本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理存取點存取
<a name="s3-ap-manage-access-fsxn"></a>

您可以使用不同的許可和網路控制來設定每個 S3 存取點，S3許可和網路控制適用於使用該存取點提出的任何請求。S3 存取點支援 AWS Identity and Access Management (IAM) 資源政策，可用來依資源、使用者或其他條件控制存取點的使用。若要讓應用程式或使用者透過存取點存取檔案，存取點和基礎磁碟區都必須允許請求。如需詳細資訊，請參閱[IAM 存取點政策](#access-points-for-fsxn-policies)。

FSx for ONTAP 的 Amazon S3 存取點使用雙層授權模型，將 AWS IAM 許可與檔案系統層級許可結合。此方法可確保資料存取請求在 AWS 服務層級和基礎檔案系統層級獲得適當授權。

若要讓應用程式或使用者成功透過存取點存取資料，S3 存取點政策和基礎 FSx for ONTAP 磁碟區都必須允許請求。

**Topics**
+ [檔案系統使用者身分和授權](#fsxn-file-system-user-identity)
+ [S3 API 請求授權](#access-points-for-fsxn-s3-iam-auth)
+ [S3 封鎖公有存取權](#access-points-for-fsxn-bpa)
+ [IAM 存取點政策](#access-points-for-fsxn-policies)

## 檔案系統使用者身分和授權
<a name="fsxn-file-system-user-identity"></a>

當您為 FSx for ONTAP 磁碟區建立 S3 存取點時，您可以指定檔案系統身分，用來授權透過該存取點提出的所有檔案系統請求。此檔案系統身分會根據檔案系統的許可模型，決定授予基礎檔案和目錄的存取層級。檔案系統使用者是基礎 Amazon FSx 檔案系統上的使用者帳戶。如果檔案系統使用者具有*唯讀*存取權，則只會授權使用存取點提出的讀取請求，並封鎖寫入請求。如果檔案系統使用者具有讀寫存取權，則會授權對使用存取點建立之連接磁碟區的讀寫請求。

檔案系統身分可以是兩種類型之一：
+ **UNIX 身分** – 使用 UNIX 安全樣式存取磁碟區時，請使用 UNIX 身分 （使用者名稱）
+ **Windows 身分** – 使用 NTFS 安全樣式存取磁碟區時，請使用 Windows 身分 （網域和使用者名稱）。

當您指定 UNIX 或 Windows 身分時，透過存取點執行的所有 S3 API 操作都會使用該使用者的 檔案系統許可進行授權。

您與存取點建立關聯的檔案系統身分會決定檔案和目錄的存取層級。例如，如果您將存取點與根 UNIX 身分 (UID 0) 建立關聯，通常在檔案系統上具有完整的檔案存取許可，則所有檔案操作都會獲得授權。相反地，如果您將存取點與受限的使用者身分建立關聯，檔案操作會受限於該使用者根據檔案系統的許可模型可以存取的內容。

對於具有 UNIX 安全樣式的磁碟區，您應該使用 UNIX 檔案系統身分類型，對於具有 NTFS 安全樣式的磁碟區，則應使用 Windows 身分類型。此對齊可確保授權模型符合磁碟區的安全組態。

對於 UNIX 安全樣式磁碟區，檔案系統使用 mode-bits 或 NFSv4 ACLs來控制存取。對於 NTFS 安全樣式磁碟區，檔案系統使用 Windows ACLs來控制存取。

**重要**  
透過 NFS 或 SMB 直接存取磁碟區時，將 S3 存取點連接至 FSx for ONTAP 磁碟區並不會變更磁碟區的行為。針對磁碟區的所有現有操作會繼續像以前一樣運作。您在 S3 存取點政策中包含的限制僅適用於使用存取點提出的請求。

**注意**  
如果與存取點相關聯的檔案系統身分無法再於檔案系統上解析，或者連接的磁碟區離線或卸載，S3 存取點可以轉換為 `MISCONFIGURED` 狀態。在此狀態下，透過存取點提出的 S3 請求可能會失敗。Amazon FSx 會定期檢查這些條件，並在問題解決`AVAILABLE`時自動將存取點傳回給 。如需詳細資訊，請參閱[S3 存取點處於 MISCONFIGURED 狀態](troubleshooting-access-points-for-fsxn.md#misconfigured-access-point)。

## S3 API 請求授權
<a name="access-points-for-fsxn-s3-iam-auth"></a>

當您透過連接至 FSx for NetApp ONTAP 磁碟區的存取點提出 S3 API 請求時，Amazon S3 會根據存取點的 IAM 資源政策評估呼叫主體的 IAM 許可。IAM 主體發起人必須擁有透過身分型政策授予的必要許可，且存取點的資源政策也必須允許請求的動作。

Amazon S3 會評估所有相關政策，包括使用者政策、存取點政策、VPC 端點政策和服務控制政策，以決定是否授權請求。

您也可以將 S3 存取點設定為僅接受來自特定虛擬私有雲端 (VPC) 的請求，以限制資料存取。如需詳細資訊，請參閱[建立受限於 Virtual Private Cloud 的存取點](access-points-for-fsxn-vpc.md)。

## S3 封鎖公有存取權
<a name="access-points-for-fsxn-bpa"></a>

連接至 FSx for ONTAP 磁碟區的 Amazon S3 存取點會自動設定為啟用封鎖公開存取，您無法變更。

## IAM 存取點政策
<a name="access-points-for-fsxn-policies"></a>

Amazon S3 存取點支援 AWS Identity and Access Management (IAM) 資源政策，可讓您依資源、使用者或其他條件控制存取點的使用。若要讓應用程式或使用者能夠透過存取點存取物件，存取點和基礎資料來源都必須允許請求。

需要 `s3:PutAccessPointPolicy`許可才能建立選用的存取點政策。

將 S3 存取點連接至 Amazon FSx 磁碟區後，針對磁碟區的所有現有操作會繼續像以前一樣運作。您在存取點政策中包含的限制僅適用透過該存取點進行的請求。如需詳細資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[設定 IAM 政策以使用存取點](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-points-policies.html)。

當您使用 Amazon FSx 主控台建立連接至 FSx for ONTAP 磁碟區的存取點時，可以設定存取點政策。 FSx 若要在現有 S3 存取點上新增、修改或刪除存取點政策，您可以使用 S3 主控台、CLI 或 API。