Membuat permintaan ke S3 di Outposts over IPv6 - Amazon S3 on Outposts
Memulai dengan IPv6Mengajukan permintaan menggunakan titik akhir tumpukan gandaMenggunakan IPv6 alamat dalam kebijakan IAMMenguji kompatibilitas alamat IPMenggunakan IPv6 dengan AWS PrivateLink

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat permintaan ke S3 di Outposts over IPv6

Amazon S3 di Outposts dan S3 di Outposts dual-stack endpoint mendukung permintaan ke S3 pada bucket Outposts menggunakan protokol atau protokol. IPv6 IPv4 Dengan IPv6 dukungan untuk S3 di Outposts, Anda dapat mengakses dan mengoperasikan bucket dan mengontrol sumber daya pesawat melalui S3 on Outposts melalui jaringan. APIs IPv6

catatan

Tindakan objek S3 pada Outposts (PutObjectseperti GetObject atau) tidak didukung IPv6 melalui jaringan.

Tidak ada biaya tambahan untuk mengakses S3 di Outposts melalui jaringan. IPv6 Untuk informasi lebih lanjut tentang S3 di Outposts, lihat harga S3 di Outposts.

Topik

Memulai dengan IPv6

Untuk membuat permintaan ke bucket S3 on Outposts, Anda harus menggunakan IPv6 endpoint dual-stack. Bagian selanjutnya menjelaskan cara membuat permintaan IPv6 dengan menggunakan titik akhir dual-stack.

Berikut ini adalah pertimbangan penting sebelum mencoba mengakses bucket S3 on Outposts: IPv6

  • Klien dan jaringan yang mengakses bucket harus diaktifkan agar dapat menggunakan IPv6.

  • Permintaan gaya host virtual dan gaya jalur didukung untuk akses. IPv6 Untuk informasi selengkapnya, lihat Menggunakan S3 pada titik akhir dual-stack Outposts.

  • Jika Anda menggunakan pemfilteran alamat IP sumber di pengguna AWS Identity and Access Management (IAM) atau kebijakan bucket S3 on Outposts, Anda harus memperbarui kebijakan untuk menyertakan rentang alamat. IPv6

    catatan

    Persyaratan ini hanya berlaku untuk operasi bucket S3 pada Outposts dan mengontrol sumber daya IPv6 pesawat di seluruh jaringan. Tindakan objek Amazon S3 di Outposts tidak didukung di seluruh jaringan. IPv6

  • Saat menggunakan IPv6, file log akses server mengeluarkan alamat IP dalam IPv6 format. Anda harus memperbarui alat, skrip, dan perangkat lunak yang ada yang Anda gunakan untuk mengurai S3 pada file log Outposts, sehingga mereka dapat mengurai alamat IP jarak jauh yang diformat. IPv6 Alat, skrip, dan perangkat lunak yang diperbarui kemudian akan mengurai alamat IP jarak jauh yang IPv6 diformat dengan benar.

Menggunakan titik akhir dual-stack untuk membuat permintaan melalui jaringan IPv6

Untuk membuat permintaan dengan S3 pada panggilan Outposts IPv6 API, Anda dapat menggunakan titik akhir dual-stack melalui atau SDK. AWS CLI AWS Operasi API kontrol Amazon S3 dan operasi S3 pada Outposts API bekerja dengan cara yang sama apakah Anda mengakses S3 di Outposts melalui protokol atau protokol. IPv6 IPv4 Namun, ketahuilah bahwa tindakan objek S3 pada Outposts (PutObjectseperti GetObject atau) tidak didukung IPv6 melalui jaringan.

Saat menggunakan AWS Command Line Interface (AWS CLI) dan AWS SDKs, Anda dapat menggunakan parameter atau flag untuk mengubah ke titik akhir dual-stack. Anda juga dapat menentukan titik akhir dual-stack secara langsung sebagai penggantian titik akhir S3 on Outposts dalam file konfigurasi.

Anda dapat menggunakan titik akhir dual-stack untuk mengakses bucket S3 di Outposts dari salah satu IPv6 dari berikut ini:

Menggunakan IPv6 alamat dalam kebijakan IAM

Sebelum mencoba mengakses bucket S3 di Outposts menggunakan IPv6 protokol, pastikan bahwa pengguna IAM atau kebijakan bucket S3 pada Outposts yang digunakan untuk pemfilteran alamat IP diperbarui untuk menyertakan rentang alamat. IPv6 Jika kebijakan pemfilteran alamat IP tidak diperbarui untuk menangani IPv6 alamat, Anda dapat kehilangan akses ke bucket S3 di Outposts saat mencoba menggunakan protokol. IPv6

Kebijakan IAM yang memfilter alamat IP menggunakan operator kondisi alamat IP. Kebijakan bucket S3 on Outposts berikut mengidentifikasi rentang IP 54.240.143.* dari alamat yang diizinkan dengan menggunakan operator kondisi alamat IP. IPv4 Alamat IP apa pun di luar rentang ini akan ditolak aksesnya ke bucket DOC-EXAMPLE-BUCKET S3 on Outposts (). Karena semua IPv6 alamat berada di luar rentang yang diizinkan, kebijakan ini mencegah IPv6 alamat agar tidak dapat diaksesDOC-EXAMPLE-BUCKET. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3outposts:*",
      "Resource": "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Anda dapat memodifikasi elemen kebijakan Condition bucket S3 pada Outposts untuk mengizinkan IPv4 rentang alamat 54.240.143.0/24 () IPv6 dan 2001:DB8:1234:5678::/64 () seperti yang ditunjukkan pada contoh berikut. Anda dapat menggunakan tipe blok Condition yang ditampilkan dalam contoh untuk memperbarui kebijakan pengguna IAM dan bucket Anda.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Sebelum menggunakan, IPv6 Anda harus memperbarui semua kebijakan pengguna dan bucket IAM yang relevan yang menggunakan pemfilteran alamat IP untuk mengizinkan rentang IPv6 alamat. Kami menyarankan Anda memperbarui kebijakan IAM dengan rentang IPv6 alamat organisasi Anda selain rentang IPv4 alamat yang ada. Untuk contoh kebijakan bucket yang mengizinkan akses melalui keduanya IPv6 dan IPv4, lihatMembatasi akses ke suatu Wilayah tertentu.

Anda dapat meninjau kebijakan pengguna IAM menggunakan konsol IAM di. https://console.aws.amazon.com/iam/ Untuk informasi lebih lanjut tentang IAM, lihat Panduan Pengguna IAM. Untuk informasi tentang mengedit S3 pada kebijakan bucket Outposts, lihat. Menambahkan atau mengedit kebijakan bucket untuk bucket Amazon S3 di Outposts

Menguji kompatibilitas alamat IP

Jika Anda menggunakan instance Linux atau Unix, atau platform macOS X, Anda dapat menguji akses Anda ke titik akhir tumpukan ganda. IPv6 Misalnya, untuk menguji koneksi ke Amazon S3 pada titik akhir Outposts, gunakan perintah: IPv6 dig

dig s3-outposts.us-west-2.api.aws AAAA +short

Jika titik akhir dual-stack Anda melalui IPv6 jaringan diatur dengan benar, dig perintah mengembalikan alamat yang terhubung. IPv6 Sebagai contoh:

dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

S3 di Outposts mendukung protokol AWS PrivateLink untuk layanan IPv6 dan titik akhir. Dengan AWS PrivateLink dukungan IPv6 protokol, Anda dapat terhubung ke titik akhir layanan dalam VPC IPv6 melalui jaringan, baik dari koneksi lokal maupun pribadi lainnya. IPv6 Dukungan AWS PrivateLink untuk S3 di Outposts juga memungkinkan Anda untuk AWS PrivateLink berintegrasi dengan titik akhir dual-stack. Untuk langkah-langkah tentang cara mengaktifkan IPv6 AWS PrivateLink, lihat Mempercepat IPv6 adopsi Anda dengan AWS PrivateLink layanan dan titik akhir.

catatan

Untuk memperbarui jenis alamat IP yang didukung dari IPv4 ke IPv6, lihat Memodifikasi jenis alamat IP yang didukung di Panduan AWS PrivateLink Pengguna.

Jika Anda menggunakan AWS PrivateLink dengan IPv6, Anda harus membuat IPv6 atau dual-stack antarmuka VPC endpoint. Untuk langkah-langkah umum tentang cara membuat titik akhir VPC menggunakan AWS Management Console, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka di Panduan Pengguna.AWS PrivateLink

AWS Management Console

Gunakan prosedur berikut untuk membuat titik akhir VPC antarmuka yang terhubung ke S3 di Outposts.

  1. Masuk ke AWS Management Console dan buka konsol VPC di. https://console.aws.amazon.com/vpc/

  2. Di panel navigasi, pilih Titik akhir.

  3. Pilih Buat Titik Akhir.

  4. Untuk kategori Layanan, pilih AWS layanan.

  5. Untuk nama Layanan, pilih layanan S3 on Outposts (com.amazonaws.us-east-1.s3-outposts).

  6. Untuk VPC, pilih VPC dari mana Anda akan mengakses S3 di Outposts.

  7. Untuk Subnet, pilih satu subnet per Availability Zone dari mana Anda akan mengakses S3 di Outposts. Anda tidak dapat memilih beberapa subnet dari Availability Zone yang sama. Untuk setiap subnet yang Anda pilih, antarmuka jaringan endpoint baru dibuat. Secara default, alamat IP dari rentang alamat IP subnet ditetapkan ke antarmuka jaringan titik akhir. Untuk menunjuk alamat IP untuk antarmuka jaringan titik akhir, pilih Tentukan alamat IP dan masukkan alamat dari rentang IPv6 alamat subnet.

  8. Untuk jenis alamat IP, pilih Dualstack. Tetapkan keduanya IPv4 dan IPv6 alamat ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang keduanya IPv4 dan IPv6 alamat.

  9. Untuk grup Keamanan, pilih grup keamanan untuk diasosiasikan dengan antarmuka jaringan titik akhir untuk titik akhir VPC. Secara default, grup keamanan default dikaitkan dengan VPC.

  10. Untuk Kebijakan, pilih Akses penuh untuk mengizinkan semua operasi oleh semua pengguna utama pada semua sumber daya melalui titik akhir VPC. Jika tidak, pilih Kustom untuk melampirkan kebijakan titik akhir VPC yang mengontrol izin yang dimiliki kepala sekolah untuk melakukan tindakan pada sumber daya melalui titik akhir VPC. Opsi ini hanya tersedia jika layanan mendukung kebijakan titik akhir VPC. Untuk informasi selengkapnya, lihat Kebijakan Endpoint.

  11. (Opsional) Untuk menambahkan tanda, pilih Tambahkan tanda baru dan masukkan kunci dan nilai tanda.

  12. Pilih Buat titik akhir.

contoh — Kebijakan bucket S3 pada Outposts

Untuk mengizinkan S3 di Outposts berinteraksi dengan titik akhir VPC Anda, Anda kemudian dapat memperbarui kebijakan S3 on Outposts seperti ini:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
AWS CLI
catatan

Untuk mengaktifkan IPv6 jaringan pada titik akhir VPC Anda, Anda harus IPv6 mengatur SupportedIpAddressType filter untuk S3 di Outposts.

Contoh berikut menggunakan create-vpc-endpoint perintah untuk membuat endpoint antarmuka dual-stack baru.

aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Bergantung pada konfigurasi AWS PrivateLink layanan, koneksi titik akhir yang baru dibuat mungkin perlu diterima oleh penyedia layanan titik akhir VPC sebelum dapat digunakan. Untuk informasi selengkapnya, lihat Menerima dan menolak permintaan koneksi titik akhir di AWS PrivateLink Panduan Pengguna.

Contoh berikut menggunakan modify-vpc-endpoint perintah untuk memperbarui titik akhir VPC IPv -only ke titik akhir dual-stack. Titik akhir dual-stack memungkinkan akses ke jaringan dan jaringan. IPv4 IPv6 

aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Untuk informasi selengkapnya tentang cara mengaktifkan IPv6 jaringan AWS PrivateLink, lihat Mempercepat IPv6 adopsi Anda dengan AWS PrivateLink layanan dan titik akhir.