

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création de points d’accès restreints à un virtual private cloud
<a name="access-points-vpc"></a>

Lorsque vous créez un point d’accès, vous pouvez choisir de le rendre accessible à partir d’Internet, ou vous pouvez spécifier que toutes les demandes effectuées via ce point d’accès doivent provenir d’un cloud privé virtuel (VPC) spécifique. Un point d’accès accessible depuis Internet est dit avoir une origine réseau d’`Internet`. Il peut être utilisé depuis n’importe où sur Internet, sous réserve de toute autre restriction d’accès applicable au point d’accès, à la source de données sous-jacente et aux ressources associées, telles que les objets demandés. Un point d’accès accessible uniquement à partir d’un VPC spécifié a une origine réseau de `VPC`, et Amazon S3 rejette toute demande adressée au point d’accès qui ne provient pas de ce VPC.

**Important**  
Vous ne pouvez spécifier l’origine réseau d’un point d’accès qu’au moment de la création du point d’accès. Après avoir créé le point d’accès, vous ne pouvez pas modifier son origine réseau.

Pour restreindre l'accès à un point VPC-only d'accès, vous devez inclure le `VpcConfiguration` paramètre dans la demande de création du point d'accès. Dans le paramètre `VpcConfiguration`, vous spécifiez l’ID de VPC que vous souhaitez pouvoir utiliser avec le point d’accès. Si une demande est effectuée via le point d’accès, elle doit provenir du VPC, car Amazon S3 la rejettera dans le cas contraire. 

Vous pouvez récupérer l'origine réseau d'un point d'accès à l'aide AWS CLI AWS des SDK ou des API REST. Si un point d’accès a une configuration VPC spécifiée, son origine réseau est `VPC`. Sinon, l’origine réseau du point d’accès est `Internet`.

## Exemple : créer et restreindre un point d'accès à un identifiant VPC
<a name="access-points-vpc-example1"></a>

L’exemple suivant crée un point d’accès nommé `example-vpc-ap` pour le compartiment `{{amzn-s3-demo-bucket}}` dans le compte `123456789012` qui autorise l’accès uniquement à partir du VPC `vpc-1a2b3c`. L’exemple vérifie ensuite que le nouveau point d’accès a une origine réseau de `VPC`.

------
#### [ AWS CLI ]

```
aws s3control create-access-point --name example-vpc-ap --account-id 123456789012 --bucket {{amzn-s3-demo-bucket}} --vpc-configuration VpcId=vpc-1a2b3c
```

```
aws s3control get-access-point --name example-vpc-ap --account-id 123456789012

{
    "Name": "example-vpc-ap",
    "Bucket": "{{amzn-s3-demo-bucket}}",
    "NetworkOrigin": "VPC",
    "VpcConfiguration": {
        "VpcId": "vpc-1a2b3c"
    },
    "PublicAccessBlockConfiguration": {
        "BlockPublicAcls": true,
        "IgnorePublicAcls": true,
        "BlockPublicPolicy": true,
        "RestrictPublicBuckets": true
    },
    "CreationDate": "2019-11-27T00:00:00Z"
}
```

------

Pour utiliser un point d’accès avec un VPC, vous devez modifier la stratégie d’accès pour votre point de terminaison d’un VPC. Les points de terminaison d’un VPC autorisent la circulation du trafic de votre VPC vers Amazon S3. Ils disposent de politiques de contrôle d’accès qui contrôlent la façon dont les ressources du VPC sont autorisées à interagir avec Amazon S3. Les demandes de votre VPC vers Amazon S3 ne réussissent via un point d’accès que si la politique de point de terminaison d’un VPC accorde l’accès au point d’accès et au compartiment sous-jacent.

**Note**  
Pour rendre les ressources accessibles uniquement au sein d’un VPC, veillez à créer une [zone hébergée privée](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html) pour votre point de terminaison de VPC. Pour utiliser une zone hébergée privée, [modifiez les paramètres de votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) de sorte que les [attributs de réseau VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support) `enableDnsHostnames` et `enableDnsSupport` soient définis sur `true`.

L’exemple de déclaration de stratégie suivant configure un point de terminaison d’un VPC pour autoriser les appels à `GetObject` pour un compartiment nommé `awsexamplebucket1` et un point d’accès nommé `example-vpc-ap`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
    {
        "Principal": "*",
        "Action": [
            "s3:GetObject"
        ],
        "Effect": "Allow",
        "Resource": [
            "arn:aws:s3:::awsexamplebucket1/*",
            "arn:aws:s3:us-west-2:123456789012:accesspoint/example-vpc-ap/object/*"
        ]
    }]
}
```

------

**Note**  
La déclaration `"Resource"` de cet exemple utilise un Amazon Resource Name (ARN) pour spécifier le point d’accès. Pour plus d’informations sur les ARN des points d’accès, consultez [Référence aux points d’accès avec des ARN, des alias de point d’accès ou des URI de type hébergement virtuel](access-points-naming.md). 

Pour plus d’informations sur les stratégies de point de terminaison d’un VPC, consultez [Stratégies de point de terminaison pour Amazon S3](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-s3.html#vpc-endpoints-policies-s3) dans le *Guide de l’utilisateur Amazon Virtual Private Cloud*.

Pour un didacticiel sur la création de points d’accès avec des points de terminaison d’un VPC, consultez [Gestion des accès à Amazon S3 avec des points de terminaison d’un VPC et des points d’accès de VPC](https://aws.amazon.com/blogs/storage/managing-amazon-s3-access-with-vpc-endpoints-and-s3-access-points/).

## Exemple : créer et restreindre un point d'accès attaché à un volume FSx pour OpenZFS à un VPC ID
<a name="access-points-vpc-example2"></a>

Vous pouvez créer un point d'accès qui est attaché à un volume FSx pour OpenZFS à l'aide de la console Amazon FSx ou de l'API. AWS CLI Une fois qu’il est attaché, vous pouvez utiliser les API des objets S3 pour accéder aux données de vos fichiers situés dans le VPC spécifié.

Pour obtenir des instructions sur la création et la restriction d'un point d'accès attaché à un volume FSx pour OpenZFS, reportez-vous à la section [Création de points d'accès restreints à un cloud privé virtuel (VPC)](https://docs.aws.amazon.com/fsx/latest/OpenZFSGuide/create-access-points.html) dans le guide de l'utilisateur de *FSx* pour OpenZFS.

## Exemple : créer et restreindre un point d'accès attaché à un volume FSX for ONTAP à un VPC ID
<a name="access-points-vpc-example3"></a>

Vous pouvez créer un point d'accès qui est attaché à un volume FSx for ONTAP à l'aide de la console Amazon FSx ou de l'API. AWS CLI Une fois qu’il est attaché, vous pouvez utiliser les API des objets S3 pour accéder aux données de vos fichiers situés dans le VPC spécifié.

Pour obtenir des instructions sur la création et la restriction d'un point d'accès attaché à un volume FSx for ONTAP, reportez-vous au Guide de l'utilisateur de [https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html](https://docs.aws.amazon.com/fsx/latest/ONTAPGuide/access-points-for-fsxn-vpc.html) for ONTAP.