Requisitos previos para crear reglas de replicación - Amazon S3 en Outposts
Conectar las subredes de Outpost de origen y destinoCreación de un rol de IAM

Requisitos previos para crear reglas de replicación

Conectar las subredes de Outpost de origen y destino

Para que el tráfico de replicación vaya de su Outpost de origen a su Outpost de destino a través de la puerta de enlace local, debe agregar una nueva ruta para configurar la red. Debe conectar entre sí los rangos de red del enrutamiento entre dominios sin clases (CIDR) de sus puntos de acceso. Para cada par de puntos de acceso, debe configurar esta conexión solo una vez.

Algunos pasos para configurar la conexión varían según el tipo de acceso de los puntos de conexión de Outposts que estén asociados a sus puntos de acceso. El tipo de acceso para los puntos de conexión es Privado (enrutamiento directo a la nube privada virtual [VPC] para AWS Outposts) o IP propiedad del cliente (un grupo de direcciones IP propiedad del cliente [grupo CoIP] dentro de la red en las instalaciones).

Paso 1: Encontrar el rango de CIDR de su punto de conexión de Outposts de origen

Para encontrar el rango de CIDR de su punto de conexión de origen asociado a su punto de acceso de origen

  1. Inicie sesión AWS Management Console Management Console y abra la consola de Amazon S3 en https://console.aws.amazon.com/s3/.

  2. En el panel de navegación izquierdo, elija Outposts buckets (Buckets de Outposts).

  3. En la lista Buscar buckets de Outposts, elija el bucket de origen que desea replicar.

  4. Elija la pestaña Puntos de acceso de Outposts y elija el punto de acceso de Outposts para el bucket de origen de su regla de replicación.

  5. Seleccione el punto de conexión de Outposts.

  6. Copie el ID de subred para usarlo en el paso 5.

  7. El método que utilice para encontrar el rango de CIDR del punto de conexión de Outposts de origen depende del tipo de acceso de su punto de conexión.

    En la sección Información general sobre los puntos de enlace de Outposts, consulte Tipo de acceso.

    • Si el tipo de acceso es Privado, copie el valor del Enrutamiento entre dominios sin clases (CIDR) para usarlo en el paso 6.

    • Si el tipo de acceso es IP propiedad del cliente, haga lo siguiente:

      1. Copie el valor del grupo IPv4 propiedad del cliente para usarlo más adelante como ID del grupo de direcciones.

      2. Abra la consola de AWS Outposts en https://console.aws.amazon.com/outposts/.

      3. En el panel de navegación, elija Tablas de enrutamiento de puerta de enlace de tránsito.

      4. Elija el valor de ID de tabla de enrutamiento de puerta de enlace en las instalaciones del Outpost de origen.

      5. En el panel de detalles, elija la pestaña Grupos de CoIP. Pegue el valor de su ID de grupo de CoIP copiado anteriormente en el cuadro de búsqueda.

      6. Para el grupo de CoIP coincidente, copie el valor de CIDR correspondiente de su punto de conexión de Outposts de origen para usarlo en el paso 6.

Paso 2: Buscar el ID de subred y el rango de CIDR de su punto de conexión de Outposts de destino

Para encontrar el ID de subred y el rango de CIDR de su punto de conexión de destino asociados a su punto de acceso de destino, siga los mismos subpasos del paso 1 y cambie el punto de conexión de Outposts de origen por el punto de conexión de Outposts de destino cuando aplique esos subpasos. Copie el valor del ID de subred del punto de conexión de Outposts de destino para usarlo en el paso 6. Copie el valor de CIDR del punto de conexión de Outposts de destino para usarlo en el paso 5.

Paso 3: Encontrar el ID de puerta de enlace local del Outpost de origen

Para encontrar el ID de puerta de enlace local del Outpost de origen

  1. Abra la consola de AWS Outposts en https://console.aws.amazon.com/outposts/.

  2. En el panel de navegación izquierdo, elija Gateways locales.

  3. En la página Gateways locales, busque el ID de Outpost del Outpost de origen que quiere utilizar para la replicación.

  4. Copie el valor del ID de puerta de enlace local del Outpost de origen para usarlo en el paso 5.

Para obtener información acerca de las puerta de enlaces locales, consulte el tema sobre Gateways locales en la Guía del usuario de AWS Outposts.

Paso 4: Encontrar el ID de puerta de enlace local del Outpost de destino

Para encontrar el ID de puerta de enlace local del Outpost de destino, siga los mismos subpasos del paso 3, excepto buscar el ID de Outpost del Outpost de destino. Copie el valor del ID de puerta de enlace local del Outpost de destino para usarlo en el paso 6.

Paso 5: Configurar la conexión desde la subred de Outpost de origen a la subred de Outpost de destino

Para conectarse desde la subred de Outpost de origen a la subred de Outpost de destino

  1. Inicie sesión en la AWS Management Console y abra la consola de VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación izquierdo, elija Subnets.

  3. En el cuadro de búsqueda, introduzca el ID de subred del punto de conexión de Outposts de origen que ha encontrado en el paso 1. Elija una subred con el ID de subred correspondiente.

  4. Para el elemento de subred coincidente, elija el valor de Tabla de enrutamiento de esta subred.

  5. En la página con una tabla de enrutamiento seleccionada, elija Acciones y, a continuación, elija Editar rutas.

  6. En la pestaña Editar rutas, elija Añadir rutas.

  7. En Destino, introduce el rango de CIDR del punto de conexión de Outposts de destino que encontraste en el paso 2.

  8. En Objetivo, elija Gateway local de Outpost e introduzca el ID de puerta de enlace local de su Outpost de origen que ha encontrado en el paso 3.

  9. Elija Guardar cambios.

  10. Asegúrese de que el Estado de la ruta sea Activo.

Paso 6: Configurar la conexión desde la subred de Outpost de destino a la subred de Outpost de origen

  1. Inicie sesión en la AWS Management Console y abra la consola de VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación izquierdo, elija Subnets.

  3. En el cuadro de búsqueda, introduzca el ID de subred del punto de conexión de Outposts de destino que ha encontrado en el paso 2. Elija una subred con el ID de subred correspondiente.

  4. Para el elemento de subred coincidente, elija el valor de Tabla de enrutamiento de esta subred.

  5. En la página con una tabla de enrutamiento seleccionada, elija Acciones y, a continuación, elija Editar rutas.

  6. En la pestaña Editar rutas, elija Añadir rutas.

  7. En Destino, introduzca el rango de CIDR del punto de conexión de Outposts de origen que ha encontrado en el paso 1.

  8. En Objetivo, elija Gateway local de Outpost e introduzca el ID de puerta de enlace local del Outpost de destino que ha encontrado en el paso 4.

  9. Elija Guardar cambios.

  10. Asegúrese de que el Estado de la ruta sea Activo.

Después de conectar los rangos de redes de CIDR de sus puntos de acceso de origen y destino, debe crear un rol de AWS Identity and Access Management (IAM).

Creación de un rol de IAM

De forma predeterminada, todos los recursos de S3 en Outposts (buckets, objetos y subrecursos relacionados) son privados y solo el propietario del recurso puede acceder a él. S3 en Outposts necesita permisos de lectura y replicación de objetos del bucket de Outposts de origen. Para conceder estos permisos, crea un rol de servicio de IAM y luego especifique ese rol en la configuración de replicación.

En esta sección se explica la política de confianza y la política de permisos mínimos necesarios. Los tutoriales de ejemplo proporcionan instrucciones paso a paso para crear un rol de IAM. Para obtener más información, consulte Creación de reglas de replicación en Outposts. Para obtener más información acerca de los roles de IAM, consulte Roles de IAM en Guía del usuario de IAM.

  • En el siguiente ejemplo, se muestra una política de confianza donde se identifica a S3 en Outposts como la entidad principal del servicio que puede asumir el rol.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "Service":"s3-outposts.amazonaws.com"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

  • En el siguiente ejemplo, se muestra una política de acceso donde se concede al rol permisos para realizar tareas de replicación en su nombre. Cuando S3 en Outposts asume el rol, adopta los permisos se hayan especificado en esta política. Para utilizar esta política, sustituya user input placeholders por su información. Asegúrese de sustituirlos por los ID de Outpost de sus Outposts de origen y destino y los nombres de los buckets y los puntos de acceso de sus buckets de Outposts de origen y destino.

    {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:GetObjectVersionForReplication",
            "s3-outposts:GetObjectVersionTagging"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]        
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3-outposts:ReplicateObject",
            "s3-outposts:ReplicateDelete"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
            "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]  
      }
   ]
}

    La política de acceso concede permisos para las siguientes acciones:

    • s3-outposts:GetObjectVersionForReplication: se otorga permiso para esta acción a todos los objetos para que S3 en Outposts pueda obtener una versión de objeto específica asociada a cada objeto.

    • s3-outposts:GetObjectVersionTagging: los permisos para esta acción en los objetos del bucket SOURCE-OUTPOSTS-BUCKET (el bucket de origen) permiten que S3 en Outposts lea las etiquetas de objetos para la replicación. Para obtener más información, consulte Agregar etiquetas para los buckets de S3 en Outposts. Si S3 en Outposts no tiene el permiso, replica los objetos pero no las etiquetas de objetos.

    • s3-outposts:ReplicateObject y s3-outposts:ReplicateDelete: los permisos para estas acciones en todos los objetos del bucket DESTINATION-OUTPOSTS-BUCKET (el bucket de destino) autorizan a S3 en Outposts a replicar los objetos o los marcadores de eliminación en el bucket de Outposts de destino. Para obtener información acerca de los marcadores de eliminación, consulte Cómo afectan las operaciones de eliminación a la replicación.

      nota

      • El permiso para la acción s3-outposts:ReplicateObject en el bucket DESTINATION-OUTPOSTS-BUCKET (bucket de destino) también permite la replicación de las etiquetas de objetos. Por lo tanto, no es necesario que conceda permiso de forma explícita para la acción s3-outposts:ReplicateTags.

      • Para la replicación entre cuentas, el propietario del bucket de Outposts de destino debe actualizar su política de bucket para conceder permiso para la acción s3-outposts:ReplicateObject en el DESTINATION-OUTPOSTS-BUCKET. La acción s3-outposts:ReplicateObject permite a S3 en Outposts replicar los objetos y las etiquetas de objetos en el bucket de Outposts de destino.

    Para obtener una lista de las acciones de S3 en Outposts, consulte Acciones definidas por Amazon S3 en Outposts.

    importante

    La Cuenta de AWS propietaria del rol de IAM debe tener los permisos para las acciones que concede al rol de IAM.

    Por ejemplo, imagine que el bucket de Outposts de origen contiene objetos que pertenecen a otra Cuenta de AWS. El propietario de los objetos debe conceder explícitamente los permisos necesarios a la Cuenta de AWS que posee el rol de IAM a través de la política de punto de acceso y de bucket. De lo contrario, S3 en Outposts no puede acceder a los objetos y no se pueden replicar los objetos.

    Los permisos aquí descritos están relacionados con la configuración de replicación mínima. Si elige agregar configuraciones de replicación opcionales, debe otorgar permisos adicionales a S3 en Outposts.

Concesión de permisos cuando los buckets de Outposts de origen y destino pertenecen a diferentes Cuentas de AWS

Cuando los buckets de Outposts de origen y destino no pertenecen a las mismas cuentas, el propietario del bucket de Outposts de destino debe actualizar las polítícas de buckets y de puntos de acceso para el bucket de destino. Estas políticas deben conceder permisos al propietario del bucket de Outposts de origen y al rol de servicio de IAM para que puedan realizar acciones de replicación, tal como se muestra en los siguientes ejemplos de políticas, pues de lo contrario se producirá un error en la replicación. En estos ejemplos de política, DESTINATION-OUTPOSTS-BUCKET es el bucket de destino. Para utilizar estos ejemplos de política, sustituya user input placeholders por su información.

Si va a crear el rol de servicio de IAM de forma manual, defina la ruta del rol como role/service-role/, tal como se muestra en los siguientes ejemplos de políticas. Para obtener más información, consulte ARN de IAM en la guía del usuario de IAM. 

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*"
         ]  
      }

   ]
}
{
"Version":"2012-10-17",
   "Id":"PolicyForDestinationAccessPoint",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource" :[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]
      }
   ]              
}
nota

Si los objetos en el bucket de Outposts de origen tienen etiquetas, tenga en cuenta lo siguiente:

Si el propietario del bucket de Outposts de origen concede permisos a S3 en Outposts para las acciones s3-outposts:GetObjectVersionTagging y s3-outposts:ReplicateTags para replicar las etiquetas de los objetos (mediante el rol de IAM), Amazon S3 replicará las etiquetas junto con los objetos. Para obtener información acerca del rol de IAM, consulte Creación de un rol de IAM.