本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理接入点接入
<a name="s3-ap-manage-access-fsxn"></a>

您可以为每个 S3 接入点配置不同的权限和网络控制，S3 适用于使用该接入点发出的任何请求。S3 接入点支持 Amazon Identity and Access Management (IAM) 资源策略，您可以使用这些策略按资源、用户或其他条件控制接入点的使用。要使应用程序或用户通过接入点访问文件，接入点和底层卷都必须允许该请求。有关更多信息，请参阅 [IAM 接入点策略](#access-points-for-fsxn-policies)。

适用于 FSx ONTAP 的 Amazon S3 接入点使用双层授权模型，将 Amazon IAM 权限与文件系统级权限相结合。这种方法可确保在 Amazon 服务级别和底层文件系统级别对数据访问请求进行适当授权。

要使应用程序或用户成功地通过接入点访问数据，S3 接入点策略和 ONTAP 卷 FSx 的底层策略都必须允许该请求。

**Topics**
+ [文件系统用户身份和授权](#fsxn-file-system-user-identity)
+ [S3 API 请求授权](#access-points-for-fsxn-s3-iam-auth)
+ [S3 阻止公有访问](#access-points-for-fsxn-bpa)
+ [IAM 接入点策略](#access-points-for-fsxn-policies)

## 文件系统用户身份和授权
<a name="fsxn-file-system-user-identity"></a>

在为 for ONTAP 卷创建 S3 接入点时，您需要指定一个文件系统身份，该身份将用于授权通过该访问点发出的所有文件系统请求。 FSx 此文件系统标识决定根据文件系统的权限模型授予对底层文件和目录的访问权限级别。文件系统用户是底层 Amazon FSx 文件系统上的用户账户。如果文件系统用户具有*只读*访问权限，则只有使用访问点发出的读取请求才会获得授权，并且写入请求会被阻止。如果文件系统用户具有读写访问权限，则使用访问点对连接的卷发出的读取和写入请求都将获得授权。

文件系统标识可以是以下两种类型之一：
+ **UNIX 身份** — 使用 UNIX 安全方式访问卷时使用 UNIX 身份（用户名）
+ **Windows 身份** — 使用 NTFS 安全模式访问卷时使用 Windows 身份（域和用户名）。

当您指定 UNIX 或 Windows 身份时，通过接入点执行的所有 S3 API 操作都将使用该用户在文件系统上的权限进行授权。

您与接入点关联的文件系统身份决定了对文件和目录的访问级别。例如，如果您将接入点与根 UNIX 身份 (UID 0) 相关联，后者通常对文件系统具有完全的文件访问权限，则所有文件操作都将获得授权。相反，如果您将接入点与受限制的用户身份相关联，则文件操作将仅限于该用户可以访问的内容，具体取决于文件系统的权限模型。

对于具有 UNIX 安全风格的卷，应使用 UNIX 文件系统标识类型，对于具有 NTFS 安全风格的卷，应使用 Windows 标识类型。这种调整可确保授权模型与卷的安全配置相匹配。

对于 UNIX 安全风格的卷，文件系统使用模式位或 NFSv4 ACLs 来控制访问权限。对于 NTFS 安全风格的卷，文件系统使用 Windows ACLs 来控制访问权限。

**重要**  
当通过 NFS 或 SM FSx B 直接访问该卷时，将 S3 接入点连接到 ONTAP 卷不会更改该卷的行为。所有针对该卷的现有操作都将像以前一样继续运行。您在 S3 接入点策略中包含的限制仅适用于使用接入点发出的请求。

## S3 API 请求授权
<a name="access-points-for-fsxn-s3-iam-auth"></a>

当您通过连接到 for NetApp ONTAP 卷的接入点发出 S3 API 请求时，Amazon S3 会根据接入点的 IAM 资源策略评估调用委托人的 IAM 权限。 FSx IAM 委托人调用者必须拥有通过其基于身份的策略授予的必要权限，并且接入点的资源策略也必须允许所请求的操作。

Amazon S3 会评估所有相关策略（包括用户策略、接入点策略、VPC 终端节点策略和服务控制策略），以确定是否对请求进行授权。

您还可以将 S3 接入点配置为仅接受来自特定虚拟私有云 (VPC) 的请求，以限制数据访问。有关更多信息，请参阅 [创建限制到 Virtual Private Cloud 的接入点](access-points-for-fsxn-vpc.md)。

## S3 阻止公有访问
<a name="access-points-for-fsxn-bpa"></a>

连接到 for ONTAP 卷的 Amazon S3 接入点会自动配置为启用封锁公共访问功能，但您无法更改此设置。 FSx 

## IAM 接入点策略
<a name="access-points-for-fsxn-policies"></a>

Amazon S3 接入点支持 Amazon Identity and Access Management (IAM) 资源策略，允许您根据资源、用户或其他条件控制接入点的使用。为了使应用程序或用户能够通过接入点访问对象，接入点和底层数据源都必须允许该请求。

创建可选接入点策略需要该权限。`s3:PutAccessPointPolicy`

将 S3 接入点连接到 Amazon FSx 卷后，针对该卷的所有现有操作都将像以前一样继续运行。您在接入点策略中包括的限制仅适用于通过该接入点发出的请求。有关更多信息，请参阅 A *mazon 简单存储服务用户指南*中的[配置 IAM 策略以使用接入点](https://docs.amazonaws.cn/AmazonS3/latest/userguide/access-points-policies.html)。

使用 Amazon FSx 控制台创建连接到 for ONTAP 卷 FSx 的接入点时，您可以配置接入点策略。要在现有 S3 接入点上添加、修改或删除接入点策略，可以使用 S3 控制台、CLI 或 API。