기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 액세스 포인트 생성 Amazon FSx 콘솔, CLI, API 및 지원되는 SDK를 사용하여 Amazon FSx 볼륨에 연결하는 S3 액세스 포인트를 생성하고 관리할 수 있습니다. SDKs **참고** 다른 사용자가 액세스 포인트를 사용할 수 있도록 S3 액세스 포인트 이름을 공개하고 싶을 수 있으므로 S3 액세스 포인트 이름에 민감한 정보를 포함하지 마세요. 도메인 이름 시스템(DNS)이라고 하는 공개적으로 액세스할 수 있는 데이터베이스에 액세스 포인트 이름이 게시됩니다. 액세스 포인트 이름에 대한 자세한 내용은 섹션을 참조하세요[액세스 포인트 이름 지정 규칙](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules). ## 필수 권한 Amazon FSx 볼륨에 연결된 S3 액세스 포인트를 생성하려면 다음 권한이 필요합니다. + `fsx:CreateAndAttachS3AccessPoint` + `s3:CreateAccessPoint` + `s3:GetAccessPoint` Amazon FSx 또는 S3 콘솔을 사용하여 선택적 액세스 포인트 정책을 생성하려면 `s3:PutAccessPointPolicy` 권한이 필요합니다. 자세한 내용은 [IAM 액세스 포인트 정책](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies) 단원을 참조하십시오. 액세스 포인트를 생성하려면 다음 주제를 참조하십시오. **Topics** + [ ## 필수 권한 ](#create-ap-permissions) + [ # 액세스 포인트 생성 ](create-access-points.md) + [ # 가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성 ](access-points-for-fsxn-vpc.md) # 액세스 포인트 생성 **중요** S3 액세스 포인트를 FSx for ONTAP 볼륨에 연결하려면 볼륨을 마운트해야 합니다(연결 경로 있음). 자세한 내용은 [ONTAP 설명서를](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html) 참조하세요. 볼륨에 대한 S3 액세스 포인트를 생성할 때 FSx for ONTAP 볼륨이 계정에 이미 있어야 합니다. FSx for ONTAP 볼륨에 연결된 S3 액세스 포인트를 생성하려면 다음 속성을 지정합니다. + 액세스 포인트 이름. 액세스 포인트 이름 지정 규칙에 대한 자세한 내용은 섹션을 참조하세요[액세스 포인트 이름 지정 규칙](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules). + 액세스 포인트를 사용하여 이루어진 파일 액세스 요청을 승인하는 데 사용할 파일 시스템 사용자 자격 증명입니다. 포함하려는 UNIX 또는 Windows POSIX 사용자 이름을 지정합니다. 자세한 내용은 [파일 시스템 사용자 자격 증명 및 권한 부여](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity) 단원을 참조하십시오. + 액세스 포인트의 네트워크 구성에 따라 인터넷에서 액세스 포인트에 액세스할 수 있는지 또는 액세스가 특정 Virtual Private Cloud(VPC)로 제한되는지 여부가 결정됩니다. 자세한 내용은 [가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성](access-points-for-fsxn-vpc.md) 단원을 참조하십시오. ## FSx 볼륨에 연결된 S3 액세스 포인트를 생성하려면(FSx 콘솔) 1. [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/)에서 Amazon FSx 콘솔을 엽니다. 1. 페이지 상단의 탐색 모음에서 액세스 포인트를 생성할 AWS 리전 를 선택합니다. 액세스 포인트는 연결된 볼륨과 동일한 리전에서 생성해야 합니다. 1. 왼쪽 탐색 창에서 **볼륨**을 선택합니다. 1. **볼륨** 페이지에서 액세스 포인트를 연결할 FSx for ONTAP 볼륨을 선택합니다. 1. **작업** 메뉴에서 ** S3 액세스 포인트 생성을** 선택하여 ** S3 액세스 포인트 생성** 페이지를 표시합니다. 1. **액세스 포인트 이름**에 액세스 포인트의 이름을 입력합니다. 액세스 포인트 이름의 지침 및 제한에 대한 자세한 내용은 섹션을 참조하세요[액세스 포인트 이름 지정 규칙](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules). **데이터 소스 세부** 정보는 3단계에서 선택한 볼륨 정보로 채워집니다. 1. 파일 시스템 사용자 자격 증명은 Amazon FSx에서이 액세스 포인트를 사용하여 이루어진 파일 액세스 요청을 인증하는 데 사용됩니다. 지정한 파일 시스템 사용자에게 FSx for ONTAP 볼륨에 대한 올바른 권한이 있는지 확인합니다. **파일 시스템 사용자 자격 증명 유형**에서 UNIX 또는 Windows를 선택합니다. 1. **사용자 이름**에 사용자의 사용자 이름을 입력합니다. 1. **네트워크 구성** 패널에서 인터넷에서 액세스 포인트에 액세스할지 아니면 특정 가상 프라이빗 클라우드로 액세스가 제한되는지 선택합니다. **네트워크 오**리진에서 **인터넷**을 선택하여 인터넷에서 액세스 포인트에 액세스할 수 있도록 하거나 **Virtual Private Cloud(VPC)**를 선택하고 액세스 포인트에 대한 액세스를 제한하려는 **VPC ID**를 입력합니다. 액세스 포인트의 네트워크 오리진에 대한 자세한 내용은 [가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성](access-points-for-fsxn-vpc.md) 섹션을 참조하십시오. 1. (선택 사항) **액세스 포인트 정책 - *선택*** 사항에서 선택적 액세스 포인트 정책을 지정합니다. 정책 경고, 오류 및 제안 사항을 모두 해결해야 합니다. 액세스 포인트 정책 지정에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [액세스 포인트를 사용하기 위한 IAM 정책 구성을](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html) 참조하세요. 1. **액세스 포인트 생성을** 선택하여 액세스 포인트 연결 구성을 검토합니다. ## FSx 볼륨에 연결된 S3 액세스 포인트를 생성하려면(CLI) 다음 예제 명령*`my-ontap-ap`*은 계정의 FSx for ONTAP 볼륨*`fsvol-0123456789abcdef9`*에 연결된 라는 액세스 포인트를 생성합니다*`111122223333`*. ``` $ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \ VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \ --s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json ``` 요청이 성공하면 시스템은 새 S3 액세스 포인트 연결을 반환하여 응답합니다. ``` $ { { "S3AccessPointAttachment": { "CreationTime": 1728935791.8, "Lifecycle": "CREATING", "LifecycleTransitionReason": { "Message": "string" }, "Name": "my-ontap-ap", "OntapConfiguration": { "VolumeId": "fsvol-0123456789abcdef9", "FileSystemIdentity": { "Type": "UNIX", "UnixUser": { "Name": "ec2-user" } } }, "S3AccessPoint": { "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap", "Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias", "VpcConfiguration": { "VpcId": "vpc-0123467" } } } } ``` # 가상 프라이빗 클라우드(VPC)로 제한된 액세스 포인트 생성 VPC로 제한된 액세스 포인트 생성 액세스 포인트를 생성할 때 인터넷에서 액세스 포인트에 액세스하도록 선택하거나 해당 액세스 포인트를 통해 이루어진 모든 요청이 특정 Amazon Virtual Private Cloud에서 시작되도록 지정할 수 있습니다. 인터넷에서 액세스할 수 있는 액세스 포인트의 네트워크 오리진은 `Internet`입니다. 액세스 포인트, 기본 버킷 또는 Amazon FSx 볼륨 및 요청된 객체와 같은 관련 리소스에 적용되는 기타 액세스 제한에 따라 인터넷상의 어디에서나 사용할 수 있습니다. 지정된 Amazon VPC에서만 액세스할 수 있는 액세스 포인트는의 네트워크 오리진을 가지며`VPC`, Amazon S3는 해당 Amazon VPC에서 시작되지 않은 액세스 포인트에 대한 모든 요청을 거부합니다. **중요** 액세스 포인트를 생성할 때만 액세스 포인트의 네트워크 오리진을 지정할 수 있습니다. 액세스 포인트를 생성한 후에는 네트워크 오리진을 변경할 수 없습니다. 액세스 포인트를 Amazon VPC 전용 액세스로 제한하려면 액세스 포인트 생성 요청과 함께 `VpcConfiguration` 파라미터를 포함합니다. `VpcConfiguration` 파라미터에서 액세스 포인트를 사용할 Amazon VPC ID를 지정합니다. 액세스 포인트를 통해 요청이 이루어진 경우 Amazon VPC에서 요청이 시작되어야 합니다. 그렇지 않으면 Amazon S3가 요청을 거부합니다. , AWS CLI AWS SDKs APIs. 액세스 포인트에 Amazon VPC 구성이 지정된 경우 해당 네트워크 오리진은 입니다`VPC`. 그렇지 않으면 액세스 포인트의 네트워크 오리진은 `Internet`입니다. **Example** ***예: Amazon VPC 액세스로 제한된 액세스 포인트 생성*** 다음 예제에서는 `vpc-1a2b3c` Amazon VPC에서만 액세스를 `123456789012` 허용하는 계정의 버킷`amzn-s3-demo-bucket`에 `example-vpc-ap` 대해 라는 액세스 포인트를 생성합니다. 그런 다음 새 액세스 포인트의 네트워크 오리진이 `VPC`인지 확인합니다. ``` $ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \ VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \ --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json ``` ``` $ { { "S3AccessPointAttachment": { "Lifecycle": "CREATING", "CreationTime": 1728935791.8, "Name": "example-vpc-ap", "OntapConfiguration": { "VolumeId": "fsvol-0123456789abcdef9", "FileSystemIdentity": { "Type": "UNIX", "UnixUser": { "Name": "my-unix-user" } } }, "S3AccessPoint": { "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap", "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias", "VpcConfiguration": { "VpcId": "vpc-1a2b3c" } } } } ``` Amazon VPC에서 액세스 포인트를 사용하려면 Amazon VPC 엔드포인트에 대한 액세스 정책을 수정해야 합니다. Amazon VPC 엔드포인트를 사용하면 트래픽이 Amazon VPC에서 Amazon S3로 흐를 수 있습니다. Amazon VPC 내의 리소스가 Amazon S3와 상호 작용할 수 있는 방식을 제어하는 액세스 제어 정책이 있습니다. Amazon VPC에서 Amazon S3로의 요청은 Amazon VPC 엔드포인트 정책이 액세스 포인트와 기본 버킷 모두에 대한 액세스 권한을 부여하는 경우에만 액세스 포인트를 통해 성공합니다. **참고** Amazon VPC 내에서만 리소스에 액세스할 수 있도록 하려면 Amazon VPC 엔드포인트에 대한 [프라이빗 호스팅 영역을](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) 생성해야 합니다. 프라이빗 호스팅 영역을 사용하려면 [Amazon VPC 네트워크 속성 및가 로 설정되도록 Amazon VPC 설정을 수정합니다](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)`true`. [https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` `enableDnsSupport` 다음 예제 정책 문은 `GetObject` 및 라는 액세스 포인트에 대한 호출을 허용하도록 Amazon VPC 엔드포인트를 구성합니다`example-vpc-ap`. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*" ] }] } ``` ------ **참고** 이 예제의 `Resource` 선언은 Amazon 리소스 이름(ARN)을 사용하여 액세스 포인트를 지정합니다. Amazon VPC 엔드포인트 정책에 대한 자세한 내용은 Amazon *VPC 사용 설명서*의 [ Amazon S3용 게이트웨이 엔드포인트](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)를 참조하세요.