# Criar um ponto de acesso
<a name="creating-access-points"></a>

Você pode criar pontos de acesso do S3 usando o Console de gerenciamento da AWS, a AWS Command Line Interface (AWS CLI), os AWS SDKs ou a API REST do Amazon S3. Pontos de acesso são endpoints de rede nomeados que são anexados a uma fonte de dados, como um bucket, um volume do Amazon FSx para ONTAP ou um volume do Amazon FSx para OpenZFS.

Por padrão, você pode criar até 10 mil pontos de acesso por região para cada uma das suas Contas da AWS. Se você precisar de mais de 10 mil pontos de acesso para uma única conta em uma única região, poderá solicitar um aumento de cota de serviço. Para obter mais informações sobre cotas de serviço e como solicitar um aumento, consulte [AWS Service Quotas](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) na *Referência geral da AWS*.

**Topics**
+ [

## Criar pontos de acesso com buckets do S3
](#create-access-points)
+ [

## Criar pontos de acesso com o Amazon FSx
](#create-access-points-with-fsx)
+ [

# Criar pontos de acesso restritos a uma nuvem privada virtual
](access-points-vpc.md)
+ [

# Gerenciar o acesso público a pontos de acesso para buckets de uso geral
](access-points-bpa-settings.md)

## Criar pontos de acesso com buckets do S3
<a name="create-access-points"></a>

Um ponto de acesso está associado a exatamente um bucket de uso geral do Amazon S3. Para usar um bucket em sua Conta da AWS, primeiro crie um bucket. Para obter mais informações sobre a criação de buckets, consulte [Criar, configurar e trabalhar com buckets de uso geral do Amazon S3](creating-buckets-s3.md).

Você também pode criar um ponto de acesso entre contas associado a um bucket em outra Conta da AWS, desde que você saiba o nome do bucket e o ID da conta do proprietário do bucket. No entanto, a criação de pontos de acesso entre contas não concederá acesso aos dados no bucket até que você receba as permissões do proprietário do bucket. O proprietário do bucket deve conceder à conta do proprietário do ponto de acesso (sua conta) acesso ao bucket por meio da política do bucket. Para obter mais informações, consulte [Conceder permissões para pontos de acesso entre contas](access-points-policies.md#access-points-cross-account).

### Usar o console do S3
<a name="access-points-create-ap"></a>

**Como criar um ponto de acesso**

1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).

1. Na barra de navegação na parte superior da página, escolha o nome da Região da AWS exibida no momento. Em seguida, escolha a região na qual você deseja criar um ponto de acesso. O ponto de acesso deve ser criado na mesma região em que o bucket associado. 

1. No painel de navegação, escolha **Access Points** (Pontos de acesso).

1. Na página **Access Points** (Pontos de acesso), escolha **Create access point** (Criar ponto de acesso).

1. No campo **Nome do ponto de acesso**, insira o nome do ponto de acesso. Para obter mais informações sobre nomenclatura de pontos de acesso, consulte [Regras de nomenclatura para pontos de acesso](access-points-restrictions-limitations-naming-rules.md#access-points-names).

1. Em **Fonte de dados**, especifique o bucket do S3 que você deseja usar com o ponto de acesso.

   Para usar um bucket em sua conta, selecione **Escolha um bucket nesta conta** e insira ou pesquise o nome do bucket. 

   Para usar um bucket em outra Conta da AWS, escolha **Especificar um bucket em outra conta** e insira o ID da Conta da AWS e o nome do bucket. Se você estiver usando um bucket em outra Conta da AWS, o proprietário do bucket deverá atualizar a política do bucket para autorizar solicitações do ponto de acesso. Para ver um exemplo de política de bucket, consulte [Conceder permissões para pontos de acesso entre contas](access-points-policies.md#access-points-cross-account).
**nota**  
Para ter informações sobre como usar um volume do FSx para OpenZFS como fonte de dados, consulte [Criar pontos de acesso com o Amazon FSx](#create-access-points-with-fsx).

1. Escolha uma **Origem da rede**, seja **Internet** ou **Nuvem privada virtual (VPC)**. Se você escolher **Nuvem privada virtual (VPC)**, insira o **ID da VPC** que deseja usar com o ponto de acesso.

   Para obter mais informações sobre origens de rede para pontos de acesso, consulte [Criar pontos de acesso restritos a uma nuvem privada virtual](access-points-vpc.md).

1. Em **Access point settings for Block Public Access** (Configurações do ponto de acesso para o Bloqueio de acesso público), selecione as configurações de bloqueio de acesso público que você deseja aplicar ao ponto de acesso. Todas as configurações do bloqueio de acesso público são habilitadas por padrão para novos pontos de acesso. Recomendamos que você mantenha todas as configurações ativadas, a menos que saiba que tem uma necessidade específica de desativar qualquer uma delas. 
**nota**  
Depois de criar um ponto de acesso, não será possível alterar as configurações de bloqueio de acesso público.

   Para obter mais informações sobre como usar o Bloqueio de acesso público do Amazon S3 com pontos de acesso, consulte [Gerenciar o acesso público a pontos de acesso para buckets de uso geral](access-points-bpa-settings.md).

1. (Opcional) Em **Access point policy - *optional* (Política de ponto de acesso - opcional)**, especifique a política de ponto de acesso. Antes de salvar a política, solucione todos os avisos de segurança, os erros, os avisos gerais e as sugestões. Para obter mais informações sobre como especificar uma política de ponto de acesso, consulte [Exemplos de política para pontos de acesso](access-points-policies.md#access-points-policy-examples).

1. Selecione **Criar ponto de acesso**.

### Como usar o AWS CLI
<a name="creating-access-point-cli"></a>

O exemplo de comando a seguir cria um ponto de acesso chamado *`example-ap`* para o bucket *`amzn-s3-demo-bucket`* na conta *`111122223333`*. Para criar o ponto de acesso, envie uma solicitação ao Amazon S3 que especifica o seguinte:
+ O nome do ponto de acesso. Para obter informações sobre regras de nomeação, consulte [Regras de nomenclatura para pontos de acesso](access-points-restrictions-limitations-naming-rules.md#access-points-names).
+ O nome do bucket ao qual você deseja associar o ponto de acesso.
+ O ID da Conta da AWS à qual o ponto de acesso pertence.

```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket
```

Ao criar um ponto de acesso usando um bucket em outra Conta da AWS, inclua o parâmetro `--bucket-account-id`. O exemplo de comando a seguir cria um ponto de acesso na Conta da AWS *`111122223333`*, usando o bucket *`amzn-s3-demo-bucket2`*, que está na Conta da AWS *`444455556666`*.

```
aws s3control create-access-point --name example-ap --account-id 111122223333 --bucket amzn-s3-demo-bucket --bucket-account-id 444455556666
```

### Uso da API REST
<a name="creating-access-point-rest-api"></a>

É possível usar a API REST para criar um ponto de acesso. Para obter mais informações, consulte [https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html](https://docs.aws.amazon.com/AmazonS3/latest/API/API_control_CreateAccessPoint.html) na *Referência da API do Amazon Simple Storage Service*.

## Criar pontos de acesso com o Amazon FSx
<a name="create-access-points-with-fsx"></a>

Você pode criar e anexar um ponto de acesso a um volume do FSx para OpenZFS usando o console do Amazon FSx, a AWS CLI ou a API. Depois de anexado, você pode usar as APIs de objeto do S3 para acessar seus dados de arquivo. Seus dados continuam residindo no sistema de arquivos do Amazon FSx e continuam diretamente acessíveis para suas workloads existentes. Você continua gerenciando seu armazenamento por meio de todos os recursos de gerenciamento de armazenamento do FSx para OpenZFS, como backups, snapshots, cotas de usuário e grupo e compressão.

Para ter instruções sobre como criar um ponto de acesso e anexá-lo a um volume do FSx para OpenZFS[, consulte ](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html)Creating access point* no *Guia do usuário FSx para OpenZFS.

# Criar pontos de acesso restritos a uma nuvem privada virtual
<a name="access-points-vpc"></a>

Ao criar um ponto de acesso, você pode optar por tornar o ponto de acesso acessível pela internet ou pode especificar que todas as solicitações feitas por meio desse ponto de acesso devem ser originadas de uma nuvem privada virtual (VPC) específica. Considera-se que um ponto de acesso acessível da Internet tem uma origem de rede da `Internet`. Ele pode ser usado de qualquer lugar na internet e está sujeito a quaisquer outras restrições de acesso em vigor para o ponto de acesso, a fonte de dados subjacente e os recursos relacionados, como os objetos solicitados. Um ponto de acesso acessível apenas de uma VPC especificada tem uma origem de rede de `VPC`, e o Amazon S3 rejeita qualquer solicitação feita ao ponto de acesso que não tenha origem nessa VPC.

**Importante**  
Você só pode especificar a origem da rede de um ponto de acesso ao criá-lo. Depois de criar o ponto de acesso, não é possível alterar a origem da rede.

Para restringir um ponto de acesso ao acesso somente VPC, inclua o parâmetro `VpcConfiguration` com a solicitação para criar o ponto de acesso. No parâmetro `VpcConfiguration`, você especifica o ID da VPC que deseja usar o ponto de acesso. Se uma solicitação for feita por meio do ponto de acesso, ela deverá ser originada da VPC. Do contrário, o Amazon S3 a rejeitará. 

Você pode recuperar a origem da rede de um ponto de acesso usando a AWS CLI, os AWS SDKs ou as APIs REST. Se um ponto de acesso tiver uma configuração de VPC especificada, sua origem de rede será `VPC`. Caso contrário, a origem da rede do ponto de acesso será `Internet`.

## Exemplo: criar e restringir um ponto de acesso a um ID de VPC
<a name="access-points-vpc-example1"></a>

O exemplo a seguir cria um ponto de acesso chamado `example-vpc-ap` para o bucket `amzn-s3-demo-bucket` na conta `123456789012` que permite acesso somente da VPC `vpc-1a2b3c`. O exemplo verifica se o novo ponto de acesso tem uma origem de rede da `VPC`.

------
#### [ AWS CLI ]

```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
```

```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012

{
    "Name": "example-vpc-ap",
    "Bucket": "amzn-s3-demo-bucket",
    "NetworkOrigin": "VPC",
    "VpcConfiguration": {
        "VpcId": "vpc-1a2b3c"
    },
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}
```

------

Para usar um ponto de acesso com uma VPC, é necessário modificar a política de acesso do endpoint da VPC especificado. Os VPC endpoints permitem que o tráfego flua da VPC para o Amazon S3. Os pontos de acesso têm políticas de controle de acesso que regulam como os recursos na VPC podem interagir com o Amazon S3. As solicitações da VPC ao Amazon S3 serão bem-sucedidas por meio de um ponto de acesso somente se a política do endpoint da VPC conceder acesso ao ponto de acesso e ao bucket subjacente.

**nota**  
Para tornar os recursos acessíveis apenas em uma VPC, crie uma [zona hospedada privada](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) para o endpoint da VPC. Para usar uma zona hospedada privada, [modifique suas configurações da VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) para que os [atributos da rede de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` e `enableDnsSupport` sejam definidos como `true`.

O exemplo de instrução de política a seguir configura um VPC endpoint para permitir chamadas ao `GetObject` de um bucket denominado `awsexamplebucket1` e um ponto de acesso chamado `example-vpc-ap`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*",
            "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
```

------

**nota**  
A declaração `"Resource"` neste exemplo usa um nome de recurso da Amazon (ARN) para especificar o ponto de acesso. Para obter mais informações sobre ARNs de ponto de acesso, consulte [Fazer referência a pontos de acesso com ARNs, aliases de ponto de acesso ou URIs de estilo de hospedagem virtual](access-points-naming.md). 

Para obter mais informações sobre políticas do endpoint da VPC, consulte [Políticas de endpoint para o Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) no *Guia do usuário da VPC*.

Para ver um tutorial sobre como criar pontos de acesso com endpoints da VPC, consulte [Managing Amazon S3 access with VPC endpoints and access points](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/).

## Exemplo: criar e restringir um ponto de acesso anexado a um volume do FSx para OpenZFS a um ID de VPC
<a name="access-points-vpc-example2"></a>

É possível criar um ponto de acesso que é anexado a um volume do FSx para OpenZFS usando o console do Amazon FSx, a AWS CLI ou a API. Depois de anexado, você pode usar as APIs de objeto do S3 para acessar seus dados de arquivo de uma VPC especificada.

Para ter instruções sobre como criar e restringir um ponto de acesso anexado a um volume do FSx para OpenZFS, consulte [Criar pontos de acesso restritos a uma nuvem privada virtual](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) no *Guia do usuário do Amazon Simple Storage Service*.

## Exemplo: criar e restringir um ponto de acesso anexado a um volume do FSx para ONTAP a um ID de VPC
<a name="access-points-vpc-example3"></a>

É possível criar um ponto de acesso anexado a um volume do FSx para ONTAP usando o console do Amazon FSx, a AWS CLI ou a API. Depois de anexado, você pode usar as APIs de objeto do S3 para acessar seus dados de arquivo de uma VPC especificada.

Para ver instruções sobre como criar e restringir um ponto de acesso conectado a um volume do FSx para ONTAP, consulte o [https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html).

# Gerenciar o acesso público a pontos de acesso para buckets de uso geral
<a name="access-points-bpa-settings"></a>

Os pontos de acesso do Amazon S3 oferecem suporte a configurações independentes do *bloqueio de acesso público* para cada ponto de acesso. Ao criar um ponto de acesso, você pode especificar configurações do Bloqueio de acesso público que se aplicam a esse ponto de acesso. Para qualquer solicitação feita por meio de um ponto de acesso, o Amazon S3 avalia as configurações de bloqueio de acesso público para esse ponto de acesso, o bucket subjacente e a conta do proprietário do bucket. Se qualquer uma dessas configurações indicar que a solicitação deve ser bloqueada, o Amazon S3 rejeitará a solicitação.

Para obter mais informações sobre o recurso de bloqueio de acesso público do S3, consulte [Bloquear o acesso público ao armazenamento do Amazon S3](access-control-block-public-access.md).

**Importante**  
Todas as configurações do Bloqueio de acesso público são habilitadas por padrão para pontos de acesso. Você deve desabilitar explicitamente todas as configurações que não deseja aplicar durante a criação de um ponto de acesso.
Não é possível desativar nenhuma configuração de bloqueio de acesso público ao criar ou usar um ponto de acesso anexado a um sistema de arquivos do Amazon FSx.
Depois de criar um ponto de acesso, não será possível alterar as configurações de bloqueio de acesso público.

**Example**  
***Exemplo: criar um ponto de acesso com configurações personalizadas do Bloqueio de acesso público***  
Este exemplo cria um ponto de acesso chamado `example-ap` para o bucket `amzn-s3-demo-bucket` na conta `123456789012` com configurações não padrão do Bloqueio de acesso público. O exemplo recupera a configuração do novo ponto de acesso para verificar as configurações do Bloqueio de acesso público.  

```
aws s3control create-access-point --name example-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket--public-access-block-configuration BlockPublicAcls=false,IgnorePublicAcls=false,BlockPublicPolicy=true,RestrictPublicBuckets=true
```

```
aws s3control get-access-point --name example-ap --account-id 123456789012

{
    "Name": "example-ap",
    "Bucket": "amzn-s3-demo-bucket",
    "NetworkOrigin": "Internet",
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": false,
        "IgnorePublicAcls": false,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}
```