本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 透過 Amazon S3 存取點存取您的資料
您也可以使用 S3 存取點存取存放在 Amazon FSx 檔案系統上的檔案資料,就像在 S3 中一樣,可讓您將其與使用 S3 的應用程式和服務搭配使用,而無需變更應用程式或將資料移出檔案儲存體。Amazon S3 存取點是連接到 S3 儲存貯體或 FSx for ONTAP 和 FSx for OpenZFS 磁碟區的 S3 端點。Amazon S3 存取點可簡化管理與 S3 搭配使用之任何應用程式 AWS 或服務的資料存取。使用 S3 存取點,具有共用資料集的客戶,包括資料湖、媒體封存和使用者產生的內容,可以透過建立具有每個自訂名稱和許可的個別存取點,輕鬆控制和擴展數百個應用程式、團隊或個人的資料存取。
連接至 Amazon FSx for NetApp ONTAP 磁碟區的 S3 存取點支援對 Amazon S3 端點使用 S3 物件操作 (例如 `PutObject`、 `GetObject`和 `ListObjectsV2`) 讀取和寫入存取您的檔案資料。
連接到 FSx for ONTAP 檔案系統的每個 S3 存取點都有一個 AWS Identity and Access Management (IAM) 存取點政策和一個關聯的 UNIX 或 Windows 檔案系統使用者,用於授權透過存取點提出的所有請求。對於每個請求,S3 會先評估所有相關政策,包括使用者、存取點、S3 VPC 端點和服務控制政策上的政策,以授權請求。一旦請求獲得 S3 授權,該請求就會獲得檔案系統的授權,該系統會評估與 S3 存取點相關聯的檔案系統使用者是否具有存取檔案系統上資料的許可。您可以將存取點設定為僅接受來自虛擬私有雲端 (VPC) 的請求,以限制對私有網路的 Amazon S3 資料存取。Amazon S3 預設會針對連接至 FSx for ONTAP 磁碟區的所有存取點強制執行封鎖公開存取,而且您無法修改或停用此設定。
您可以使用 Amazon FSx 主控台、CLI 和 API 來[建立 S3 存取點,並將其連接到](fsxn-creating-access-points.md) FSx for ONTAP 磁碟區。存取點可讓您使用 S3 API 存取檔案資料,雖然您的資料會繼續存放在 FSx for ONTAP 檔案系統上,而且您可以繼續使用 NFS 和 SMB 通訊協定,搭配 S3 API 存取您的資料。
FSx for ONTAP 檔案系統的 Amazon S3 存取點可在數十毫秒範圍內提供延遲,與 S3 儲存貯體存取一致。每秒可透過 S3 API 驅動到 Amazon FSx 檔案系統的輸送量和請求取決於檔案系統的佈建輸送量。如需檔案系統效能功能的詳細資訊,請參閱 [Amazon FSx for NetApp ONTAP 效能效能](performance.md)
**Topics**
+ [
## AWS 區域 搭配 FSx for ONTAP 的 Amazon S3 存取點
](#access-points-for-fsx-ontap-supported-regions)
+ [
# 存取點命名規則、約束和限制
](access-point-for-fsxn-restrictions-limitations-naming-rules.md)
+ [
# 使用 ARNs、存取點別名或virtual-hosted-style URIs 參考存取點
](referencing-access-points-for-fsxn.md)
+ [
# 存取點相容性
](access-points-for-fsxn-object-api-support.md)
+ [
# 管理存取點存取
](s3-ap-manage-access-fsxn.md)
+ [
# 建立存取點
](fsxn-creating-access-points.md)
+ [
# 管理 Amazon S3 存取點
](access-points-for-fsxn-manage.md)
+ [
# 使用存取點
](access-points-for-fsxn-usage-examples.md)
+ [
# 故障診斷 S3 存取點問題
](troubleshooting-access-points-for-fsxn.md)
## AWS 區域 搭配 FSx for ONTAP 的 Amazon S3 存取點
下列支援 FSx for ONTAP 的 Amazon S3 存取點 AWS 區域:非洲 (開普敦)、亞太區域 (香港、海德拉巴、雅加達、墨爾本、孟買、大阪、首爾、新加坡、雪梨、東京)、加拿大 (中部)、加拿大西部 (卡加利)、歐洲 (法蘭克福、愛爾蘭、倫敦、米蘭、巴黎、西班牙、斯德哥爾摩、蘇黎世)、以色列 (特拉維夫)、中東 (巴林、阿拉伯聯合大公國)、南美洲 (聖保羅)、美國東部 (維吉尼亞北部、俄亥俄) 和美國西部 (加利佛尼亞北部、奧勒岡)。
# 存取點命名規則、約束和限制
建立 S3 存取點時,您會為其選擇名稱。下列主題提供有關 S3 存取點命名規則和限制的資訊。
**Topics**
+ [
## 存取點命名規則
](#access-points-for-fsxn-naming-rules)
+ [
## 存取點的法規與限制
](#access-points-for-fsxn-restrictions-limitations)
## 存取點命名規則
當您建立 S3 存取點時,您可以選擇其名稱。存取點名稱在 AWS 帳戶 或 之間不需要是唯一的 AWS 區域。相同的 AWS 帳戶 可能會在不同的 中建立具有相同名稱的存取點, AWS 區域 或者兩個不同的 AWS 帳戶 可能會使用相同的存取點名稱。不過,在單一 AWS 區域 中, AWS 帳戶 可能沒有兩個相同名稱的存取點。
S3 存取點名稱不能以尾碼 結尾`-ext-s3alias`,後者是預留給存取點別名。如需存取點命名規則的完整清單,請參閱《[Amazon Simple Storage Service 使用者指南》中的 Amazon S3 存取點的命名規則](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html#access-points-names)。 **
## 存取點的法規與限制
連接至 FSx for ONTAP 磁碟區的 S3 存取點有下列限制,不適用於連接至 S3 儲存貯體的存取點:
+ 您只能在與連接它之 ONTAP 磁碟區的 FSx AWS 區域 相同的 中建立 S3 存取點。
+ 相同的 AWS 帳戶 必須擁有 FSx for ONTAP 檔案系統和 S3 存取點。您只能針對您擁有的 ONTAP 磁碟區建立連接到 FSx 的 S3 存取點。您無法建立連接到另一個 擁有之磁碟區的 S3 存取點 AWS 帳戶。
+ 您只能建立 S3 存取點並將其連接至執行 NetApp ONTAP 9.17.1 版和更新版本的 FSx for ONTAP 檔案系統。
如需所有存取點限制的完整清單,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取點限制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-restrictions-limitations-naming-rules.html)。
# 使用 ARNs、存取點別名或virtual-hosted-style URIs 參考存取點
建立連接至 FSx for ONTAP 磁碟區的存取點後,您可以透過 AWS CLI 和 S3 API,以及 S3-compatible AWS 和第三方服務和應用程式存取您的資料。參考 AWS 服務 或應用程式中的存取點時,您可以使用 Amazon Resource Name (ARN)、存取點別名或虛擬託管樣式的 URI。
**Topics**
+ [
## 存取點 ARN
](#access-point-arns)
+ [
## 存取點別名
](#access-point-aliases)
+ [
## 虛擬託管樣式 URI
](#virtual-hosted-style-uri)
## 存取點 ARN
存取點具有 Amazon Resource Name (ARN)。存取點 ARNs 類似於 S3 儲存貯體 ARNs,但會明確輸入和編碼存取點的 AWS 區域 和存取點擁有者的 AWS 帳戶 ID。如需 ARNs 的詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用 Amazon Resource Name (ARNs) 識別 AWS 資源](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)。
存取點 ARNs的格式如下:
```
arn:aws::s3:region:account-id:accesspoint/resource
```
`arn:aws:s3:us-west-2:777777777777:accesspoint/test` 代表名為 *test* 的存取點,由區域 *us-west-2* 中的帳戶 777777777777 所擁有。
透過存取點存取之物件和檔案的 ARNs 使用以下格式:
```
arn:aws::s3:region:account-id:accesspoint/access-point-name/object/resource
```
`arn:aws:s3:us-west-2:111122223333:accesspoint/test/object/lions.jpg` 代表檔案 *lions.jpg*,透過名為 *test* 的存取點存取,由區域 *us-west-2* 中的帳戶 111122223333 擁有。
如需存取點 ARNs 的詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取點 ARNs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-arns)。
## 存取點別名
當您建立存取點時,Amazon S3 會自動產生存取點別名,您可以在任何可以使用 S3 儲存貯體名稱存取資料的地方使用。
存取點別名無法變更。對於連接至 FSx for ONTAP 磁碟區的存取點,存取點別名包含下列部分:
```
access point prefix-metadata-ext-s3alias
```
以下顯示連接到 FSx for ONTAP 磁碟區的 S3 存取點的 ARN 和存取點別名,作為 FSx CLI `describe-s3-access-point-attachments` 命令回應的一部分傳回。此範例中的存取點名為 `my-ontap-ap`。
```
...
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
...
```
**注意**
`-ext-s3alias` 尾碼保留給連接到 FSx for ONTAP 磁碟區的 S3 存取點別名,不能用於存取點名稱。
您可以在某些 Amazon S3 S3 存取點 ARN。如需支援的操作清單,請參閱 [存取點相容性](access-points-for-fsxn-object-api-support.md)。
如需完整的存取點別名限制,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[存取點別名限制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#access-points-alias)。
## 虛擬託管樣式 URI
存取點僅支援虛擬託管樣式定址。在虛擬託管樣式的 URI 中,存取點名稱 AWS 帳戶和 AWS 區域 是 URL 中網域名稱的一部分。若要檢視連接至 FSx for ONTAP 磁碟區的存取點 S3 URI,請在 S3 存取點詳細資訊下的存取點詳細資訊頁面中,選擇為 **S3 存取點列出的存取點**名稱。 **S3 ** 這將帶您前往 Amazon S3 主控台中的存取點詳細資訊頁面。您可以在**屬性**下找到 **S3 URI**。
如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[虛擬託管樣式 URI](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-naming.html#accessing-a-bucket-through-s3-access-point)。
# 存取點相容性
您可以使用存取點存取存放在 FSx for ONTAP 磁碟區上的資料,並使用下列 Amazon S3 APIs 進行資料存取。下列所有操作都可以接受存取點 ARN 或存取點別名。
下表是 Amazon S3 操作的部分清單,並說明是否與存取點相容。資料表顯示存取點使用 FSx for ONTAP 磁碟區做為資料來源支援哪些操作。
| S3 操作 | 連接至 FSx for ONTAP 磁碟區的存取點 |
| --- | --- |
| `[AbortMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_AbortMultipartUpload.html)` | 支援 |
| `[CompleteMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CompleteMultipartUpload.html)` | 支援 |
| `[CopyObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CopyObject.html)` (僅限相同區域複製) | 支援,如果來源和目的地位於相同的存取點內 |
| `[CreateMultipartUpload](https://docs.aws.amazon.com/AmazonS3/latest/API/API_CreateMultipartUpload.html)` | 支援 |
| `[DeleteObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)` | 支援 |
| `[DeleteObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjects.html)` | 支援 |
| `[DeleteObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObjectTagging.html)` | 支援 |
| `[GetBucketAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketAcl.html)` | 不支援 |
| `[GetBucketCors](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketCors.html)` | 不支援 |
| `[GetBucketLocation](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketLocation.html)` | 支援 |
| `[GetBucketNotificationConfiguration](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketNotificationConfiguration.html)` | 不支援 |
| `[GetBucketPolicy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetBucketPolicy.html)` | 不支援 |
| `[GetObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)` | 支援 |
| `[GetObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAcl.html)` | 不支援 |
| `[GetObjectAttributes](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectAttributes.html)` | 支援 |
| `[GetObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectLegalHold.html)` | 不支援 |
| `[GetObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectRetention.html)` | 不支援 |
| `[GetObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObjectTagging.html)` | 支援 |
| `[HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html)` | 支援 |
| `[HeadObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadObject.html)` | 支援 |
| `[ListMultipartUploads](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListMultipartUploads.html)` | 支援 |
| `[ListObjects](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjects.html)` | 支援 |
| `[ListObjectsV2](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)` | 支援 |
| `[ListObjectVersions](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectVersions.html)` | 不支援 |
| `[ListParts](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListParts.html)` | 支援 |
| `[Presign](https://docs.aws.amazon.com/AmazonS3/latest/API/sigv4-query-string-auth.html)` | 不支援 |
| `[PutObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)` | 支援 |
| `[PutObjectAcl](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectAcl.html)` | 不支援 |
| `[PutObjectLegalHold](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectLegalHold.html)` | 不支援 |
| `[PutObjectRetention](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectRetention.html)` | 不支援 |
| `[PutObjectTagging](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)` | 支援 |
| `[RestoreObject](https://docs.aws.amazon.com/AmazonS3/latest/API/API_RestoreObject.html)` | 不支援 |
| `[UploadPart](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPart.html)` | 支援 |
| `[UploadPartCopy](https://docs.aws.amazon.com/AmazonS3/latest/API/API_UploadPartCopy.html)` (僅限相同區域複製) | 支援,如果來源和目的地位於相同的存取點內 |
使用 Amazon S3 操作的限制如下:
+ 上傳的物件大小上限為 5 GB,但您可以下載大於 的物件
+ `FSX_ONTAP` 是唯一支援的儲存類別
+ SSE-FSX 是唯一支援的伺服器端加密模式
+ 不支援下列 Amazon S3 功能:除了 、申請者付款`bucket-owner-full-control`、物件版本控制、物件鎖定、物件生命週期、靜態網站託管 (例如網站重新導向)、多重驗證 (MFA) 和條件式寫入以外的存取控制清單 (ACLs)
如需使用存取點對檔案資料執行資料存取操作的範例,請參閱 [使用存取點](access-points-for-fsxn-usage-examples.md)。
**物件 ETag**
實體標籤是物件的雜湊值。ETag 只會反映物件內容的變更,而非其中繼資料的變更。ETag 不是物件資料的 MD5 摘要。
**物件檢查總和**
您可以使用檢查總和值來驗證您上傳之資料的完整性。當您上傳資料並指定檢查總和演算法時, AWS 開發套件會使用您選擇的檢查總和演算法,在資料傳輸之前運算檢查總和值。然後,Amazon S3 會獨立計算資料的檢查總和,並根據提供的檢查總和值進行驗證。只有在確認在傳輸到 Amazon S3 期間維護資料完整性之後,才會接受物件。與 Amazon S3 一般用途儲存貯體中物件的檢查總和不同,檢查總和值不會存放在 FSx for NetApp ONTAP 磁碟區中,做為物件中繼資料和物件本身。這表示在回應中不會傳回檢查總和值,也不會用於在下載時驗證物件完整性。
**使用 Amazon FSx (SSE-FSX) 的伺服器端加密**
所有 Amazon FSx 檔案系統預設都已設定加密,並使用 管理的金鑰進行靜態加密 AWS Key Management Service。當資料寫入檔案系統並從檔案系統讀取時,資料會在檔案系統上自動加密和解密。這些程序由 Amazon FSx 以透明化方式處理。
**分段上傳**
您可利用分段上傳,將單一物件以一組組件進行上傳。每個組件都是物件資料的接續部分。您可依任何順序分別上傳這些物件組件。將 S3 存取點與 FSx for ONTAP 搭配使用時,分段上傳有下列考量:
+ FSx for ONTAP 磁碟區備份中不包含與進行中分段上傳 (即未完成上傳) 相關聯的部分。
+ 與進行中分段上傳 (即未完成上傳) 組件相關聯的已使用儲存體不會反映在目的地磁碟區的`StorageUsed`儲存容量 CloudWatch 指標中,而是反映在父檔案系統的`StorageUsed`儲存容量 CloudWatch 指標中。
+ 分段上傳操作完成後,相關聯的組件中繼資料將不再與 物件一起存放。這表示您無法使用 擷取物件組件 metdata,`GetObjectAttributes`或依所讀取物件的組件編號下載物件的單一組件。
**存取控制清單 (ACL)**
Amazon S3 存取控制清單 (ACL) 可讓您管理對儲存貯體和物件的存取。FSx 的 S3 存取點僅支援 `bucket-owner-full-control` ACL 值。使用任何其他 ACL 值將導致`InvalidArgument`例外狀況。
# 管理存取點存取
您可以使用不同的許可和網路控制來設定每個 S3 存取點,S3許可和網路控制適用於使用該存取點提出的任何請求。S3 存取點支援 AWS Identity and Access Management (IAM) 資源政策,可用來依資源、使用者或其他條件控制存取點的使用。若要讓應用程式或使用者透過存取點存取檔案,存取點和基礎磁碟區都必須允許請求。如需詳細資訊,請參閱[IAM 存取點政策](#access-points-for-fsxn-policies)。
FSx for ONTAP 的 Amazon S3 存取點使用雙層授權模型,將 AWS IAM 許可與檔案系統層級許可結合。此方法可確保資料存取請求在 AWS 服務層級和基礎檔案系統層級獲得適當授權。
若要讓應用程式或使用者成功透過存取點存取資料,S3 存取點政策和基礎 FSx for ONTAP 磁碟區都必須允許請求。
**Topics**
+ [
## 檔案系統使用者身分和授權
](#fsxn-file-system-user-identity)
+ [
## S3 API 請求授權
](#access-points-for-fsxn-s3-iam-auth)
+ [
## S3 封鎖公有存取權
](#access-points-for-fsxn-bpa)
+ [
## IAM 存取點政策
](#access-points-for-fsxn-policies)
## 檔案系統使用者身分和授權
當您為 FSx for ONTAP 磁碟區建立 S3 存取點時,您可以指定檔案系統身分,用來授權透過該存取點提出的所有檔案系統請求。此檔案系統身分會根據檔案系統的許可模型,決定授予基礎檔案和目錄的存取層級。檔案系統使用者是基礎 Amazon FSx 檔案系統上的使用者帳戶。如果檔案系統使用者具有*唯讀*存取權,則只會授權使用存取點提出的讀取請求,並封鎖寫入請求。如果檔案系統使用者具有讀寫存取權,則會授權使用存取點對連接磁碟區的讀寫請求。
檔案系統身分可以是兩種類型之一:
+ **UNIX 身分** – 使用 UNIX 安全樣式存取磁碟區時,請使用 UNIX 身分 (使用者名稱)
+ **Windows 身分** – 使用 NTFS 安全樣式存取磁碟區時,請使用 Windows 身分 (網域和使用者名稱)。
當您指定 UNIX 或 Windows 身分時,透過存取點執行的所有 S3 API 操作都會使用該使用者的 檔案系統許可進行授權。
您與存取點建立關聯的檔案系統身分會決定檔案和目錄的存取層級。例如,如果您將存取點與根 UNIX 身分 (UID 0) 建立關聯,通常在檔案系統上具有完整的檔案存取許可,則所有檔案操作都會獲得授權。相反地,如果您將存取點與受限的使用者身分建立關聯,檔案操作會受限於該使用者根據檔案系統的許可模型可以存取的內容。
對於具有 UNIX 安全樣式的磁碟區,您應該使用 UNIX 檔案系統身分類型,對於具有 NTFS 安全樣式的磁碟區,則應使用 Windows 身分類型。此對齊可確保授權模型符合磁碟區的安全組態。
對於 UNIX 安全樣式磁碟區,檔案系統使用 mode-bits 或 NFSv4 ACLs來控制存取。對於 NTFS 安全樣式磁碟區,檔案系統使用 Windows ACLs來控制存取。
**重要**
透過 NFS 或 SMB 直接存取磁碟區時,將 S3 存取點連接至 FSx for ONTAP 磁碟區並不會變更磁碟區的行為。針對磁碟區的所有現有操作會繼續像以前一樣運作。您在 S3 存取點政策中包含的限制僅適用於使用存取點提出的請求。
## S3 API 請求授權
當您透過連接至 FSx for NetApp ONTAP 磁碟區的存取點提出 S3 API 請求時,Amazon S3 會根據存取點的 IAM 資源政策評估呼叫主體的 IAM 許可。IAM 主體發起人必須擁有透過其身分型政策授予的必要許可,且存取點的資源政策也必須允許請求的動作。
Amazon S3 會評估所有相關政策,包括使用者政策、存取點政策、VPC 端點政策和服務控制政策,以決定是否授權請求。
您也可以將 S3 存取點設定為僅接受來自特定虛擬私有雲端 (VPC) 的請求,以限制資料存取。如需詳細資訊,請參閱[建立受限於 Virtual Private Cloud 的存取點](access-points-for-fsxn-vpc.md)。
## S3 封鎖公有存取權
連接至 FSx for ONTAP 磁碟區的 Amazon S3 存取點會自動設定為啟用封鎖公開存取,您無法變更。
## IAM 存取點政策
Amazon S3 存取點支援 AWS Identity and Access Management (IAM) 資源政策,可讓您依資源、使用者或其他條件控制存取點的使用。若要讓應用程式或使用者能夠透過存取點存取物件,存取點和基礎資料來源都必須允許請求。
建立選用存取點政策需要 `s3:PutAccessPointPolicy`許可。
將 S3 存取點連接至 Amazon FSx 磁碟區後,針對磁碟區的所有現有操作將繼續如往常般運作。您在存取點政策中包含的限制僅適用透過該存取點進行的請求。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 IAM 政策以使用存取點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html)。
當您使用 Amazon FSx 主控台建立連接至 FSx for ONTAP 磁碟區的存取點時,您可以設定存取點政策。 FSx 若要在現有 S3 存取點上新增、修改或刪除存取點政策,您可以使用 S3 主控台、CLI 或 API。
# 建立存取點
您可以使用 Amazon FSx 主控台、CLI、API 和支援的 SDKs,建立和管理連接到 Amazon FSx 磁碟區的 S3 存取點。
**注意**
由於您可能想要公開 S3 存取點名稱,以便其他使用者可以使用存取點,請避免在 S3 存取點名稱中包含敏感資訊。存取點名稱發佈在稱為網域名稱系統 (DNS) 的可公開存取資料庫中。如需存取點名稱的詳細資訊,請參閱[存取點命名規則](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。
## 所需的許可
建立連接到 Amazon FSx 磁碟區的 S3 存取點需要下列許可:
+ `fsx:CreateAndAttachS3AccessPoint`
+ `s3:CreateAccessPoint`
+ `s3:GetAccessPoint`
使用 Amazon FSx 或 S3 主控台建立選用存取點政策時需要 `s3:PutAccessPointPolicy`許可。如需詳細資訊,請參閱[IAM 存取點政策](s3-ap-manage-access-fsxn.md#access-points-for-fsxn-policies)。
若要建立存取點,請參閱下列主題。
**Topics**
+ [
## 所需的許可
](#create-ap-permissions)
+ [
# 建立存取點
](create-access-points.md)
+ [
# 建立受限於 Virtual Private Cloud 的存取點
](access-points-for-fsxn-vpc.md)
# 建立存取點
**重要**
若要將 S3 存取點連接至 FSx for ONTAP 磁碟區,必須掛載磁碟區 (具有連接路徑)。如需詳細資訊,請參閱 [ONTAP 文件](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html)。
為您的磁碟區建立 S3 存取點時,FSx for ONTAP 磁碟區必須已存在於您的帳戶中。
若要建立連接至 FSx for ONTAP 磁碟區的 S3 存取點,請指定下列屬性:
+ 存取點名稱。如需存取點命名規則的資訊,請參閱[存取點命名規則](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。
+ 用於授權使用存取點提出之檔案存取請求的檔案系統使用者身分。指定您要包含的 UNIX 或 Windows POSIX 使用者名稱。如需詳細資訊,請參閱[檔案系統使用者身分和授權](s3-ap-manage-access-fsxn.md#fsxn-file-system-user-identity)。
+ 存取點的網路組態會判斷存取點是否可從網際網路存取,或是否僅限於特定虛擬私有雲端 (VPC) 存取。如需詳細資訊,請參閱[建立受限於 Virtual Private Cloud 的存取點](access-points-for-fsxn-vpc.md)。
## 建立連接到 FSx 磁碟區的 S3 存取點 (FSx 主控台)
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 開啟 Amazon FSx 主控台。
1. 在頁面頂端的導覽列中,選擇您要在 AWS 區域 其中建立存取點的 。存取點必須在與相關聯磁碟區的相同區域中建立。
1. 在左側導覽窗格中,選擇**磁碟區**。
1. 在**磁碟**區頁面上,選擇要連接存取點的 ONTAP 磁碟區的 FSx。
1. 從**動作**功能表中選擇**建立 S3 存取點**,以顯示**建立 S3 存取點**頁面。
1. 針對**存取點名稱**,輸入存取點的名稱。如需存取點名稱的指導方針和限制的詳細資訊,請參閱 [存取點命名規則](access-point-for-fsxn-restrictions-limitations-naming-rules.md#access-points-for-fsxn-naming-rules)。
**資料來源詳細資訊**會填入您在步驟 3 中選擇的磁碟區資訊。
1. Amazon FSx 會使用檔案系統使用者身分來驗證使用此存取點提出的檔案存取請求。請確定您指定的檔案系統使用者在 FSx for ONTAP 磁碟區上有正確的許可。
針對**檔案系統使用者身分類型**,選取 UNIX 或 Windows。
1. 針對**使用者名稱**輸入使用者的使用者名稱。
1. 在**網路組態**面板中,您可以選擇存取點是否可從網際網路存取,還是僅限於特定虛擬私有雲端存取。
針對**網路原始**伺服器,選擇**網際網路**讓存取點可從網際網路存取,或選擇**虛擬私有雲端 (VPC)**,然後輸入您要限制存取點存取的 **VPC ID**。
如需存取點網路來源的詳細資訊,請參閱「[建立受限於 Virtual Private Cloud 的存取點](access-points-for-fsxn-vpc.md)」。
1. (選用) 在**存取點政策 - *選用***下,指定選用的存取點政策。請務必解決任何政策警告、錯誤和建議。如需指定存取點政策的詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 IAM 政策以使用存取點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html)。
1. 選擇**建立存取點**以檢閱存取點連接組態。
## 建立連接到 FSx 磁碟區 (CLI) 的 S3 存取點
下列範例命令會建立名為 的存取點*`my-ontap-ap`*,連接到帳戶 *`fsvol-0123456789abcdef9`*中 ONTAP 磁碟區的 FSx*`111122223333`*。
```
$ aws fsx create-and-attach-s3-access-point --name my-ontap-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-0123467},Policy=access-point-policy-json
```
對於成功的請求,系統會傳回新的 S3 存取點附件來回應 。
```
$ {
{
"S3AccessPointAttachment": {
"CreationTime": 1728935791.8,
"Lifecycle": "CREATING",
"LifecycleTransitionReason": {
"Message": "string"
},
"Name": "my-ontap-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "ec2-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/my-ontap-ap",
"Alias": "my-ontap-ap-aqfqprnstn7aefdfbarligizwgyfouse1a-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-0123467"
}
}
}
}
```
# 建立受限於 Virtual Private Cloud 的存取點
建立存取點時,您可以選擇從網際網路存取存取點,也可以指定透過該存取點提出的所有請求都必須來自特定的 Amazon Virtual Private Cloud。可從網際網路存取的存取點表示具有 `Internet` 的網路來源。它可以在網際網路的任何位置使用,但需遵守存取點、基礎儲存貯體或 Amazon FSx 磁碟區以及請求的物件等相關資源的任何其他存取限制。只能從指定的 Amazon VPC 存取的存取點具有 的網路原始伺服器`VPC`,Amazon S3 會拒絕對非源自該 Amazon VPC 的存取點提出的任何請求。
**重要**
您只能在建立存取點時指定存取點的網路來源。建立存取點之後,您便無法變更其網路來源。
若要將存取點限制為僅限 Amazon VPC 的存取,請在建立存取點的請求中包含 `VpcConfiguration` 參數。在 `VpcConfiguration` 參數中,您可以指定要使用存取點的 Amazon VPC ID。如果透過存取點提出請求,則請求必須源自 Amazon VPC,否則 Amazon S3 會拒絕該請求。
您可以使用、 AWS CLI AWS SDKs 或 REST APIs 擷取存取點的網路原始伺服器。如果存取點已指定 Amazon VPC 組態,其網路原始伺服器為 `VPC`。否則,存取點的網路來源為 `Internet`。
**Example**
***範例:建立僅限 Amazon VPC 存取的存取點***
下列範例會為 帳戶中`example-vpc-ap`的儲存貯`amzn-s3-demo-bucket`體建立名為 的存取點`123456789012`,僅允許從 Amazon VPC `vpc-1a2b3c` 存取。然後,此範例會驗證新的存取點是否具有 `VPC` 的網路來源。
```
$ aws fsx create-and-attach-s3-access-point --name example-vpc-ap --type ONTAP --ontap-configuration \
VolumeId=fsvol-0123456789abcdef9,FileSystemIdentity='{Type=UNIX,UnixUser={Name=ec2-user}}' \
--s3-access-point VpcConfiguration='{VpcId=vpc-id},Policy=access-point-policy-json
```
```
$ {
{
"S3AccessPointAttachment": {
"Lifecycle": "CREATING",
"CreationTime": 1728935791.8,
"Name": "example-vpc-ap",
"OntapConfiguration": {
"VolumeId": "fsvol-0123456789abcdef9",
"FileSystemIdentity": {
"Type": "UNIX",
"UnixUser": {
"Name": "my-unix-user"
}
}
},
"S3AccessPoint": {
"ResourceARN": "arn:aws:s3:us-east-1:111122223333:accesspoint/example-vpc-ap",
"Alias": "access-point-abcdef0123456789ab12jj77xy51zacd4-ext-s3alias",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
}
}
}
}
```
若要搭配 Amazon VPC 使用存取點,您必須修改 Amazon VPC 端點的存取政策。Amazon VPC 端點允許流量從您的 Amazon VPC 流向 Amazon S3。它們具有存取控制政策,可控制如何允許 Amazon VPC 中的資源與 Amazon S3 互動。如果 Amazon VPC 端點政策同時授予存取點和基礎儲存貯體的存取權,則從 Amazon VPC 到 Amazon S3 的請求只會透過存取點成功。
**注意**
若要讓 資源只能在 Amazon VPC 內存取,請務必為您的 Amazon VPC 端點建立[私有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。若要使用私有託管區域,請[修改 Amazon VPC 設定](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating),讓 [Amazon VPC 網路屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames`和 `enableDnsSupport` 設定為 `true`。
下列範例政策陳述式會設定 Amazon VPC 端點,以允許呼叫 `GetObject`和名為 的存取點`example-vpc-ap`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:us-east-1:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**注意**
此範例中的 `Resource` 宣告使用 Amazon Resource Name (ARN) 來指定存取點。
如需 Amazon VPC 端點政策的詳細資訊,請參閱《Amazon *VPC *[使用者指南》中的 Amazon S3 閘道端點](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)。
# 管理 Amazon S3 存取點
本節說明如何使用 AWS 管理主控台 AWS Command Line Interface、 或 API 來管理和使用您的 Amazon S3 存取點。
**Topics**
+ [
# 列出 S3 存取點附件
](access-points-list.md)
+ [
# 檢視存取點詳細資訊
](access-points-details.md)
+ [
# 刪除 S3 存取點連接
](delete-access-point.md)
# 列出 S3 存取點附件
本節說明如何使用 AWS 管理主控台 AWS Command Line Interface或 REST API 列出 S3 存取點。
## 列出連接至 FSx for ONTAP 磁碟區 (Amazon FSx 主控台) 的所有 S3 存取點
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 開啟 Amazon FSx 主控台。
1. 在主控台左側的導覽窗格中,選擇**磁碟區**。
1. 在**磁碟區**頁面上,選擇要檢視存取點附件的 **ONTAP** 磁碟區。
1. 在磁碟區詳細資訊頁面上,選擇 **S3** 以檢視連接至磁碟區的所有 S3 存取點清單。
## 列出連接至 FSx for ONTAP 磁碟區的所有 S3 存取點 (AWS CLI)
下列[https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DescribeS3AccessPointAttachments.html)範例命令顯示如何使用 AWS CLI 列出 S3 存取點附件。
下列命令會列出連接至 FSx for ONTAP 檔案系統 fs-0abcdef123456789 上磁碟區的所有 S3 存取點。
```
aws fsx describe-s3-access-point-attachments --filter {[Name: file-system-id, Values:{[fs-0abcdef123456789]}}
```
下列命令列出連接至 FSx for ONTAP 磁碟區 vol-9abcdef123456789】 的 S3 存取點。
```
aws fsx describe-s3-access-point-attachments --filter {[Name: volume-id, Values:{[vol-9abcdef123456789]}}
```
如需詳細資訊和範例,請參閱AWS CLI 命令參考**中的 [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/s3control/list-access-points.html)。
# 檢視存取點詳細資訊
本節說明如何使用 AWS 管理主控台 AWS Command Line Interface、 或 REST API 檢視 S3 存取點的詳細資訊。
## 檢視連接至 FSx for ONTAP 磁碟區 (Amazon FSx 主控台) 的 S3 存取點詳細資訊
1. 開啟位於 https://[https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/) 的 Amazon FSx 主控台。
1. 導覽至要檢視其詳細資訊的存取點所連接的磁碟區。
1. 選擇 **S3** 以顯示連接到磁碟區的存取點清單。
1. 選擇您要檢視其詳細資訊的存取點。
1. 在 **S3 存取點連接摘要**下,檢視所選存取點的組態詳細資訊和屬性。
**檔案系統使用者身分**組態和 **S3 存取點許可**政策也會列出存取點附件。
1. 若要在 Amazon S3 主控台中檢視存取點的 S3 組態,請選擇顯示在 S3 存取點下的 **S3 存取點**名稱。 Amazon S3 它會帶您前往 Amazon S3 主控台中的存取點詳細資訊頁面。
# 刪除 S3 存取點連接
本節說明如何使用 AWS 管理主控台 AWS Command Line Interface、 或 REST API 刪除 S3 存取點。
刪除 S3 存取點連接需要 `fsx:DetatchAndDeleteS3AccessPoint`和 `s3control:DeleteAccessPoint`許可。
## 刪除連接至 FSx for ONTAP 磁碟區的 S3 存取點 (Amazon FSx 主控台)
1. 在 [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/):// 開啟 Amazon FSx 主控台。
1. 導覽至您要刪除的 S3 存取點連接所連接的磁碟區。
1. 選擇 **S3** 以顯示連接到磁碟區的 S3 存取點清單。
1. 選取您要刪除的 S3 存取點附件。
1. 選擇 **刪除**。
1. 確認您想要刪除 S3 存取點,然後選擇**刪除**。
## 刪除連接至 FSx for ONTAP 磁碟區的 S3 存取點 (AWS CLI)
+ 若要刪除 S3 存取點附件,請使用 [detach-and-delete-s3-access-point](https://docs.aws.amazon.com/cli/latest/reference/fsx/detach-and-delete-s3-access-point.html) CLI 命令 (或同等的 [DetachAndDeleteS3AccessPoint](https://docs.aws.amazon.com/fsx/latest/APIReference/API_DetachAndDeleteS3AccessPoint.html) API 操作),如下列範例所示。使用 `--name` 屬性指定您要刪除的 S3 存取點附件名稱。
```
aws fsx detach-and-delete-s3-access-point \
--region us-east-1 \
--name my-ontap-ap
```
# 使用存取點
下列範例示範如何使用存取點,使用 S3 API 存取存放在 FSx for ONTAP 磁碟區上的檔案資料。如需連接至 FSx for ONTAP 磁碟區之存取點支援的 Amazon S3 API 操作完整清單,請參閱 [存取點相容性](access-points-for-fsxn-object-api-support.md)。
**注意**
FSx for ONTAP 磁碟區上的檔案會以 `StorageClass`的 識別`FSX_ONTAP`。
**Topics**
+ [
# 使用 S3 存取點下載檔案
](get-object-ap.md)
+ [
# 使用 S3 存取點上傳檔案
](put-object-ap.md)
+ [
# 使用 S3 存取點列出檔案
](list-object-ap.md)
+ [
# 使用 S3 存取點標記檔案
](add-tag-set-ap.md)
+ [
# 使用 S3 存取點刪除檔案
](delete-object-ap.md)
# 使用 S3 存取點下載檔案
下列`get-object`範例命令顯示如何使用 透過存取點 AWS CLI 下載檔案。您必須包含 Outfile,這是已下載物件的檔案名稱。
此範例*`my-image.jpg`*會透過存取點請求檔案,*`my-ontap-ap`*並將下載的檔案儲存為 *`download.jpg`*。
```
$ aws s3api get-object --key my-image.jpg --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias download.jpg
{
"AcceptRanges": "bytes",
"LastModified": "Mon, 14 Oct 2024 17:01:48 GMT",
"ContentLength": 141756,
"ETag": "\"00751974dc146b76404bb7290f8f51bb-1\"",
"ContentType": "binary/octet-stream",
"ServerSideEncryption": "SSE_FSX",
"Metadata": {},
"StorageClass": "FSX_ONTAP"
}
```
您也可以使用 REST API 透過存取點下載物件。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_GetObject.html)。
# 使用 S3 存取點上傳檔案
下列`put-object`範例命令顯示如何使用 AWS CLI ,透過存取點上傳檔案。您必須包含 Outfile,這是上傳物件的檔案名稱。
此範例*`my-new-image.jpg`*會透過存取點上傳檔案,*`my-ontap-ap`*並將上傳的檔案儲存為 *`my-new-image.jpg`*。
```
$ aws s3api put-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-new-image.jpg --body my-new-image.jpg
```
您也可以使用 REST API 透過存取點上傳物件。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObject.html)。
# 使用 S3 存取點列出檔案
下列範例透過區域 *`111122223333`*中帳戶 ID 所`my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias`擁有的存取點別名列出檔案*`us-east-2`*。
```
$ aws s3api list-objects-v2 --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias
{
"Contents": [
{
"Key": ".hidden-dir-with-data/file.txt",
"LastModified": "2024-10-29T14:22:05.4359",
"ETag": "\"88990077ab44cd55ef66aa77-1\"",
"Size": 18,
"StorageClass": "FSX_ONTAP"
},
{
"Key": "documents/report.rtf",
"LastModified": "2024-11-02T10:18:15.6621",
"ETag": "\"ab12cd34ef56a89219zg6aa77-1\"",
"Size": 1048576,
"StorageClass": "FSX_ONTAP"
},
]
}
```
您也可以使用 REST API 列出您的檔案。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_ListObjectsV2.html)。
# 使用 S3 存取點標記檔案
下列`put-object-tagging`範例命令顯示如何使用 透過存取點 AWS CLI 新增標籤集。每個標籤都是金鑰值對。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[使用標籤將儲存體分類](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-tagging.html)。
此範例`my-image.jpg`使用存取點 將標籤集新增至現有檔案*`my-ontap-ap`*。
```
$ aws s3api put-object-tagging --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg --tagging TagSet=[{Key="finance",Value="true"}]
```
您也可以使用 REST API,透過存取點將標籤集新增至物件。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_PutObjectTagging.html)。
# 使用 S3 存取點刪除檔案
下列`delete-object`範例命令顯示如何使用 AWS CLI 來透過存取點刪除檔案。
```
$ aws s3api delete-object --bucket my-ontap-ap-hrzrlukc5m36ft7okagglf3gmwluquse1b-ext-s3alias --key my-image.jpg
```
您也可以使用 REST API 透過存取點刪除物件。如需詳細資訊,請參閱《Amazon Simple Storage Service API 參考》**中的 [https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_DeleteObject.html)。
# 故障診斷 S3 存取點問題
本節說明從 S3 存取點存取 FSx 資料時遇到問題時的症狀、原因和解決方法。
## 由於檔案系統使用者身分查詢失敗,S3 存取點建立失敗
建立和連接 S3 存取點時,[https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapFileSystemIdentity.html#FSx-Type-OntapFileSystemIdentity-Type)必須提供 。您有責任在 ONTAP 中設定提供的 UNIX 或 Windows 使用者。
如果[https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapUnixFileSystemUser.html)提供 ,ONTAP 必須能夠將 UnixUser 名稱對應至 UNIX UID/GIDs。ONTAP 決定如何使用[名稱服務切換組態](https://docs.netapp.com/us-en/ontap/nfs-admin/ontap-name-service-switch-config-concept.html)執行此映射。
```
> vserver services name-service ns-switch show
```
```
Vserver Database Order
--------------- ------------ ---------
svm_1 hosts files,
dns
svm_1 group files,
ldap
svm_1 passwd files,
ldap
svm_1 netgroup nis,
files
```
請確定您的 UnixUser 在 `passwd`和 `group` 資料庫中具有使用有效來源 (`files``ldap`等) 的項目。您可以使用 `vserver services name-service unix-user`和 `vserver services name-service unix-group`命令來設定`files`來源。您可以使用 `vserver services name-service ldap`命令來設定`ldap`來源。
如果[https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html](https://docs.aws.amazon.com/fsx/latest/APIReference/API_OntapWindowsFileSystemUser.html)提供 ,ONTAP 必須能夠在加入的 Active Directory 網域中找到 WindowsUser 名稱。
若要確認提供的 UnixUser 或 WindowsUser 是否正確對應,`fsxadmin`您可以使用下列命令 (`-unix-user-name`以 `-win-name` for WindowsUsers 取代 ):
```
> vserver services access-check authentication show-creds -node FsxId0fd48ff588b9d3eee-01 -vserver svm_name -unix-user-name root -show-partial-unix-creds true
```
成功輸出的範例:
```
UNIX UID: root
GID: daemon
Supplementary GIDs:
daemon
```
範例失敗輸出:
```
Error: Acquire UNIX credentials procedure failed
[ 2 ms] Entry for user-name: unmapped-user not found in the
current source: FILES. Entry for user-name: unmapped-user
not found in any of the available sources
**[ 3] FAILURE: Unable to retrieve UID for UNIX user
** unmapped-user
Error: command failed: Failed to resolve user name to a UNIX ID. Reason: "SecD Error: object not found".
```
不正確的使用者映射可能會導致 S3 `Access Denied` 發生錯誤。請參閱以下失敗原因範例。
**`Entry for user-name not found in the current source: LDAP`**
如果您的 `ns-switch` 設定為使用 `ldap`來源,請確保 ONTAP 設定為正確使用您的 LDAP 伺服器。如需詳細資訊[,請參閱 NetApp 的技術報告以設定 LDAP](https://www.netapp.com/pdf.html?item=/media/19423-tr-4835.pdf)。
**`RESULT_ERROR_DNS_CANT_REACH_SERVER` 或 `RESULT_ERROR_SECD_IN_DISCOVERY`**
此錯誤表示 ONTAP 中 vserver 的 DNS 組態發生問題。執行下列動作,以確保您的 vserver DNS 已正確設定:
```
> dns check -vserver svm_name
```
**`NT_STATUS_PENDING`**
此錯誤表示與網域控制器通訊時發生問題。根本原因可能是由於缺乏 SMB 點數。如需詳細資訊,請參閱 [NetApp KB](https://kb.netapp.com/on-prem/ontap/da/NAS/NAS-KBs/How_ONTAP_implements_SMB_crediting)。
## S3 存取點建立失敗,因為磁碟區未掛載。
S3 存取點只能連接到 FSx。這也適用於 DP (資料保護) 磁碟區類型。如需詳細資訊,請參閱 [ONTAP 磁碟區掛載文件](https://docs.netapp.com/us-en/ontap/nfs-admin/mount-unmount-existing-volumes-nas-namespace-task.html)。
## S3 存取點建立失敗,因為 SVM 上已停用 S3 通訊協定
S3 存取點需要在儲存虛擬機器 (SVM) 上啟用 S3 通訊協定。若要啟用 S3 通訊協定,請使用 在 ONTAP CLI 中執行下列命令`fsxadmin`:
```
> vserver add-protocols -vserver svm_name -protocols s3
```
若要驗證通訊協定是否已啟用:
```
> vserver show -vserver svm_name -fields allowed-protocols,disallowed-protocols
```
## 檔案系統無法處理 S3 請求
如果特定工作負載的 S3 請求磁碟區超過檔案系統處理流量的容量,您可能會遇到 S3 請求錯誤 (例如 `Internal Server Error`、 `503 Slow Down`和 `Service Unavailable`)。您可以使用 Amazon CloudWatch 指標 (例如 `Network throughput utilization`和 ) 主動監控和警示檔案系統的效能`CPU utilization`。如果您觀察到效能降低,您可以透過增加檔案系統的輸送量容量來解決此問題。
## 使用自動建立服務角色的預設 S3 存取點許可拒絕存取
有些 S3-integrated AWS 服務會建立自訂服務角色,並自訂連接至特定使用案例的許可。將 S3 存取點別名指定為 S3 資源時,這些連接的許可可能包含使用儲存貯體 ARN 格式 (例如 `arn:aws:s3:::my-fsx-ap-foo7detztxouyjpwtu8krroppxytruse1a-ext-s3alias`) 而非存取點 ARN 格式 (例如 ) 的存取點`arn:aws:s3:us-east-1:1234567890:accesspoint/my-fsx-ap`。若要解決此問題,請修改政策以使用存取點的 ARN。