Senden von Anforderungen an S3 on Outposts über IPv6 - Amazon S3 on Outposts
Erste Schritte mit IPv6Senden von Anforderungen unter Verwendung von Dual-Stack-EndpunktenVerwenden von IPv6-Adressen in IAM-RichtlinienTesten der IP-AdresskompatibilitätVerwenden von IPv6 mit AWS PrivateLink

Senden von Anforderungen an S3 on Outposts über IPv6

Amazon S3 on Outposts und Dual-Stack-Endpunkte von S3 on Outposts unterstützen Anforderungen an S3-on-Outposts-Buckets mithilfe des IPv6- oder IPv4-Protokolls. Durch die IPv6-Unterstützung für S3 auf Outposts können Sie über S3-on-Outposts-APIs über IPv6-Netzwerke auf Ihre Buckets und Steuerebene zugreifen und diese verwalten und betreiben.

Anmerkung

Objektaktionen von S3 on Outposts (wie PutObject oderGetObject) werden über IPv6-Netzwerke nicht unterstützt.

Für den Zugriff auf S3 on Outposts über IPv6-Netzwerke fallen keine zusätzlichen Gebühren an. Weitere Informationen zu S3 on Outposts finden Sie unter S3 on Outposts – Preise.

Themen

Erste Schritte mit IPv6

Um eine Anforderung für einen S3-on-Outposts-Bucket über IPv6 zu erstellen, brauchen Sie einen Dual-Stack-Endpunkt. Der nächste Abschnitt beschreibt Anfragen über IPv6 unter Verwendung von Dual-Stack-Endpunkten.

Beachten Sie die folgenden wichtigen Überlegungen, bevor Sie versuchen, über IPv6 auf einen S3-on-Outposts-Bucket zuzugreifen:

  • Der Client und das Netzwerk, die auf den Bucket zugreifen, müssen für IPv6 aktiviert sein.

  • Für den IPv6-Zugriff werden Anforderungen im virtuellen Hosting- und im Pfad-Stil unterstützt. Weitere Informationen finden Sie unter Verwenden von Dual-Stack-Endpunkten von S3 on Outposts.

  • Wenn Sie in Ihren Richtlinien für AWS Identity and Access Management(IAM)-Benutzer oder S3-on-Outposts-Buckets eine IP-Quelladressen-Filterung verwenden, müssen Sie die Richtlinien aktualisieren, um IPv6-Adressbereiche zu berücksichtigen.

    Anmerkung

    Diese Anforderung gilt nur für den Betrieb von S3-on-Outposts-Buckets und für Ressourcen auf Steuerebene in IPv6-Netzwerken. Objektaktionen von Amazon S3 on Outposts werden in IPv6-Netzwerken nicht unterstützt.

  • Bei Verwendung von IPv6 geben die Serverzugriff-Protokolldateien IP-Adressen in einem IPv6-Format aus. Sie müssen vorhandene Tools, Skripte und Software aktualisieren, mit denen Sie Protokolldateien von S3 on Outposts analysieren, sodass sie die mit IPv6 formatierten Remote-IP-Adressen analysieren können. Die aktualisierten Tools, Skripte und Software analysieren dann die mit IPv6 formatierten Remote-IP-Adressen korrekt.

Verwenden von Dual-Stack-Endpunkten, um Anforderungen über ein IPv6-Netzwerk zu senden

Um Anfragen mit API-Aufrufen von S3 on Outposts über IPv6 zu senden, können Sie Dual-Stack-Endpunkte über die AWS CLI oder das AWS-SDK verwenden. Die API-Operationen zur Steuerung von Amazon S3 und die API-Operationen von S3 on Outposts funktionieren auf dieselbe Weise, unabhängig davon, ob Sie über ein IPv6-Protokoll oder ein IPv4-Protokoll auf S3 on Outposts zugreifen. Beachten Sie jedoch, dass Objektaktionen von S3 on Outposts (wie PutObject oderGetObject) über IPv6-Netzwerke nicht unterstützt werden.

Wenn Sie die AWS Command Line Interface (AWS CLI) und AWS SDKs verwenden, können Sie einen Parameter oder ein Flag verwenden, um zu einem Dual-Stack-Endpunkt zu wechseln. Sie können den Dual-Stack-Endpunkt auch direkt zur Überschreibung des S3-on-Outposts-Endpunkts in der Konfigurationsdatei angeben.

Sie können einen Dual-Stack-Endpunkt verwenden, um über IPv6 auf einen S3-on-Outposts-Bucket zuzugreifen. Dazu können Sie Folgendes verwenden:

Verwenden von IPv6-Adressen in IAM-Richtlinien

Bevor Sie versuchen, mit einem IPv6-Protokoll auf einen S3-on-Outposts-Bucket zuzugreifen, müssen Sie sicherstellen, dass alle Richtlinien für IAM-Benutzer oder S3-on-Outposts-Buckets, die für die IP-Adressfilterung verwendet werden, aktualisiert werden, um den IPv6-Adressbereich zu berücksichtigen. Wenn die Richtlinien zur IP-Adressfilterung nicht für die Verarbeitung von IPv6-Adressen aktualisiert werden, können Sie beim Versuch, das IPv6-Protokoll zu verwenden, den Zugriff auf einen S3-on-Outposts-Bucket verlieren.

IAM-Richtlinien, die IP-Adressen filtern, verwenden Bedingungsoperatoren für IP-Adressen. Die folgende Richtlinie für S3-on-Outposts-Buckets identifiziert den IP-Bereich 54.240.143.* als Bereich zulässiger IPv4-Adressen durch Verwendung von Bedingungsoperatoren für IP-Adressen. Alle IP-Adressen außerhalb dieses Bereichs erhalten keinen Zugriff auf den S3-on-Outposts-Bucket (DOC-EXAMPLE-BUCKET). Alle IPv6-Adressen liegen außerhalb des zulässigen Bereichs, deshalb verhindert diese Richtlinie, dass IPv6-Adressen auf zugreife DOC-EXAMPLE-BUCKET.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "54.240.143.0/24"
                }
            }
        }
    ]
}

Sie können das Condition-Element der Richtlinie des S3-on-Outposts-Buckets ändern, um die Adressbereiche IPv4- (54.240.143.0/24) und IPv6- (2001:DB8:1234:5678::/64) zuzulassen, wie im folgenden Beispiel gezeigt. Sie können denselben Typ Condition-Block verwenden, wie im Beispiel gezeigt, um Ihre IAM-Benutzer- und Bucket-Richtlinien zu aktualisieren.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Bevor Sie IPv6 verwenden, müssen Sie alle relevanten IAM-Benutzer- und S3-Bucket-Richtlinien aktualisieren, die eine IP-Adressfilterung verwenden, um die IPv6-Adressbereiche zu berücksichtigen. Wir empfehlen Ihnen, Ihre IAM-Richtlinien mit den IPv6-Adressbereichen Ihres Unternehmens zu aktualisieren, ebenso wie mit Ihren vorhandenen IPv4-Adressbereichen. Ein Beispiel für eine Bucket-Richtlinie, die den Zugriff über IPv6 und IPv4 gestattet, finden Sie unter Beschränken des Zugriffs auf bestimmte IP-Adressen.

Sie können Ihre IAM-Benutzerrichtlinien mit der IAM-Konsole unter https://console.aws.amazon.com/iam/ überprüfen. Weitere Informationen zu IAM finden Sie im IAM-Benutzerhandbuch. Weitere Informationen zum Bearbeiten der Richtlinien eines S3-on-Outposts-Buckets finden Sie unter Hinzufügen oder Bearbeiten einer Bucket-Richtlinie für einen Amazon-S3-on-Outposts-Bucket.

Testen der IP-Adresskompatibilität

Wenn Sie eine Linux- oder Unix-Instance oder eine MacOS-X-Plattform verwenden, können Sie Ihren Zugriff auf einen Dual-Stack-Endpunkt über IPv6 testen. Um beispielsweise die Verbindung zu Endpunkten von Amazon S3 on Outposts über IPv6 zu testen, verwenden Sie den folgenden dig-Befehl:

dig s3-outposts.us-west-2.api.aws AAAA +short

Wenn Ihr Dual-Stack-Endpunkt über ein IPv6-Netzwerk ordnungsgemäß eingerichtet ist, gibt der dig-Befehl die verbundenen IPv6-Adressen zurück. Zum Beispiel:

dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

S3 on Outposts unterstützt das IPv6-Protokoll für AWS PrivateLink-Services und -Endpunkte. Dank der AWS PrivateLink-Unterstützung für das IPv6-Protokoll können Sie von lokalen oder anderen privaten Verbindungen aus über IPv6-Netzwerke eine Verbindung zu Serviceendpunkten in Ihrer VPC herstellen. Die IPv6-Unterstützung für AWS PrivateLink für S3 auf Outposts ermöglicht Ihnen auch die Integration von AWS PrivateLink mit Dual-Stack-Endpunkten. Schritte zur Aktivierung von IPv6 für AWS PrivateLink finden Sie unter Beschleunigen Ihrer IPv6-Einführung mit AWS PrivateLink-Services und -Endpunkten.

Anmerkung

Wie Sie den unterstützten IP-Adresstyp von IPv4 in IPv6 ändern, erfahren Sie unter Ändern der unterstützten IP-Adresstypen im AWS PrivateLink-Benutzerhandbuch.

Wenn Sie AWS PrivateLink mit IPv6 verwenden, müssen Sie einen VPC-Schnittstellenendpunkt des Typs IPv6 oder Dual-Stack erstellen. Allgemeine Schritte zum Erstellen eines VPC-Endpunkts mit der AWS-Managementkonsole finden Sie unter Verwenden eines VPC-Schnittstellenendpunkts, um auf einen AWS-Service zuzugreifen im AWS PrivateLink-Benutzerhandbuch.

AWS-Managementkonsole

Gehen Sie wie folgt vor, um einen VPC-Schnittstellenendpunkt zu erstellen, der eine Verbindung zu S3 on Outposts herstellt.

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die VPC-Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie Endpunkt erstellen aus.

  4. Wählen Sie bei Service category (Servicekategorie) die Option AWS services (-Services) aus.

  5. Wählen Sie bei Service name (Servicename) den Service S3 on Outposts aus (com.amazonaws.us-east-1.s3-outposts).

  6. Wählen Sie bei VPC die VPC aus, von der aus Sie auf S3 on Outposts zugreifen.

  7. Wählen Sie bei Subnets (Subnetze) ein Subnetz pro Availability Zone aus, von dem aus Sie auf S3 on Outposts zugreifen. Sie können nicht mehrere Subnetze aus derselben Availability Zone auswählen. Für jedes Subnetz, das Sie auswählen, wird eine neue Endpunkt-Netzwerkschnittstelle erstellt. Standardmäßig werden den Endpunkt-Netzwerkschnittstellen IP-Adressen aus den Subnetz-IP-Adressbereichen zugewiesen. Um eine IP-Adresse für eine Endpunkt-Netzwerkschnittstelle festzulegen, wählen Sie IP-Adressen festlegen aus und geben Sie eine IPv6-Adresse aus dem Subnetz-Adressbereich ein.

  8. Wählen Sie bei IP address type (IP-Adresstyp) Dualstack. Zuweisen von IPv4- und IPv6-Adressen zu Ihren Endpunktnetzwerkschnittstellen. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze sowohl IPv4- als auch IPv6-Adressbereiche aufweisen.

  9. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Endpunkt-Netzwerkschnittstellen für den VPC-Endpunkt zugeordnet werden sollen. Standardmäßig wird die Standard-Sicherheitsgruppe der VPC zugeordnet.

  10. Wählen Sie für Richtlinie Vollzugriff, um alle Operationen aller Prinzipale auf allen Ressourcen über den VPC-Endpunkt zuzulassen. Wählen Sie andernfalls Benutzerdefiniert, um eine VPC-Endpunktrichtlinie anzufügen, die die Berechtigungen steuert, die Prinzipale zum Ausführen von Aktionen für Ressourcen über den VPC-Endpunkt haben. Diese Option ist nur verfügbar, wenn der Service VPC-Endpunktrichtlinien unterstützt. Weitere Informationen finden Sie unter Endpunktrichtlinien.

  11. (Optional) Sie fügen ein Tag hinzu, indem Sie neues Tag hinzufügen auswählen und den Schlüssel und den Wert für das Tag eingeben.

  12. Wählen Sie Endpunkt erstellen.

Beispiel – Richtlinie für S3-on-Outposts-Buckets

Damit S3 on Outposts mit Ihren VPC-Endpunkten interagieren kann, können Sie anschließend Ihre Richtlinie für S3 on Outposts wie folgt ändern:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
AWS CLI
Anmerkung

Um das IPv6-Netzwerk auf Ihrem VPC-Endpunkt zu aktivieren, müssen Sie für S3 on Outposts IPv6 für den FilterSupportedIpAddressType festgelegt haben.

Im folgenden Beispiel wird der Befehl create-vpc-endpoint verwendet, um einen neuen Dual-Stack-Schnittstellenendpunkt zu erstellen.

aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Je nach AWS PrivateLink-Servicekonfiguration müssen neu erstellte Endpunktverbindungen möglicherweise vom Serviceanbieter des VPC-Endpunkts akzeptiert werden, bevor sie verwendet werden können. Weitere Informationen finden Sie im AWS PrivateLink-Benutzerhandbuch unter Akzeptieren und Ablehnen von Endpunkt-Verbindungsanfragen.

Im folgenden Beispiel wird der Befehl modify-vpc-endpoint verwendet, um den reinen IPv-VPC-Endpunkt in einen Dual-Stack-Endpunkt zu ändern. Der Dual-Stack-Endpunkt ermöglicht den Zugriff sowohl auf IPv4- als auch auf IPv6-Netzwerke.

aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Weitere Informationen zur Aktivierung des IPv6-Netzwerks für AWS PrivateLink finden Sie unter Beschleunigen Ihrer IPv6-Einführung mit AWS PrivateLink-Services und -Endpunkten.