本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 建立受限於 Virtual Private Cloud 的存取點 建立存取點時,您可以選擇從網際網路存取存取點,也可以指定透過該存取點提出的所有請求都必須來自特定的 Amazon Virtual Private Cloud。可從網際網路存取的存取點表示具有 `Internet` 的網路來源。它可以在網際網路的任何位置使用,但需遵守存取點、基礎儲存貯體或 Amazon FSx 磁碟區以及請求的物件等相關資源的任何其他存取限制。只能從指定的 Amazon VPC 存取的存取點具有 的網路原始伺服器`VPC`,Amazon S3 會拒絕對非源自該 Amazon VPC 的存取點提出的任何請求。 **重要** 您只能在建立存取點時指定存取點的網路來源。建立存取點之後,您便無法變更其網路來源。 若要將存取點限制為僅限 Amazon VPC 的存取,請在建立存取點的請求中包含 `VpcConfiguration` 參數。在 `VpcConfiguration` 參數中,您可以指定要使用存取點的 Amazon VPC ID。如果透過存取點提出請求,則請求必須源自 Amazon VPC,否則 Amazon S3 會拒絕該請求。 您可以使用、 AWS CLI AWS SDKs 或 REST APIs 擷取存取點的網路原始伺服器。如果存取點已指定 Amazon VPC 組態,其網路原始伺服器為 `VPC`。否則,存取點的網路來源為 `Internet`。 **Example** ***範例:建立僅限 Amazon VPC 存取的存取點*** 下列範例會為 帳戶中`example-vpc-ap`的儲存貯`amzn-s3-demo-bucket`體建立名為 的存取點`123456789012`,僅允許從 Amazon VPC `vpc-1a2b3c` 存取。然後,此範例會驗證新的存取點是否具有 `VPC` 的網路來源。 ``` $ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \ VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \ --s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json ``` ``` $ { { "S3AccessPointAttachment": { "Lifecycle": "CREATING", "CreationTime": 1728935791.8, "Name": "example-vpc-ap", "OntapConfiguration": { "VolumeId": "fsvol-0123456789abcdef9", "FileSystemIdentity": { "Type": "UNIX", "UnixUser": { "Name": "my-unix-user" } } }, "S3AccessPoint": { "ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap", "Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias", "VpcConfiguration": { "VpcId": "vpc-1a2b3c" } } } } ``` 若要搭配 Amazon VPC 使用存取點,您必須修改 Amazon VPC 端點的存取政策。Amazon VPC 端點允許流量從您的 Amazon VPC 流向 Amazon S3。它們具有存取控制政策,可控制如何允許 Amazon VPC 中的資源與 Amazon S3 互動。如果 Amazon VPC 端點政策同時授予存取點和基礎儲存貯體的存取權,則從 Amazon VPC 到 Amazon S3 的請求只會透過存取點成功。 **注意** 若要讓 資源只能在 Amazon VPC 內存取,請務必為您的 Amazon VPC 端點建立[私有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。若要使用私有託管區域,請[修改 Amazon VPC 設定](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating),讓 [Amazon VPC 網路屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames`和 `enableDnsSupport` 設定為 `true`。 下列範例政策陳述式會設定 Amazon VPC 端點,以允許呼叫 `GetObject`和名為 的存取點`example-vpc-ap`。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Principal": "*", "Action": [ "s3:GetObject" ], "Effect": "Allow", "Resource": [ "arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*" ] }] } ``` ------ **注意** 此範例中的 `Resource` 宣告使用 Amazon Resource Name (ARN) 來指定存取點。 如需 Amazon VPC 端點政策的詳細資訊,請參閱《Amazon *VPC *[使用者指南》中的 Amazon S3 閘道端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)。