조하세요.
# 액세스 포인트 호환성
액세스 포인트를 사용하여 데이터 액세스를 위해 다음 Amazon S3 APIs를 사용하여 FSx for ONTAP 볼륨에 저장된 데이터에 액세스할 수 있습니다. 아래 나열된 모든 작업은 액세스 포인트 ARN 또는 액세스 포인트 별칭을 수락할 수 있습니다.
다음 표는 Amazon S3 작업 중 일부와 액세스 포인트와의 호환 여부를 나열한 목록입니다. 이 표에는 FSx for ONTAP 볼륨을 데이터 소스로 사용하여 액세스 포인트에서 지원하는 작업이 나와 있습니다.
| S3 작업 | FSx for ONTAP 볼륨에 연결된 액세스 포인트 |
| --- | --- |
| `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | 지원됨 |
| `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | 지원됨 |
| `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)`(동일한 리전 사본만 해당) | 소스와 대상이 동일한 액세스 포인트 내에 있는 경우 지원됨 |
| `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | 지원됨 |
| `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | 지원됨 |
| `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | 지원됨 |
| `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | 지원됨 |
| `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | 지원되지 않음 |
| `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | 지원되지 않음 |
| `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | 지원됨 |
| `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | 지원되지 않음 |
| `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | 지원되지 않음 |
| `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | 지원됨 |
| `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | 지원되지 않음 |
| `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | 지원됨 |
| `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | 지원되지 않음 |
| `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | 지원되지 않음 |
| `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | 지원 |
| `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | 지원됨 |
| `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | 지원됨 |
| `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | 지원됨 |
| `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | 지원됨 |
| `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | 지원됨 |
| `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | 지원되지 않음 |
| `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | 지원됨 |
| `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | 지원되지 않음 |
| `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | 지원됨 |
| `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | 지원되지 않음 |
| `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | 지원되지 않음 |
| `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | 지원되지 않음 |
| `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | 지원됨 |
| `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | 지원되지 않음 |
| `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | 지원됨 |
| `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)`(동일한 리전 사본만 해당) | 소스와 대상이 동일한 액세스 포인트 내에 있는 경우 지원됨 |
Amazon S3 작업 사용에 대한 제한 사항은 다음과 같습니다.
+ 업로드의 최대 객체 크기는 5GB이지만 그보다 큰 객체를 다운로드할 수 있습니다.
+ `FSX_ONTAP`는 유일하게 지원되는 스토리지 클래스입니다.
+ SSE-FSX는 유일하게 지원되는 서버 측 암호화 모드입니다.
+ 다음 Amazon S3 기능은 지원되지 않습니다. 이외의 액세스 제어 목록(ACLs), 요청자 지불`bucket-owner-full-control`, 객체 버전 관리, 객체 잠금, 객체 수명 주기, 정적 웹 사이트 호스팅(예: 웹 사이트 리디렉션), 멀티 팩터 인증(MFA), 조건부 쓰기
액세스 포인트를 사용하여 파일 데이터에 대한 데이터 액세스 작업을 수행하는 예제는 섹션을 참조하세요[액세스 포인트 사용](access-points-for-fsxn-usage-examples.md).
**객체 ETag**
개체 태그는 객체의 해시입니다. ETag는 객체의 콘텐츠에 대한 변경 사항만 반영하고 메타데이터에 대한 변경을 반영하지 않습니다. ETag는 객체 데이터의 MD5 다이제스트가 아닙니다.
**객체 체크섬**
체크섬 값을 사용하여 업로드하는 데이터의 무결성을 확인할 수 있습니다. 데이터를 업로드하고 체크섬 알고리즘을 지정하면 AWS SDK는 선택한 체크섬 알고리즘을 사용하여 데이터 전송 전에 체크섬 값을 계산합니다. 그런 다음 Amazon S3는 데이터의 체크섬을 독립적으로 계산하고 제공된 체크섬 값과 비교하여 검증합니다. 객체는 Amazon S3로 전송하는 동안 데이터 무결성이 유지되었는지 확인한 후에만 수락됩니다. Amazon S3 범용 버킷의 객체에 대한 체크섬과 달리 체크섬 값은 FSx for NetApp ONTAP 볼륨에 객체 메타데이터 및 객체 자체로 저장되지 않습니다. 즉, 체크섬 값은 응답에 반환되지 않으며 다운로드 시 객체 무결성을 확인하는 데 사용되지 않습니다.
**Amazon FSx를 사용한 서버 측 암호화(SSE-FSX)**
모든 Amazon FSx 파일 시스템에는 기본적으로 암호화가 구성되어 있으며를 사용하여 관리되는 키로 저장 시 암호화됩니다 AWS Key Management Service. 데이터를 파일 시스템에 쓰고 읽을 때 파일 시스템에서 데이터가 자동으로 암호화되고 해독됩니다. 이러한 프로세스는 Amazon FSx에서 투명하게 처리됩니다.
**멀티파트 업로드**
멀티파트 업로드를 사용하면 단일 객체를 여러 부분의 집합으로 업로드할 수 있습니다. 각 부분은 객체 데이터의 연속적인 부분입니다. 이러한 객체 파트는 독립적으로 그리고 임의의 순서로 업로드할 수 있습니다. FSx for ONTAP에서 S3 액세스 포인트를 사용할 때 멀티파트 업로드에는 다음과 같은 고려 사항이 있습니다.
+ 진행 중인 멀티파트 업로드(즉, 불완전한 업로드)와 관련된 부분은 FSx for ONTAP 볼륨 백업에 포함되지 않습니다.
+ 진행 중인 멀티파트 업로드(즉, 불완전한 업로드) 파트와 연결된 사용된 스토리지는 대상 볼륨의 `StorageUsed` 스토리지 용량 CloudWatch 지표에는 반영되지 않지만 상위 파일 시스템의 `StorageUsed` 스토리지 용량 CloudWatch 지표에는 반영됩니다.
+ 멀티파트 업로드 작업이 완료되면 연결된 파트 메타데이터가 더 이상 객체와 함께 저장되지 않습니다. 즉,를 사용하여 객체 부분 metdata를 검색`GetObjectAttributes`하거나 읽는 객체의 부분 번호로 객체의 단일 부분을 다운로드할 수 없습니다.
**액세스 제어 목록(ACL)**
Amazon S3 ACL(액세스 제어 목록)로 버킷과 객체에 대한 액세스를 관리합니다. FSx용 S3 액세스 포인트는 `bucket-owner-full-control` ACL 값만 지원합니다. 다른 ACL 값을 사용하면 `InvalidArgument` 예외가 발생합니다.
# 액세스 포인트 액세스 관리
해당 액세스 포인트를 사용하여 이루어진 모든 요청에 대해 S3가 적용하는 고유한 권한 및 네트워크 제어를 사용하여 각 S3 액세스 포인트를 구성할 수 있습니다. S3 액세스 포인트는 리소스, 사용자 또는 기타 조건별로 액세스 포인트 사용을 제어하는 데 사용할 수 있는 AWS Identity and Access Management (IAM) 리소스 정책을 지원합니다. 애플리케이션 또는 사용자가 액세스 포인트를 통해 파일에 액세스하려면 액세스 포인트와 기본 볼륨 모두에서 요청을 허용해야 합니다. 자세한 내용은 [IAM 액세스 포인트 정책](#access-points-for-fsxn-policies) 단원을 참조하십시오.
FSx for ONTAP용 Amazon S3 액세스 포인트는 AWS IAM 권한과 파일 시스템 수준 권한을 결합하는 이중 계층 권한 부여 모델을 사용합니다. 이 접근 방식을 사용하면 AWS 서비스 수준과 기본 파일 시스템 수준 모두에서 데이터 액세스 요청이 제대로 승인됩니다.
애플리케이션 또는 사용자가 액세스 포인트를 통해 데이터에 성공적으로 액세스하려면 S3 액세스 포인트 정책과 기본 FSx for ONTAP 볼륨 모두에서 요청을 허용해야 합니다.
**Topics**
+ [파일 시스템 사용자 자격 증명 및 권한 부여](#fsxn-file-system-user-identity)
+ [S3 API 요청 권한 부여](#access-points-for-fsxn-s3-iam-auth)
+ [S3 Block Public Access](#access-points-for-fsxn-bpa)
+ [IAM 액세스 포인트 정책](#access-points-for-fsxn-policies)
## 파일 시스템 사용자 자격 증명 및 권한 부여
FSx for ONTAP 볼륨에 대한 S3 액세스 포인트를 생성할 때 해당 액세스 포인트를 통해 이루어진 모든 파일 시스템 요청을 승인하는 데 사용할 파일 시스템 자격 증명을 지정합니다. 이 파일 시스템 자격 증명은 파일 시스템의 권한 모델에 따라 기본 파일 및 디렉터리에 부여되는 액세스 수준을 결정합니다. 파일 시스템 사용자는 기본 Amazon FSx 파일 시스템의 사용자 계정입니다. 파일 시스템 사용자에게 *읽기 전용* 액세스 권한이 있는 경우 액세스 포인트를 사용하여 수행된 읽기 요청만 승인되고 쓰기 요청은 차단됩니다. 파일 시스템 사용자에게 읽기-쓰기 액세스 권한이 있는 경우 액세스 포인트를 사용하여 만든 연결된 볼륨에 대한 읽기 및 쓰기 요청이 모두 승인됩니다.
파일 시스템 자격 증명은 다음 두 가지 유형 중 하나일 수 있습니다.
+ **UNIX 자격** 증명 - UNIX 보안 스타일로 볼륨에 액세스할 때 UNIX 자격 증명(사용자 이름) 사용
+ **Windows 자격 증명** - NTFS 보안 스타일로 볼륨에 액세스할 때 Windows 자격 증명(도메인 및 사용자 이름)을 사용합니다.
UNIX 또는 Windows 자격 증명을 지정하면 액세스 포인트를 통해 수행되는 모든 S3 API 작업이 파일 시스템에 대한 해당 사용자의 권한을 사용하여 승인됩니다.
액세스 포인트와 연결하는 파일 시스템 자격 증명에 따라 파일 및 디렉터리에 대한 액세스 수준이 결정됩니다. 예를 들어 액세스 포인트를 일반적으로 파일 시스템에 대한 전체 파일 액세스 권한이 있는 루트 UNIX 자격 증명(UID 0)과 연결하면 모든 파일 작업이 승인됩니다. 반대로 액세스 포인트를 제한된 사용자 자격 증명과 연결하면 파일 시스템의 권한 모델에 따라 해당 사용자가 액세스할 수 있는 것으로 파일 작업이 제한됩니다.
UNIX 보안 스타일의 볼륨에는 UNIX 파일 시스템 ID 유형을 사용하고 NTFS 보안 스타일의 볼륨에는 Windows ID 유형을 사용해야 합니다. 이렇게 정렬하면 권한 부여 모델이 볼륨의 보안 구성과 일치하게 됩니다.
UNIX 보안 스타일 볼륨의 경우 파일 시스템은 모드 비트 또는 NFSv4 ACLs을 사용하여 액세스를 제어합니다. NTFS 보안 스타일 볼륨의 경우 파일 시스템은 Windows ACLs을 사용하여 액세스를 제어합니다.
**중요**
S3 액세스 포인트를 FSx for ONTAP 볼륨에 연결해도 NFS 또는 SMB를 통해 볼륨에 직접 액세스할 때 볼륨의 동작은 변경되지 않습니다. 볼륨에 대한 모든 기존 작업은 이전과 같이 계속 작동합니다. S3 액세스 포인트 정책에 포함하는 제한은 액세스 포인트를 사용하여 이루어진 요청에만 적용됩니다.
## S3 API 요청 권한 부여
FSx for NetApp ONTAP 볼륨에 연결된 액세스 포인트를 통해 S3 API 요청을 수행하면 Amazon S3는 액세스 포인트의 IAM 리소스 정책을 기준으로 호출 보안 주체의 IAM 권한을 평가합니다. IAM 보안 주체 호출자는 자격 증명 기반 정책을 통해 부여된 필수 권한이 있어야 하며 액세스 포인트의 리소스 정책도 요청된 작업을 허용해야 합니다.
Amazon S3는 사용자 정책, 액세스 포인트 정책, VPC 엔드포인트 정책 및 서비스 제어 정책을 포함한 모든 관련 정책을 평가하여 요청을 승인할지 여부를 결정합니다.
특정 Virtual Private Cloud(VPC)의 요청만 수락하여 데이터 액세스를 제한하도록 S3 액세스 포인트를 구성할 수도 있습니다. 자세한 내용은 [가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성](access-points-for-fsxn-vpc.md) 단원을 참조하십시오.
## S3 Block Public Access
FSx for ONTAP 볼륨에 연결된 Amazon S3 액세스 포인트는 퍼블릭 액세스 차단이 활성화된 상태로 자동으로 구성되며, 변경할 수 없습니다.
## IAM 액세스 포인트 정책
Amazon S3 액세스 포인트는 리소스, 사용자 또는 기타 조건별로 액세스 포인트 사용을 제어할 수 있는 AWS Identity and Access Management (IAM) 리소스 정책을 지원합니다. 애플리케이션 또는 사용자가 액세스 포인트를 통해 객체에 액세스할 수 있으려면 액세스 포인트와 기본 데이터 소스가 모두 요청을 허용해야 합니다.
선택적 액세스 포인트 정책을 생성하려면 `s3:PutAccessPointPolicy` 권한이 필요합니다.
Amazon FSx 볼륨에 S3 액세스 포인트를 연결하면 볼륨에 대한 모든 기존 작업이 이전과 같이 계속 작동합니다. 액세스 포인트 정책에 포함시키는 제한은 해당 액세스 포인트를 통해 이루어진 요청에만 적용됩니다. 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [액세스 포인트를 사용하기 위한 IAM 정책 구성을](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) 참조하세요.
Amazon FSx 콘솔을 사용하여 FSx for ONTAP 볼륨에 연결된 액세스 포인트를 생성할 때 액세스 포인트 정책을 구성할 수 있습니다. FSx 기존 S3 액세스 포인트에서 액세스 포인트 정책을 추가, 수정 또는 삭제하려면 S3 콘솔, CLI 또는 API를 사용할 수 있습니다.
# 액세스 포인트 생성
Amazon FSx 콘솔, CLI, API 및 지원되는 SDK를 사용하여 Amazon FSx 볼륨에 연결하는 S3 액세스 포인트를 생성하고 관리할 수 있습니다. SDKs
**참고**
다른 사용자가 액세스 포인트를 사용할 수 있도록 S3 액세스 포인트 이름을 공개하고 싶을 수 있으므로 S3 액세스 포인트 이름에 민감한 정보를 포함하지 마세요. 도메인 이름 시스템(DNS)이라고 하는 공개적으로 액세스할 수 있는 데이터베이스에 액세스 포인트 이름이 게시됩니다. 액세스 포인트 이름에 대한 자세한 내용은 섹션을 참조하세요[액세스 포인트 이름 지정 규칙](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
## 필수 권한
Amazon FSx 볼륨에 연결된 S3 액세스 포인트를 생성하려면 다음 권한이 필요합니다.
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
Amazon FSx 또는 S3 콘솔을 사용하여 선택적 액세스 포인트 정책을 생성하려면 `s3:PutAccessPointPolicy` 권한이 필요합니다. 자세한 내용은 [IAM 액세스 포인트 정책](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies) 단원을 참조하십시오.
액세스 포인트를 생성하려면 다음 주제를 참조하십시오.
**Topics**
+ [필수 권한](#create-ap-permissions)
+ [액세스 포인트 생성](create-access-points.md)
+ [가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성](access-points-for-fsxn-vpc.md)
# 액세스 포인트 생성
**중요**
S3 액세스 포인트를 FSx for ONTAP 볼륨에 연결하려면 볼륨을 마운트해야 합니다(연결 경로 있음). 자세한 내용은 [ONTAP 설명서를](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html) 참조하세요.
볼륨에 대한 S3 액세스 포인트를 생성할 때 FSx for ONTAP 볼륨이 계정에 이미 있어야 합니다.
FSx for ONTAP 볼륨에 연결된 S3 액세스 포인트를 생성하려면 다음 속성을 지정합니다.
+ 액세스 포인트 이름. 액세스 포인트 이름 지정 규칙에 대한 자세한 내용은 섹션을 참조하세요[액세스 포인트 이름 지정 규칙](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
+ 액세스 포인트를 사용하여 이루어진 파일 액세스 요청을 승인하는 데 사용할 파일 시스템 사용자 자격 증명입니다. 포함하려는 UNIX 또는 Windows POSIX 사용자 이름을 지정합니다. 자세한 내용은 [파일 시스템 사용자 자격 증명 및 권한 부여](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity) 단원을 참조하십시오.
+ 액세스 포인트의 네트워크 구성에 따라 인터넷에서 액세스 포인트에 액세스할 수 있는지 또는 액세스가 특정 Virtual Private Cloud(VPC)로 제한되는지 여부가 결정됩니다. 자세한 내용은 [가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성](access-points-for-fsxn-vpc.md) 단원을 참조하십시오.
## FSx 볼륨에 연결된 S3 액세스 포인트를 생성하려면(FSx 콘솔)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)에서 Amazon FSx 콘솔을 엽니다.
1. 페이지 상단의 탐색 모음에서 액세스 포인트를 생성할 AWS 리전 를 선택합니다. 액세스 포인트는 연결된 볼륨과 동일한 리전에서 생성해야 합니다.
1. 왼쪽 탐색 창에서 **볼륨**을 선택합니다.
1. **볼륨** 페이지에서 액세스 포인트를 연결할 FSx for ONTAP 볼륨을 선택합니다.
1. **작업** 메뉴에서 ** S3 액세스 포인트 생성을** 선택하여 ** S3 액세스 포인트 생성** 페이지를 표시합니다.
1. **액세스 포인트 이름**에 액세스 포인트의 이름을 입력합니다. 액세스 포인트 이름의 지침 및 제한에 대한 자세한 내용은 섹션을 참조하세요[액세스 포인트 이름 지정 규칙](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules).
**데이터 소스 세부** 정보는 3단계에서 선택한 볼륨 정보로 채워집니다.
1. 파일 시스템 사용자 자격 증명은 Amazon FSx에서이 액세스 포인트를 사용하여 이루어진 파일 액세스 요청을 인증하는 데 사용됩니다. 지정한 파일 시스템 사용자에게 FSx for ONTAP 볼륨에 대한 올바른 권한이 있는지 확인합니다.
**파일 시스템 사용자 자격 증명 유형**에서 UNIX 또는 Windows를 선택합니다.
1. **사용자 이름**에 사용자의 사용자 이름을 입력합니다.
1. **네트워크 구성** 패널에서 인터넷에서 액세스 포인트에 액세스할지 아니면 특정 가상 프라이빗 클라우드로 액세스가 제한되는지 선택합니다.
**네트워크 오**리진에서 **인터넷**을 선택하여 인터넷에서 액세스 포인트에 액세스할 수 있도록 하거나 **Virtual Private Cloud(VPC)**를 선택하고 액세스 포인트에 대한 액세스를 제한하려는 **VPC ID**를 입력합니다.
액세스 포인트의 네트워크 오리진에 대한 자세한 내용은 [가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성](access-points-for-fsxn-vpc.md) 섹션을 참조하십시오.
1. (선택 사항) **액세스 포인트 정책 - *선택*** 사항에서 선택적 액세스 포인트 정책을 지정합니다. 정책 경고, 오류 및 제안 사항을 모두 해결해야 합니다. 액세스 포인트 정책 지정에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [액세스 포인트를 사용하기 위한 IAM 정책 구성을](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) 참조하세요.
1. **액세스 포인트 생성을** 선택하여 액세스 포인트 연결 구성을 검토합니다.
## FSx 볼륨에 연결된 S3 액세스 포인트를 생성하려면(CLI)
다음 예제 명령*`my-ontap-ap`*은 계정의 FSx for ONTAP 볼륨*`fsvol-0123456789abcdef9`*에 연결된 라는 액세스 포인트를 생성합니다*`111122223333`*.
```
$ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json
```
요청이 성공하면 시스템은 새 S3 액세스 포인트 연결을 반환하여 응답합니다.
```
$ {
{
"S3AccessPointAttachment": {
"CreationTime": 1728935791.8,
"Lifecycle": "CREATING",
"LifecycleTransitionReason": {
"Message": "string"
},
"Name": "my-ontap-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "ec2-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-0123467"
}
}
}
}
```
# 가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성
액세스 포인트를 생성할 때 인터넷에서 액세스 포인트에 액세스하도록 선택하거나 해당 액세스 포인트를 통해 이루어진 모든 요청이 특정 Amazon Virtual Private Cloud에서 시작되도록 지정할 수 있습니다. 인터넷에서 액세스할 수 있는 액세스 포인트의 네트워크 오리진은 `Internet`입니다. 액세스 포인트, 기본 버킷 또는 Amazon FSx 볼륨 및 요청된 객체와 같은 관련 리소스에 적용되는 기타 액세스 제한에 따라 인터넷상의 어디에서나 사용할 수 있습니다. 지정된 Amazon VPC에서만 액세스할 수 있는 액세스 포인트는의 네트워크 오리진을 가지며`VPC`, Amazon S3는 해당 Amazon VPC에서 시작되지 않은 액세스 포인트에 대한 모든 요청을 거부합니다.
**중요**
액세스 포인트를 생성할 때만 액세스 포인트의 네트워크 오리진을 지정할 수 있습니다. 액세스 포인트를 생성한 후에는 네트워크 오리진을 변경할 수 없습니다.
액세스 포인트를 Amazon VPC 전용 액세스로 제한하려면 액세스 포인트 생성 요청과 함께 `VpcConfiguration` 파라미터를 포함합니다. `VpcConfiguration` 파라미터에서 액세스 포인트를 사용할 Amazon VPC ID를 지정합니다. 액세스 포인트를 통해 요청이 이루어진 경우 Amazon VPC에서 요청이 시작되어야 합니다. 그렇지 않으면 Amazon S3가 요청을 거부합니다.
, AWS CLI AWS SDKs APIs. 액세스 포인트에 Amazon VPC 구성이 지정된 경우 해당 네트워크 오리진은 입니다`VPC`. 그렇지 않으면 액세스 포인트의 네트워크 오리진은 `Internet`입니다.
**Example**
***예: Amazon VPC 액세스로 제한된 액세스 포인트 생성***
다음 예제에서는 `vpc-1a2b3c` Amazon VPC에서만 액세스를 `123456789012` 허용하는 계정의 버킷`amzn-s3-demo-bucket`에 `example-vpc-ap` 대해 라는 액세스 포인트를 생성합니다. 그런 다음 새 액세스 포인트의 네트워크 오리진이 `VPC`인지 확인합니다.
```
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
```
```
$ {
{
"S3AccessPointAttachment": {
"Lifecycle": "CREATING",
"CreationTime": 1728935791.8,
"Name": "example-vpc-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "my-unix-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
"Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
}
}
}
}
```
Amazon VPC에서 액세스 포인트를 사용하려면 Amazon VPC 엔드포인트에 대한 액세스 정책을 수정해야 합니다. Amazon VPC 엔드포인트를 사용하면 트래픽이 Amazon VPC에서 Amazon S3로 흐를 수 있습니다. Amazon VPC 내의 리소스가 Amazon S3와 상호 작용할 수 있는 방식을 제어하는 액세스 제어 정책이 있습니다. Amazon VPC에서 Amazon S3로의 요청은 Amazon VPC 엔드포인트 정책이 액세스 포인트와 기본 버킷 모두에 대한 액세스 권한을 부여하는 경우에만 액세스 포인트를 통해 성공합니다.
**참고**
Amazon VPC 내에서만 리소스에 액세스할 수 있도록 하려면 Amazon VPC 엔드포인트에 대한 [프라이빗 호스팅 영역을](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) 생성해야 합니다. 프라이빗 호스팅 영역을 사용하려면 [Amazon VPC 네트워크 속성 및가 로 설정되도록 Amazon VPC 설정을 수정합니다](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)`true`. [https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` `enableDnsSupport`
다음 예제 정책 문은 `GetObject` 및 라는 액세스 포인트에 대한 호출을 허용하도록 Amazon VPC 엔드포인트를 구성합니다`example-vpc-ap`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**참고**
이 예제의 `Resource` 선언은 Amazon 리소스 이름(ARN)을 사용하여 액세스 포인트를 지정합니다.
Amazon VPC 엔드포인트 정책에 대한 자세한 내용은 Amazon *VPC 사용 설명서*의 [ Amazon S3용 게이트웨이 엔드포인트](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)를 참조하세요.
# Amazon S3 액세스 포인트 관리
이 섹션에서는 AWS Management Console AWS Command Line Interface또는 API를 사용하여 Amazon S3 액세스 포인트를 관리하고 사용하는 방법을 설명합니다.
**Topics**
+ [S3 액세스 포인트 연결 나열](access-points-list.md)
+ [액세스 포인트 세부 정보 보기](access-points-details.md)
+ [S3 액세스 포인트 연결 삭제](delete-access-point.md)
# S3 액세스 포인트 연결 나열
이 섹션에서는 AWS Management Console AWS Command Line Interface또는 REST API를 사용하여 S3 액세스 포인트를 나열하는 방법을 설명합니다.
## FSx for ONTAP 볼륨에 연결된 모든 S3 액세스 포인트를 나열하려면(Amazon FSx 콘솔)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)에서 Amazon FSx 콘솔을 엽니다.
1. 콘솔 왼쪽의 탐색 창에서 **볼륨을** 선택합니다.
1. **볼륨** 페이지에서 액세스 포인트 연결을 보려는 **ONTAP** 볼륨을 선택합니다.
1. 볼륨 세부 정보 페이지에서 **S3**를 선택하여 볼륨에 연결된 모든 S3 액세스 포인트 목록을 봅니다.
## FSx for ONTAP 볼륨에 연결된 모든 S3 액세스 포인트를 나열하려면(AWS CLI)
다음 [https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html) 예제 명령은를 사용하여 S3 액세스 포인트 연결을 나열 AWS CLI 하는 방법을 보여줍니다.
다음 명령은 FSx for ONTAP 파일 시스템 fs-0abcdef123456789의 볼륨에 연결된 모든 S3 액세스 포인트를 나열합니다.
```
aws fsx describe-s3-access-point-attachments --filter {[Name: file-system-id, Values:{[fs-0abcdef123456789]}}
```
다음 명령은 FSx for ONTAP 볼륨 vol-9abcdef123456789]에 연결된 S3 액세스 포인트를 나열합니다.
```
aws fsx describe-s3-access-point-attachments --filter {[Name: volume-id, Values:{[vol-9abcdef123456789]}}
```
자세한 내용과 예제는 **AWS CLI 명령 참조에서 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html)를 참조하십시오.
# 액세스 포인트 세부 정보 보기
이 섹션에서는 AWS Management Console AWS Command Line Interface또는 REST API를 사용하여 S3 액세스 포인트의 세부 정보를 보는 방법을 설명합니다.
## FSx for ONTAP 볼륨에 연결된 S3 액세스 포인트의 세부 정보를 보려면(Amazon FSx 콘솔)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)에서 Amazon FSx 콘솔을 엽니다.
1. 세부 정보를 보려는 액세스 포인트에 연결된 볼륨으로 이동합니다.
1. **S3**를 선택하여 볼륨에 연결된 액세스 포인트 목록을 표시합니다.
1. 세부 정보를 보려는 액세스 포인트를 선택합니다.
1. **S3 액세스 포인트 연결 요약**에서 선택한 액세스 포인트의 구성 세부 정보 및 속성을 확인합니다.
액세스 포인트 연결에 대한 **파일 시스템 사용자 자격 증명** 구성 및 S3 액세스 포인트 권한 정책도 나열됩니다. **S3 **
1. Amazon S3 콘솔에서 액세스 포인트의 S3 구성을 보려면 S3 액세스 포인트 아래에 표시된 **S3 액세스 포인트** 이름을 선택합니다. Amazon S3 Amazon S3 콘솔에서 액세스 포인트의 세부 정보 페이지로 이동합니다.
# S3 액세스 포인트 연결 삭제
이 섹션에서는 AWS Management Console AWS Command Line Interface또는 REST API를 사용하여 S3 액세스 포인트를 삭제하는 방법을 설명합니다.
S3 액세스 포인트 연결을 삭제하려면 `fsx:DetatchAndDeleteS3AccessPoint` 및 `s3control:DeleteAccessPoint` 권한이 필요합니다.
## FSx for ONTAP 볼륨에 연결된 S3 액세스 포인트를 삭제하려면(Amazon FSx 콘솔)
1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)에서 Amazon FSx 콘솔을 엽니다.
1. 삭제하려는 S3 액세스 포인트 연결이 연결된 볼륨으로 이동합니다.
1. 볼륨에 연결된 **S3** 액세스 포인트 목록을 표시하려면 S3를 선택합니다.
1. 삭제할 S3 액세스 포인트 연결을 선택합니다.
1. **삭제**를 선택합니다.
1. S3 액세스 포인트를 삭제할지 확인하고 **삭제**를 선택합니다.
## FSx for ONTAP 볼륨에 연결된 S3 액세스 포인트를 삭제하려면(AWS CLI)
+ S3 액세스 포인트 연결을 삭제하려면 다음 예제와 같이 [detach-and-delete-s3-access-point](https://docs.aws.amazon.com/cli/latest/reference/fsx/detach-and-delete-s3-access-point.html) CLI 명령(또는 이에 상응하는 [DetachAndDeleteS3AccessPoint](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DetachAndDeleteS3AccessPoint.html) API 작업)을 사용합니다. `--name` 속성을 사용하여 삭제할 S3 액세스 포인트 연결의 이름을 지정합니다.
```
aws fsx detach-and-delete-s3-access-point \
--region us-east-1 \
--name my-ontap-ap
```
# 액세스 포인트 사용
다음 예제에서는 액세스 포인트를 사용하여 S3 API를 사용하여 FSx for ONTAP 볼륨에 저장된 파일 데이터에 액세스하는 방법을 보여줍니다. FSx for ONTAP 볼륨에 연결된 액세스 포인트에서 지원하는 Amazon S3 API 작업의 전체 목록은 섹션을 참조하세요[액세스 포인트 호환성](access-points-for-fsxn-object-api-support.md).
**참고**
FSx for ONTAP 볼륨의 파일은 `StorageClass`의 로 식별됩니다`FSX_ONTAP`.
**Topics**
+ [S3 액세스 포인트를 사용하여 파일 다운로드](get-object-ap.md)
+ [S3 액세스 포인트를 사용하여 파일 업로드](put-object-ap.md)
+ [S3 액세스 포인트를 사용하여 파일 나열](list-object-ap.md)
+ [S3 액세스 포인트를 사용하여 파일에 태그 지정](add-tag-set-ap.md)
+ [S3 액세스 포인트를 사용하여 파일 삭제](delete-object-ap.md)
# S3 액세스 포인트를 사용하여 파일 다운로드
다음 `get-object` 예제 명령은 AWS CLI 를 사용하여 액세스 포인트를 통해 파일을 다운로드하는 방법을 보여줍니다. 다운로드한 객체의 파일 이름인 outfile을 포함해야 합니다.
이 예제에서는 액세스 포인트를 *`my-image.jpg`* 통해 파일을 요청*`my-ontap-ap`*하고 다운로드한 파일을 로 저장합니다*`download.jpg`*.
```
$ aws s3api get-object --key my-image.jpg --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias download.jpg
{
"AcceptRanges": "bytes",
"LastModified": "Mon, 14 Oct 2024 17:01:48 GMT",
"ContentLength": 141756,
"ETag": "\"00751974dc146b76404bb7290f8f51bb-1\"",
"ContentType": "binary/octet-stream",
"ServerSideEncryption": "SSE_FSX",
"Metadata": {},
"StorageClass": "FSX_ONTAP"
}
```
REST API를 사용하여 액세스 포인트를 통해 객체를 다운로드할 수도 있습니다. 자세한 내용은 *Amazon Simple Storage Service API 참조*에서 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)를 참조하세요.
# S3 액세스 포인트를 사용하여 파일 업로드
다음 `put-object` 예제 명령은 AWS CLI 를 사용하여 액세스 포인트를 통해 파일을 업로드하는 방법을 보여줍니다. 업로드된 객체의 파일 이름인 outfile을 포함해야 합니다.
이 예제에서는 액세스 포인트를 *`my-new-image.jpg`* 통해 파일을 업로드*`my-ontap-ap`*하고 업로드된 파일을 로 저장합니다*`my-new-image.jpg`*.
```
$ aws s3api put-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-new-image.jpg --body my-new-image.jpg
```
REST API를 사용하여 액세스 포인트를 통해 객체를 업로드할 수도 있습니다. 자세한 내용은 *Amazon Simple Storage Service API 참조*에서 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)를 참조하세요.
# S3 액세스 포인트를 사용하여 파일 나열
다음 예시에서는 리전의 계정 ID가 `my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias` 소유한 액세스 포인트 별칭*`111122223333`*을 통해 파일을 나열합니다*`us-east-2`*.
```
$ aws s3api list-objects-v2 --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias
{
"Contents": [
{
"Key": ".hidden-dir-with-data/file.txt",
"LastModified": "2024-10-29T14:22:05.4359",
"ETag": "\"88990077ab44cd55ef66aa77-1\"",
"Size": 18,
"StorageClass": "FSX_ONTAP"
},
{
"Key": "documents/report.rtf",
"LastModified": "2024-11-02T10:18:15.6621",
"ETag": "\"ab12cd34ef56a89219zg6aa77-1\"",
"Size": 1048576,
"StorageClass": "FSX_ONTAP"
},
]
}
```
REST API를 사용하여 파일을 나열할 수도 있습니다. 자세한 내용은 *Amazon Simple Storage Service API 참조*에서 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)를 참조하세요.
# S3 액세스 포인트를 사용하여 파일에 태그 지정
다음 `put-object-tagging` 예제 명령은 AWS CLI 를 사용하여 액세스 포인트를 통해 태그 세트를 추가하는 방법을 보여줍니다. 각 태그는 키-값 페어입니다. 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [태그를 사용하여 스토리지 분류](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)를 참조하세요.
이 예제에서는 액세스 포인트를 `my-image.jpg` 사용하여 기존 파일에 태그 세트를 추가합니다*`my-ontap-ap`*.
```
$ aws s3api put-object-tagging --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg --tagging TagSet=[{Key="finance",Value="true"}]
```
REST API를 사용하여 액세스 포인트를 통해 객체에 태그 세트를 추가할 수도 있습니다. 자세한 내용은 *Amazon Simple Storage Service API 참조*에서 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)를 참조하세요.
# S3 액세스 포인트를 사용하여 파일 삭제
다음 `delete-object` 예제 명령은 AWS CLI 를 사용하여 액세스 포인트를 통해 파일을 삭제하는 방법을 보여줍니다.
```
$ aws s3api delete-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg
```
REST API를 사용하여 액세스 포인트를 통해 객체를 삭제할 수도 있습니다. 자세한 내용은 *Amazon Simple Storage Service API 참조*에서 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)를 참조하세요.
# S3 액세스 포인트 문제 해결
이 섹션에서는 S3 액세스 포인트에서 FSx 데이터에 액세스하는 데 문제가 발생할 경우의 증상, 원인 및 해결 방법을 설명합니다.
## 파일 시스템 사용자 자격 증명 조회 실패로 인해 S3 액세스 포인트 생성 실패
S3 액세스 포인트를 생성하고 연결할 때를 제공해야 [https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type) 합니다. ONTAP 내에서 제공된 UNIX 또는 Windows 사용자를 구성하는 것은 사용자의 책임입니다.
이 제공된 경우 ONTAP[https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html)은 UnixUser 이름을 UNIX UID/GIDs. ONTAP은 [이름 서비스 스위치 구성을](https://docs.netapp.com/us-en/ontap/nfs-admin/ontap-name-service-switch-config-concept.html) 사용하여이 매핑을 수행하는 방법을 결정합니다.
```
> vserver services name-service ns-switch show
```
```
Vserver Database Order
--------------- ------------ ---------
svm_1 hosts files,
dns
svm_1 group files,
ldap
svm_1 passwd files,
ldap
svm_1 netgroup nis,
files
```
유효한 소스( `files``ldap`등)를 사용하여 UnixUser에 `passwd` 및 `group` 데이터베이스에 항목이 있는지 확인하세요. `files` 소스는 `vserver services name-service unix-user` 및 `vserver services name-service unix-group` 명령을 사용하여 구성할 수 있습니다. `vserver services name-service ldap` 명령을 사용하여 `ldap` 소스를 구성할 수 있습니다.
이 제공된 경우 ONTAP[https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html)은 조인된 Active Directory 도메인에서 WindowsUser 이름을 찾을 수 있어야 합니다.
다음 명령을 사용하여 제공된 UnixUser 또는 WindowsUser가 올바르게 매핑되었는지 확인할 수 있습니다(WindowsUsers`-win-name`의 `fsxadmin` 경우 `-unix-user-name`로 대체).
```
> vserver services access-check authentication show-creds -node FsxId0fd48ff588b9d3eee-01 -vserver svm_name -unix-user-name root -show-partial-unix-creds true
```
성공적인 출력의 예:
```
UNIX UID: root
GID: daemon
Supplementary GIDs:
daemon
```
실패한 출력의 예:
```
Error: Acquire UNIX credentials procedure failed
[ 2 ms] Entry for user-name: unmapped-user not found in the
current source: FILES. Entry for user-name: unmapped-user
not found in any of the available sources
**[ 3] FAILURE: Unable to retrieve UID for UNIX user
** unmapped-user
Error: command failed: Failed to resolve user name to a UNIX ID. Reason: "SecD Error: object not found".
```
사용자 매핑이 잘못되면 S3에서 `Access Denied` 오류가 발생할 수 있습니다. 아래 실패 이유 예제를 참조하세요.
**`Entry for user-name not found in the current source: LDAP`**
`ns-switch`가 `ldap` 소스를 사용하도록 구성된 경우 ONTAP이 LDAP 서버를 올바르게 사용하도록 구성되어 있는지 확인하세요. 자세한 내용은 [LDAP 구성에 대한 NetApp의 기술 보고서를](https://www.netapp.com/pdf.html?item=/media/19423-tr-4835.pdf) 참조하세요.
**`RESULT_ERROR_DNS_CANT_REACH_SERVER` 또는 `RESULT_ERROR_SECD_IN_DISCOVERY`**
이 오류는 ONTAP에서 vserver의 DNS 구성에 문제가 있음을 나타냅니다. 다음을 실행하여 vserver의 DNS가 올바르게 구성되었는지 확인합니다.
```
> dns check -vserver svm_name
```
**`NT_STATUS_PENDING`**
이 오류는 도메인 컨트롤러와 통신하는 데 문제가 있음을 나타냅니다. 기본 원인은 SMB 크레딧이 부족하기 때문일 수 있습니다. 자세한 내용은 [NetApp KB](https://kb.netapp.com/on-prem/ontap/da/NAS/NAS-KBs/How_ONTAP_implements_SMB_crediting)를 참조하세요.
## 볼륨이 마운트되지 않아 S3 액세스 포인트 생성에 실패했습니다.
S3 액세스 포인트는 탑재된(연결 경로가 있는) FSx for ONTAP 볼륨에만 연결할 수 있습니다. 이는 DP(데이터 보호) 볼륨 유형에도 적용됩니다. 자세한 내용은 [ONTAP 볼륨 마운트 설명서를](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html) 참조하세요.
## SVM에서 S3 프로토콜이 비활성화되어 있기 때문에 S3 액세스 포인트 생성에 실패했습니다. S3
S3 액세스 포인트는 스토리지 가상 머신(SVM)에서 S3 프로토콜을 활성화해야 합니다. S3 프로토콜을 활성화하려면를 사용하여 ONTAP CLI에서 다음 명령을 실행합니다`fsxadmin`.
```
> vserver add-protocols -vserver svm_name -protocols s3
```
프로토콜이 활성화되었는지 확인하려면:
```
> vserver show -vserver svm_name -fields allowed-protocols,disallowed-protocols
```
## 파일 시스템이 S3 요청을 처리할 수 없습니다.
특정 워크로드에 대한 S3 요청 볼륨이 파일 시스템의 트래픽 처리 용량을 초과하는 경우 S3 요청 오류(예: , `Internal Server Error` `503 Slow Down`및 `Service Unavailable`)가 발생할 수 있습니다. Amazon CloudWatch 지표(예: `Network throughput utilization` 및 )를 사용하여 파일 시스템의 성능을 사전에 모니터링하고 경보할 수 있습니다`CPU utilization`. 성능 저하가 관찰되면 파일 시스템의 처리량 용량을 늘려이 문제를 해결할 수 있습니다.
## 자동으로 생성된 서비스 역할에 대한 기본 S3 액세스 포인트 권한으로 액세스 거부됨
일부 S3-integrated AWS 서비스는 사용자 지정 서비스 역할을 생성하고 특정 사용 사례에 연결된 권한을 사용자 지정합니다. S3 액세스 포인트 별칭을 S3 리소스로 지정할 때 연결된 권한에는 액세스 포인트 ARN 형식(예: )이 아닌 버킷 ARN 형식(예: `arn:aws:s3:::my-fsx-ap-foo7detztxouyjpwtu8krroppxytruse1a-ext-s3alias`)을 사용하는 액세스 포인트가 포함될 수 있습니다`arn:aws:s3:us-east-1:1234567890:accesspoint/my-fsx-ap`. 이 문제를 해결하려면 액세스 포인트의 ARN을 사용하도록 정책을 수정합니다.