Envoi de demandes à S3 sur Outposts via IPv6

Amazon S3 sur Outposts et les points de terminaison à double pile S3 sur Outposts prennent en charge les demandes envoyées aux compartiments S3 sur Outposts à l’aide du protocole IPv6 ou IPv4. Grâce à la prise en charge d’IPv6 pour S3 sur Outposts, vous pouvez accéder à vos compartiments et à vos ressources du plan de contrôle, et les utiliser, via les API S3 sur Outposts sur les réseaux IPv6.

Il n’y a aucun frais supplémentaire pour accéder à S3 sur Outposts sur les réseaux IPv6. Pour plus d’informations sur S3 sur Outposts, consultez Tarification S3 sur Outposts.

Mise en route avec IPv6

Pour envoyer une demande à un compartiment S3 sur Outposts via IPv6, vous devez utiliser un point de terminaison à double pile. La section suivante décrit comment envoyer des demandes via IPv6 à l’aide de points de terminaison Dual-Stack.

Voici quelques éléments importants à prendre en compte avant de tenter d’accéder à un compartiment S3 sur Outposts via IPv6 :

Utilisation de points de terminaison à double pile pour effectuer des demandes via un réseau IPv6

Pour effectuer des demandes avec les appels d’API S3 sur Outposts via IPv6, vous pouvez utiliser des points de terminaison à double pile via l’AWS CLI ou le kit AWS SDK. Les opérations de l’API de contrôle Amazon S3 et les opérations de l’API S3 sur Outposts fonctionnent de la même manière, que vous accédiez à S3 sur Outposts via un protocole IPv6 ou un protocole IPv4. Cependant, soyez conscient que les actions d’objet S3 sur Outposts (telles que PutObject et GetObject) ne sont pas prises en charge sur les réseaux IPv6.

Lorsque vous utilisez l’AWS Command Line Interface (AWS CLI) et les kits SDK AWS, vous pouvez utiliser un paramètre ou un indicateur pour passer à un point de terminaison Dual-Stack. Vous pouvez également spécifier directement le point de terminaison à double pile pour remplacer le point de terminaison S3 sur Outposts dans le fichier de configuration.

Vous pouvez utiliser un point de terminaison à double pile pour accéder à un compartiment S3 sur Outposts via IPv6 à partir des éléments suivants :

Utilisation d’adresses IPv6 dans les politiques IAM

Avant de tenter d’accéder à un compartiment S3 sur Outposts à l’aide d’un protocole IPv6, veillez à ce que toutes les politiques d’utilisateur IAM ou de compartiment S3 sur Outposts utilisées pour le filtrage des adresses IP aient été mises à jour et incluent les plages d’adresses IPv6. Si les politiques de filtrage des adresses IP ne sont pas mises à jour pour gérer les adresses IPv6, vous risquez de perdre l’accès à un compartiment S3 sur Outposts lorsque vous essayez d’utiliser le protocole IPv6.

Les politiques IAM qui filtrent les adresses IP utilisent des opérateurs de condition d’adresse IP. La politique de compartiment S3 sur Outposts suivante identifie la plage IP 54.240.143.* d’adresses IPv4 autorisées en utilisant les opérateurs de condition d’adresse IP. Toute adresse IP hors de cette plage se verra refuser l’accès au compartiment S3 sur Outposts (DOC-EXAMPLE-BUCKET). Comme toutes les adresses IPv6 se trouvent hors de la plage autorisée, cette stratégie empêche les adresses IPv6 d’accéder à DOC-EXAMPLE-BUCKET.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "54.240.143.0/24"
                }
            }
        }
    ]
}

Vous pouvez modifier l’élément Condition de la politique de compartiment S3 sur Outposts afin d’autoriser les plages d’adresses IPv4 (54.240.143.0/24) et IPv6 (2001:DB8:1234:5678::/64), comme illustré dans l’exemple suivant. Vous pouvez utiliser le même type de bloc Condition que celui indiqué dans l’exemple pour mettre à jour vos stratégies de compartiment et d’utilisateur IAM.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Avant d’utiliser le protocole IPv6, vous devez mettre à jour toutes les stratégies de compartiment et d’utilisateur IAM pertinentes qui utilisent le filtrage des adresses IP afin d’autoriser les plages d’adresses IPv6. Nous vous recommandons de mettre à jour vos politiques IAM avec les plages d’adresses IPv6 de votre organisation, en plus des plages IPv4 existantes. Pour obtenir un exemple de politique de compartiment autorisant l’accès à la fois via IPv6 et IPv4, consultez Restriction de l’accès à des adresses IP spécifiques.

Vous pouvez consulter vos stratégies utilisateur IAM à l’aide de la console IAM à l’adresse https://console.aws.amazon.com/iam/. Pour de plus amples informations sur IAM, consultez le Guide de l’utilisateur IAM. Pour en savoir plus sur la modification des politiques de compartiments S3 sur Outposts, consultez Ajout ou modification d'une politique de compartiment pour un compartiment Amazon S3 on Outposts..

Test de compatibilité d’adresses IP

Si vous utilisez une instance Linux ou Unix, ou une plateforme macOS X, vous pouvez tester votre accès à un point de terminaison à double pile via IPv6. Par exemple, pour tester la connexion à des points de terminaison Amazon S3 sur Outposts via IPv6, utilisez la commande dig :

dig s3-outposts.us-west-2.api.aws AAAA +short

Si votre point de terminaison à double pile sur un réseau IPv6 est correctement configuré, la commande dig renvoie les adresses IPv6 connectées. Par exemple :

dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

Utilisation d’IPv6 avec AWS PrivateLink

S3 sur Outposts prend en charge le protocole IPv6 pour les services et les points de terminaison AWS PrivateLink. Grâce à la prise en charge d’AWS PrivateLink pour le protocole IPv6, vous pouvez vous connecter aux points de terminaison de service au sein de votre VPC via les réseaux IPv6, à partir de connexions sur site ou d’autres connexions privées. La prise en charge d’IPv6 pour AWS PrivateLink pour S3 sur Outposts vous permet également d’intégrer AWS PrivateLink avec les points de terminaison à double pile. Pour savoir comment activer IPv6 pour AWS PrivateLink, consultez Accélérer l’adoption d’IPv6 avec les services et les points de terminaison AWS PrivateLink.

Utilisation d’IPv6 avec AWS PrivateLink

Si vous utilisez AWS PrivateLink avec IPv6, vous devez créer un point de terminaison d’interface VPC IPv6 ou à double pile. Pour connaître les étapes générales de la création d’un point de terminaison de VPC à l’aide de la AWS Management Console, consultez Accès à un service AWS à l’aide d’un point de terminaison de VPC d’interface dans le Guide de l’utilisateur AWS PrivateLink.

AWS Management Console

Utilisez la procédure suivante pour créer un point de terminaison de VPC d’interface qui se connecte à S3 sur Outposts.

1. Connectez-vous à la AWS Management Console et ouvrez la console VPC à l’adresse https://console.aws.amazon.com/vpc/.

2. Dans le volet de navigation, choisissez Points de terminaison.

3. Choisissez Créer un point de terminaison.

4. Pour Service category (Catégorie de service), choisissez Services AWS.

5. Pour Nom du service, choisissez le service S3 sur Outposts (com.amazonaws.us-east-1.s3-outposts).

6. Pour VPC, choisissez le VPC à partir duquel vous accéderez à S3 sur Outposts.

7. Pour Sous-réseaux, choisissez un sous-réseau unique par zone de disponibilité, à partir duquel vous accéderez à S3 sur Outposts. Il n’est pas possible de sélectionner plusieurs sous-réseaux dans la même zone de disponibilité. Pour chaque sous-réseau que vous sélectionnez, une nouvelle interface réseau du point de terminaison est créée. Par défaut, les adresses IP figurant dans les plages d’adresses IP des sous-réseaux sont affectées aux interfaces réseau des points de terminaison. Pour désigner une adresse IP d’une interface réseau de point de terminaison, choisissez Désigner des adresses IP et entrez une adresse IPv6 à partir de la plage d’adresses du sous-réseau.

8. Pour Type d’adresse IP, choisissez Double pile. Attribuez à la fois des adresses IPv4 et IPv6 aux interfaces réseau de vos points de terminaison. Cette option n’est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d’adresses IPv4 et IPv6.

9. Pour Groupes de sécurité, choisissez les groupes de sécurité à associer aux interfaces réseau du point de terminaison pour le point de terminaison de VPC. Par défaut, le groupe de sécurité par défaut est associé au VPC.

10. Pour Politique, choisissez Accès complet afin d’autoriser toutes les opérations de tous les principaux sur toutes les ressources via le point de terminaison de VPC. Sinon, choisissez Personnalisé pour attacher une politique de point de terminaison de VPC qui contrôle les autorisations dont disposent les principaux pour effectuer des actions sur les ressources via le point de terminaison de VPC. Cette option n’est disponible que si le service prend en charge les politiques de points de terminaison de VPC. Pour plus d’informations, consultez Politiques de point de terminaison.

11. (Facultatif) Pour ajouter une balise, choisissez Ajouter une nouvelle balise et entrez la clé et la valeur de la balise.

12. Choisissez Créer un point de terminaison.

Exemple – Politique de compartiments S3 sur Outposts

Pour permettre à S3 sur Outposts d’interagir avec vos points de terminaison de VPC, vous pouvez ensuite mettre à jour votre politique S3 sur Outposts comme suit :

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

AWS CLI

Note

Pour activer le réseau IPv6 sur votre point de terminaison de VPC, vous devez avoir défini IPv6 pour le filtre SupportedIpAddressType pour S3 sur Outposts.

L’exemple suivant utilise la commande create-vpc-endpoint pour créer un nouveau point de terminaison d’interface à double pile.

aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Selon la configuration du service AWS PrivateLink, les connexions de point de terminaison nouvellement créées devront peut-être être acceptées par le fournisseur de services de point de terminaison de VPC avant de pouvoir être utilisées. Pour plus d’informations, consultez Accepter et rejeter les demandes de connexion de point de terminaison dans le Guide de l’utilisateur AWS PrivateLink.

L’exemple suivant utilise la commande modify-vpc-endpoint pour mettre à jour le point de terminaison de VPC de version IP uniquement en un point de terminaison à double pile. Le point de terminaison à double pile permet d’accéder aux réseaux IPv4 et IPv6.

aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Pour plus d’informations sur la façon d’activer le réseau IPv6 pour AWS PrivateLink, consultez Accélérer l’adoption d’IPv6 avec les services et les points de terminaison AWS PrivateLink.