

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Endpoint VPC per S3 Vectors
<a name="s3-vectors-privatelink"></a>

Per accedere a S3 Vectors dal tuo cloud privato virtuale (VPC), Amazon S3 supporta gli endpoint VPC di interfaccia utilizzando (). AWS PrivateLink PrivateLink PrivateLink fornisce connettività privata tra il tuo VPC e S3 Vectors senza richiedere un gateway Internet o un dispositivo NAT. Gli endpoint dell'interfaccia sono rappresentati da una o più interfacce di rete elastiche (ENI) a cui vengono assegnati indirizzi IP privati dalle sottoreti del tuo VPC. Le richieste ai vettori S3 tramite gli endpoint di interfaccia rimangono sulla rete. AWS 

Puoi anche accedere agli endpoint di interfaccia nel tuo VPC da applicazioni locali AWS Direct Connect tramite AWS la nostra rete AWS privata virtuale (VPN). Per ulteriori informazioni su come connettere il VPC alla rete locale, consulta la Guida per l'utente e la *[Guida per AWS Direct Connect l'utente](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)* della *[AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)*. *Per informazioni generali sugli endpoint di interfaccia, consulta [Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html) nella Guida.AWS PrivateLink *

## Vantaggi dell'utilizzo con PrivateLink S3 Vectors
<a name="s3-vectors-privatelink-benefits"></a>

L'utilizzo PrivateLink con S3 Vectors offre diversi vantaggi operativi e di sicurezza:
+ **Sicurezza migliorata**: il traffico tra il tuo VPC e S3 Vectors rimane all'interno della AWS rete e non attraversa Internet.
+ **Architettura di rete semplificata**: accedi a S3 Vectors senza configurare gateway Internet, dispositivi NAT o connessioni VPN.
+ **Controllo granulare degli accessi**: utilizza le policy degli endpoint VPC per controllare a quali bucket vettoriali e indici vettoriali è possibile accedere tramite l'endpoint.
+ **Supporto alla conformità**: soddisfa i requisiti normativi che impongono la connettività di rete privata per i dati sensibili.

## Nomi e risoluzione DNS degli endpoint VPC
<a name="s3-vectors-privatelink-endpoints"></a>

Quando crei un endpoint VPC, S3 Vectors genera due tipi di nomi DNS specifici dell'endpoint: regionale e zonale.

I nomi DNS regionali e zonali degli endpoint VPC di interfaccia per S3 Vectors sono i seguenti:
+ **Nome DNS regionale: `vpce-{{1a2b3c4d-5e6f}}.s3vectors.{{region}}.vpce.amazonaws.com` - Il nome DNS** regionale dell'endpoint VPC. Risolvi sempre a indirizzi IP privati.
+ Nome **DNS zonale: - nomi DNS** degli `vpce-{{1a2b3c4d-5e6f}}-{{availability_zone_code}}.s3vectors.{{region}}.vpce.amazonaws.com` endpoint Zone-specific VPC. Risolvi sempre a indirizzi IP privati.

Puoi anche utilizzare il nome DNS dell'endpoint pubblico `s3vectors.{{region}}.api.aws` come nome DNS privato del servizio endpoint se hai abilitato il DNS privato per l'endpoint VPC.

## Indirizzamento IP per gli endpoint di interfaccia
<a name="s3-vectors-privatelink-ip-support"></a>

Gli endpoint DNS regionali, zonali e privati di S3 Vectors supportano i tipi IP IPv4, IPv6 e dualstack per. AWS PrivateLink[https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-services-dns-record-ip-type](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#aws-services-dns-record-ip-type) 

Di seguito sono riportate alcune cose che dovresti sapere prima di provare ad accedere agli indici vettoriali e ai bucket vettoriali di S3 Vectors su IPv6 nel tuo VPC:
+ Il client che usi per accedere ai vettori e il tuo client S3 Vectors devono entrambi avere il dual-stack abilitato.
+ Se il tuo gruppo di sicurezza VPC non ha configurato IPv6, dovrai configurare una regola per consentire il traffico IPv6. Per ulteriori informazioni, consulta [Passaggio 3: Aggiornamento delle regole del gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6-add.html#vpc-migrate-ipv6-sg-rules) nella *Guida utente VPC* e [Configurazione delle regole dei gruppi di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-security-group-rules.html) nella Guida utente *VPC*.
+ Se al VPC non sono assegnati CIDR IPv6, sarà necessario aggiungere manualmente un intervallo CIDR IPv6 al VPC. *Per ulteriori informazioni, consulta [Aggiungere il supporto IPv6 per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html#vpc-endpoint-ipv6) nella Guida.AWS PrivateLink *
+ Se utilizzi le policy IAM per il filtraggio degli indirizzi IP, queste devono essere aggiornate per gestire gli indirizzi IPv6. Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso con IAM, consulta [Identity and Access Management in S3 Vectors](s3-vectors-access-management.md).

## Creazione di un endpoint di interfaccia VPC per S3 Vectors
<a name="s3-vectors-privatelink-create"></a>

Puoi creare un endpoint di interfaccia VPC per S3 Vectors utilizzando la console VPC, l'interfaccia a riga di comando AWS AWS , gli SDK o l'API. AWS 

### Utilizzo della console S3
<a name="s3-vectors-privatelink-create-console"></a>

1. Apri la console VPC all'indirizzo. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)

1. Nel pannello di navigazione, seleziona **Endpoints (Endpoint)**.

1. Seleziona **Crea endpoint**.

1. Per **Service category (Categoria servizio)**, scegli **AWS services**.

1. Per **Servizi**, cerca `s3vectors` e seleziona`com.amazonaws.{{region}}.s3vectors`.

1. Per **VPC**, seleziona il VPC in cui desideri creare l'endpoint.

1. (Facoltativo) In **Impostazioni aggiuntive**, in **Abilita nome DNS**, scegli se abilitare la funzionalità DNS privata. Se abilitate, le richieste che utilizzano l'endpoint del servizio pubblico (`s3vectors.{{region}}.api.aws`), come le richieste effettuate tramite AWS SDK, vengono risolte sull'endpoint VPC anziché sull'endpoint pubblico. 

1. Per **Subnet, seleziona le sottoreti** in cui desideri creare le interfacce di rete degli endpoint.

1. Per il tipo di **indirizzo IP, scegli il tipo di indirizzo** IP per l'endpoint:
   + **IPv4**: assegna gli indirizzi IPv4 alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate dispongono di intervalli di indirizzi IPv4.
   + **IPv6: assegna gli indirizzi IPv6** alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate sono sottoreti solo IPv6.
   + **Dualstack**: assegna indirizzi IPv4 e IPv6 alle interfacce di rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate dispongono di intervalli di indirizzi IPv4 e IPv6.

1. Per **Security groups** (Gruppi di sicurezza), seleziona i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint. 

1. (Facoltativo) Per **Policy**, puoi allegare una policy degli endpoint VPC per controllare l'accesso a S3 Vectors tramite l'endpoint. **Per consentire tutte le operazioni da parte di tutti i principali su tutte le risorse S3 Vectors sull'endpoint di interfaccia, scegli Accesso completo.** Per limitare l'accesso, scegli **Personalizzato** e inserisci una politica. Per ulteriori informazioni, consulta [Controllare l'accesso agli endpoint VPC utilizzando le policy degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella Guida. AWS PrivateLink Se non alleghi una policy, la policy predefinita consente l'accesso completo. 

1. Seleziona **Crea endpoint**.

### Utilizzo di AWS CLI
<a name="s3-vectors-privatelink-create-cli"></a>

Per creare un nuovo endpoint VPC che restituisca sia IPv4 che IPv6 per S3 Vectors, usa il seguente comando CLI di esempio. Per ulteriori informazioni, consulta [create-vpc-endpoint](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-vpc-endpoint.html).

```
aws ec2 create-vpc-endpoint \
    --vpc-id {{vpc-12345678}} \
    --service-name com.amazonaws.{{region}}.s3vectors \
    --vpc-endpoint-type Interface \
    --subnet-ids {{subnet-12345678}} {{subnet-87654321}} \
    --security-group-ids {{sg-12345678}} \
    --ip-address-type dualstack \
    --private-dns-enabled
```

Il `--private-dns-enabled` parametro abilita la funzionalità DNS privata. Se abilitato, le richieste di `s3vectors.{{region}}.api.aws` verranno inoltrate attraverso l'endpoint VPC.

*Per ulteriori informazioni sulla creazione di endpoint VPC, consulta Creare [un endpoint VPC nella Guida per l'utente VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws).*

## Policy degli endpoint VPC per S3 Vectors
<a name="s3-vectors-privatelink-policies"></a>

Analogamente alle politiche basate sulle risorse, puoi allegare una policy per gli endpoint all'endpoint VPC per controllare l'accesso agli indici vettoriali e ai bucket vettoriali. Per ulteriori informazioni sulle politiche degli endpoint, consulta [Controllare l'accesso agli endpoint VPC utilizzando le politiche degli endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) nella Guida. AWS PrivateLink 

### Esempi di policy per gli endpoint VPC
<a name="s3-vectors-privatelink-policy-examples"></a>

Il seguente esempio di policy sugli endpoint VPC consente l'accesso a tutte le operazioni di S3 Vectors per tutti i principali:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:*"
      ],
      "Resource": "*"
    }
  ]
}
```

Il seguente esempio di politica degli endpoint VPC limita l'accesso a un bucket vettoriale specifico:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "s3vectors:GetVectorBucket",
        "s3vectors:ListIndexes",
        "s3vectors:GetIndex",
        "s3vectors:QueryVectors",
        "s3vectors:GetVectors"
      ],
      "Resource": [
        "arn:aws:s3vectors:{{us-west-2}}:{{111122223333}}:bucket/{{amzn-s3-demo-vector-bucket}}",
        "arn:aws:s3vectors:{{us-west-2}}:{{111122223333}}:bucket/{{amzn-s3-demo-vector-bucket}}/*"
      ]
    }
  ]
}
```

Il seguente esempio di politica degli endpoint VPC consente l'accesso solo durante l'orario lavorativo utilizzando la `aws:CurrentTime` chiave di condizione:

```
{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3vectors:*",
      "Resource": "*",
      "Condition": {
        "DateGreaterThan": {
          "aws:CurrentTime": "08:00Z"
        },
        "DateLessThan": {
          "aws:CurrentTime": "18:00Z"
        }
      }
    }
  ]
}
```

## Configurazione dei client S3 Vectors per gli endpoint VPC
<a name="s3-vectors-privatelink-configure-clients"></a>

Quando si utilizzano endpoint VPC con S3 Vectors, è possibile configurare i client S3 Vectors in modo che utilizzino il nome DNS del servizio o il nome DNS dell'endpoint VPC.

### Utilizzo di AWS SDK
<a name="s3-vectors-privatelink-sdk-config"></a>

------
#### [ SDK for Python ]

L'esempio seguente mostra come configurare il client S3 Vectors in SDK for Python (Boto3) per utilizzare un endpoint VPC:

```
import boto3

# Using service DNS name (requires private DNS feature enabled on VPC endpoint)
s3vectors_client = boto3.client(
    's3vectors',
    region_name='us-west-2',
    endpoint_url='https://s3vectors.us-west-2.api.aws'
)

# Using VPC endpoint DNS name
s3vectors_client = boto3.client(
    's3vectors',
    region_name='us-west-2',
    endpoint_url='https://vpce-12345678.s3vectors.us-west-2.vpce.amazonaws.com'
)
```

------

## Risoluzione dei problemi relativi agli endpoint VPC
<a name="s3-vectors-privatelink-troubleshooting"></a>

Se riscontri problemi con l'endpoint VPC dell'interfaccia, considera i seguenti passaggi per la risoluzione dei problemi:
+ **Risoluzione DNS**: verifica che le query DNS per l'endpoint si risolvano in indirizzi IP privati all'interno dell'intervallo CIDR del VPC quando utilizzi DNS privato.
+ **Gruppi di sicurezza**: assicurati che il gruppo di sicurezza associato all'endpoint VPC consenta il traffico HTTPS in entrata (porta 443) dalle tue risorse VPC.
+ **Tabelle di routing**: verifica che le tabelle di routing della subnet non abbiano percorsi in conflitto che potrebbero reindirizzare il traffico lontano dall'endpoint VPC.
+ Policy **degli endpoint VPC: verifica che la policy** degli endpoint VPC consenta le azioni e le risorse S3 Vectors necessarie.
+ **Configurazione client**: se la funzionalità DNS privato è disabilitata, configura il client S3 Vectors per utilizzare il nome DNS dell'endpoint VPC anziché il nome DNS del servizio.

## Monitoraggio dell'utilizzo degli endpoint VPC
<a name="s3-vectors-privatelink-monitoring"></a>

Puoi monitorare l'utilizzo degli endpoint VPC S3 Vectors tramite i registri degli eventi. CloudTrail [NetworkActivity](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-network-events-with-cloudtrail.html)

Per ulteriori informazioni sulla registrazione di S3 Vectors, consulta. [Registrazione con AWS CloudTrail per i vettori S3](s3-vectors-logging.md)