Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Envoyer des requêtes à S3 sur Outposts over IPv6

Les points de terminaison à double pile Amazon S3 on Outposts et S3 on Outposts prennent en charge les demandes adressées aux compartiments S3 on Outposts en utilisant le protocole or. IPv6 IPv4 Grâce à la prise en IPv6 charge de S3 on Outposts, vous pouvez accéder à vos buckets et aux ressources de votre plan de contrôle et les exploiter via S3 on Outposts sur les réseaux. APIs IPv6

Il n'y a pas de frais supplémentaires pour accéder à S3 sur les Outposts via IPv6 les réseaux. Pour plus d’informations sur S3 sur Outposts, consultez Tarification S3 sur Outposts.

Commencer avec IPv6

Pour envoyer une demande à un compartiment S3 on Outposts IPv6, vous devez utiliser un point de terminaison à double pile. La section suivante décrit comment effectuer des demandes à l'aide de points IPv6 de terminaison à double pile.

Les points suivants sont importants à prendre en compte avant d'essayer d'accéder à un bucket S3 on Outposts : IPv6

Utilisation de points de terminaison à double pile pour effectuer des demandes sur un réseau IPv6

Pour effectuer des requêtes avec S3 on Outposts via des appels d'API IPv6, vous pouvez utiliser des points de terminaison à double pile via le SDK. AWS CLI AWS Les opérations de l'API de contrôle Amazon S3 et les opérations de l'API S3 on Outposts fonctionnent de la même manière, que vous accédiez à S3 on Outposts via un protocole ou un IPv6 protocole. IPv4 Sachez toutefois que les actions d'objets S3 on Outposts (telles que PutObject ouGetObject) ne sont pas prises en charge sur IPv6 les réseaux.

Lorsque vous utilisez le AWS Command Line Interface (AWS CLI) et AWS SDKs, vous pouvez utiliser un paramètre ou un indicateur pour passer à un point de terminaison à double pile. Vous pouvez également spécifier directement le point de terminaison à double pile pour remplacer le point de terminaison S3 sur Outposts dans le fichier de configuration.

Vous pouvez utiliser un point de terminaison à double pile pour accéder à un bucket S3 on Outposts IPv6 depuis l'un des sites suivants :

Utilisation des IPv6 adresses dans les politiques IAM

Avant d'essayer d'accéder à un bucket S3 on Outposts à l'aide d'un IPv6 protocole, assurez-vous que les politiques de bucket des utilisateurs IAM ou S3 on Outposts utilisées pour le filtrage des adresses IP sont mises à jour pour inclure les plages d'adresses. IPv6 Si les politiques de filtrage des adresses IP ne sont pas mises à jour pour gérer IPv6 les adresses, vous risquez de perdre l'accès à un bucket S3 on Outposts lorsque vous essayez d'utiliser le IPv6 protocole.

Les politiques IAM qui filtrent les adresses IP utilisent des opérateurs de condition d’adresse IP. La politique de compartiment S3 on Outposts suivante identifie la plage d'adresses IP 54.240.143.* d' IPv4 adresses autorisées à l'aide d'opérateurs de condition d'adresse IP. Toute adresse IP hors de cette plage se verra refuser l’accès au compartiment S3 sur Outposts (DOC-EXAMPLE-BUCKET). Comme toutes les IPv6 adresses se situent en dehors de la plage autorisée, cette politique empêche IPv6 les adresses d'y accéderDOC-EXAMPLE-BUCKET.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3outposts:*",
      "Resource": "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Vous pouvez modifier l'Conditionélément de la politique de compartiment S3 on Outposts pour autoriser à la fois les plages d'adresses IPv4 (54.240.143.0/24) et IPv6 (2001:DB8:1234:5678::/64), comme indiqué dans l'exemple suivant. Vous pouvez utiliser le même type de bloc Condition que celui indiqué dans l’exemple pour mettre à jour vos stratégies de compartiment et d’utilisateur IAM.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Avant de l'utiliser, IPv6 vous devez mettre à jour toutes les politiques pertinentes relatives aux utilisateurs et aux compartiments IAM qui utilisent le filtrage des adresses IP pour autoriser les plages d' IPv6 adresses. Nous vous recommandons de mettre à jour vos politiques IAM avec les plages d' IPv6 adresses de votre organisation en plus de vos plages d' IPv4 adresses existantes. Pour un exemple de politique de compartiment qui autorise l'accès IPv6 aux deux IPv4, voirRestriction de l’accès à des adresses IP spécifiques.

Vous pouvez consulter vos politiques utilisateur IAM à l'aide de la console IAM à l'adresse. https://console.aws.amazon.com/iam/ Pour de plus amples informations sur IAM, consultez le Guide de l’utilisateur IAM. Pour en savoir plus sur la modification des politiques de compartiments S3 sur Outposts, consultez Ajout ou modification d'une politique de compartiment pour un compartiment Amazon S3 on Outposts..

Test de compatibilité d’adresses IP

Si vous utilisez une instance Linux ou Unix, ou une plateforme macOS X, vous pouvez tester votre accès à un point de terminaison à double pile. IPv6 Par exemple, pour tester la connexion à Amazon S3 sur les points de terminaison Outposts IPv6, utilisez la commande suivante : dig

dig s3-outposts.us-west-2.api.aws AAAA +short

Si votre point de terminaison à double pile sur un IPv6 réseau est correctement configuré, la dig commande renvoie les IPv6 adresses connectées. Par exemple :

dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

Utilisation IPv6 avec AWS PrivateLink

S3 on Outposts prend en charge le IPv6 protocole pour les AWS PrivateLink services et les points de terminaison. Grâce à la prise en AWS PrivateLink charge du IPv6 protocole, vous pouvez vous connecter aux points de terminaison de service au sein de votre VPC via des réseaux, à partir de connexions IPv6 sur site ou d'autres connexions privées. La IPv6 prise en charge AWS PrivateLink de S3 on Outposts vous permet également d'intégrer des points de terminaison AWS PrivateLink à double pile. Pour savoir comment l'activer IPv6 AWS PrivateLink, consultez Accélérez votre IPv6 adoption grâce AWS PrivateLink aux services et aux terminaux.

Utilisation IPv6 avec AWS PrivateLink

Si vous utilisez AWS PrivateLink avec IPv6, vous devez créer un point de terminaison d' IPv6 interface VPC ou à double pile. Pour connaître les étapes générales de création d'un point de terminaison VPC à l'aide du AWS Management Console, consultez la section Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface dans le guide de l'utilisateur.AWS PrivateLink

AWS Management Console

Utilisez la procédure suivante pour créer un point de terminaison de VPC d’interface qui se connecte à S3 sur Outposts.

1. Connectez-vous à la console VPC AWS Management Console et ouvrez-la à l'adresse. https://console.aws.amazon.com/vpc/

2. Dans le volet de navigation, choisissez Points de terminaison.

3. Choisissez Créer un point de terminaison.

4. Pour Service category (Catégorie de service), choisissez Services AWS .

5. Pour Nom du service, choisissez le service S3 sur Outposts (com.amazonaws.us-east-1.s3-outposts).

6. Pour VPC, choisissez le VPC à partir duquel vous accéderez à S3 sur Outposts.

7. Pour Sous-réseaux, choisissez un sous-réseau unique par zone de disponibilité, à partir duquel vous accéderez à S3 sur Outposts. Il n’est pas possible de sélectionner plusieurs sous-réseaux dans la même zone de disponibilité. Pour chaque sous-réseau que vous sélectionnez, une nouvelle interface réseau du point de terminaison est créée. Par défaut, les adresses IP figurant dans les plages d’adresses IP des sous-réseaux sont affectées aux interfaces réseau des points de terminaison. Pour désigner une adresse IP pour une interface réseau de point de terminaison, choisissez Designate IP addresses et entrez une IPv6 adresse dans la plage d'adresses de sous-réseau.

8. Pour Type d’adresse IP, choisissez Double pile. Attribuez à la fois IPv6 des adresses IPv4 et des adresses aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent à la fois des plages d' IPv6 adresses IPv4 et des plages d'adresses.

9. Pour Groupes de sécurité, choisissez les groupes de sécurité à associer aux interfaces réseau du point de terminaison pour le point de terminaison de VPC. Par défaut, le groupe de sécurité par défaut est associé au VPC.

10. Pour Politique, choisissez Accès complet afin d’autoriser toutes les opérations de tous les principaux sur toutes les ressources via le point de terminaison de VPC. Sinon, choisissez Personnalisé pour attacher une politique de point de terminaison de VPC qui contrôle les autorisations dont disposent les principaux pour effectuer des actions sur les ressources via le point de terminaison de VPC. Cette option n’est disponible que si le service prend en charge les politiques de points de terminaison de VPC. Pour plus d’informations, consultez Politiques de point de terminaison.

11. (Facultatif) Pour ajouter une balise, choisissez Ajouter une nouvelle balise et entrez la clé et la valeur de la balise.

12. Choisissez Créer un point de terminaison.

Exemple – Politique de compartiments S3 sur Outposts

Pour permettre à S3 sur Outposts d’interagir avec vos points de terminaison de VPC, vous pouvez ensuite mettre à jour votre politique S3 sur Outposts comme suit :

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

AWS CLI

Note

Pour activer le IPv6 réseau sur le point de terminaison de votre VPC, vous devez avoir IPv6 défini le SupportedIpAddressType filtre pour S3 sur les Outposts.

L’exemple suivant utilise la commande create-vpc-endpoint pour créer un nouveau point de terminaison d’interface à double pile.

aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Selon la configuration du AWS PrivateLink service, les connexions de point de terminaison nouvellement créées devront peut-être être acceptées par le fournisseur de services de point de terminaison VPC avant de pouvoir être utilisées. Pour plus d’informations, consultez Accepter et rejeter les demandes de connexion de point de terminaison dans le Guide de l’utilisateur AWS PrivateLink .

L'exemple suivant utilise la modify-vpc-endpoint commande pour mettre à jour le point de terminaison VPC IPv -only vers un point de terminaison à double pile. Le point de terminaison à double pile permet d'accéder à la fois aux IPv6 réseaux IPv4 et.

aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Pour plus d'informations sur la manière d'activer le IPv6 réseau pour AWS PrivateLink, consultez Accélérez votre IPv6 adoption grâce AWS PrivateLink aux services et aux points de terminaison.