本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立受限於 Virtual Private Cloud 的存取點
建立存取點時,您可以選擇讓存取點可從網際網路存取,也可以指定透過該存取點提出的所有請求都必須來自特定虛擬私有雲端 (VPC)。可從網際網路存取的存取點表示具有 `Internet` 的網路來源。可以從網際網路上的任何地方使用,受限於存取點、基礎資料來源和相關資源 (例如請求的物件) 既有的其他任何存取限制。只能從指定 VPC 存取的存取點具有 `VPC` 的網路原始伺服器,並且 Amazon S3 會拒絕對非源自該 VPC 的存取點進行的任何請求。
**重要**
您只能在建立存取點時指定存取點的網路來源。建立存取點之後,您便無法變更其網路來源。
若要將存取點限制在僅限 VPC 存取,請在建立存取點的請求中包含 `VpcConfiguration` 參數。在 `VpcConfiguration` 參數中,您可以指定要能夠使用存取點的 VPC ID。如果透過存取點發出要求,則要求必須來自 VPC,否則 Amazon S3 將拒絕該要求。
您可以使用、 AWS CLI AWS SDKs 或 REST APIs 來擷取存取點的網路原始伺服器。如果存取點已指定 VPC 組態,則其網路來源為 `VPC`。否則,存取點的網路來源為 `Internet`。
## 範例:建立存取點並將其限制為 VPC ID
下列範例會在帳戶 `123456789012` 中的儲存貯體 `amzn-s3-demo-bucket` 建立名為 `example-vpc-ap` 的存取點,僅允許來自 `vpc-1a2b3c` VPC 的存取。然後,此範例會驗證新的存取點是否具有 `VPC` 的網路來源。
------
#### [ AWS CLI ]
```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket amzn-s3-demo-bucket --vpc-configuration VpcId=vpc-1a2b3c
```
```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012
{
"Name": "example-vpc-ap",
"Bucket": "amzn-s3-demo-bucket",
"NetworkOrigin": "VPC",
"VpcConfiguration": {
"VpcId": "vpc-1a2b3c"
},
"PublicAccessBlockConfiguration": {
"BlockPublicAcls": true,
"IgnorePublicAcls": true,
"BlockPublicPolicy": true,
"RestrictPublicBuckets": true
},
"CreationDate": "2019-11-27T00:00:00Z"
}
```
------
若要使用存取點搭配 VPC,您必須修改 VPC 端點的存取原則。VPC 端點會允許流量從您的 VPC 流向 Amazon S3。它們會具有存取控制政策,可控制如何允許 VPC 內的資源與 Amazon S3 互動。只有在 VPC 端點政策同時授予存取點和基礎儲存貯體的存取時,透過存取點從 VPC 到 Amazon S3 的請求才會成功。
**注意**
若要讓資源只能在 VPC 中存取,請務必為您的 VPC 端點建立[私有託管區域](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)。若要使用私有託管區域,請[修改您的 VPC 設定](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating)以便 [VPC 網路屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)、`enableDnsHostnames` 和 `enableDnsSupport` 設定為 `true`。
下列範例政策陳述式會設定 VPC 端點,以允許呼叫 `GetObject` 來取得名為 `awsexamplebucket1` 的儲存貯體和名為 `example-vpc-ap` 的存取點。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Principal": "*",
"Action": [
"s3:GetObject"
],
"Effect": "Allow",
"Resource": [
"arn:aws:s3:::awsexamplebucket1/*",
"arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
]
}]
}
```
------
**注意**
此範例中的 `"Resource"` 宣告使用 Amazon Resource Name (ARN) 來指定存取點。如需存取點 ARN 的更多資訊,請參閱 [使用 ARN、存取點別名或虛擬託管樣式 URI 以參考存取點](access-points-naming.md)。
如需 VPC 端點政策的詳細資訊,請參閱《VPC 使用者指南》**中的[使用 Amazon S3 的端點政策](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3)。
如需使用 VPC 端點建立存取點的教學課程,請參閱[使用 VPC 端點和存取點管理 Amazon S3 存取](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/)。
## 範例:建立並限制連接到 FSx for OpenZFS 磁碟區的存取點,以及連接到 VPC ID
您可以使用 Amazon FSx 主控台或 API AWS CLI,建立連接到 FSx for OpenZFS 磁碟區的存取點。連接後,您可以使用 S3 物件 API 從指定的 VPC 存取您的檔案資料。
如需建立和限制連接至 FSx for OpenZFS 磁碟區之存取點的說明,請參閱《*FSx for OpenZFS 使用者指南》中的*[建立僅限虛擬私有雲端 (VPC) 的存取點](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html)。
## 範例:建立並限制連接至 FSX for ONTAP 磁碟區的存取點至 VPC ID
您可以使用 Amazon FSx 主控台或 API AWS CLI,建立連接到 FSx for ONTAP 磁碟區的存取點。連接後,您可以使用 S3 物件 API 從指定的 VPC 存取您的檔案資料。
如需建立和限制連接至 FSx for ONTAP 磁碟區的存取點的說明,請參閱《[https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html)。