Effettuare richieste a S3 su Outposts over IPv6 - Amazon S3 su Outposts
Iniziare con IPv6Esecuzione di richieste mediante gli endpoint dual-stackUtilizzo IPv6 degli indirizzi nelle politiche IAMTest di compatibilità degli indirizzi IPUtilizzo con IPv6 AWS PrivateLink

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Effettuare richieste a S3 su Outposts over IPv6

Gli endpoint dual-stack Amazon S3 on Outposts e S3 on Outposts supportano le richieste ai bucket S3 on Outposts utilizzando il protocollo or. IPv6 IPv4 Con IPv6 il supporto per S3 on Outposts, puoi accedere e gestire i tuoi bucket e controllare le risorse del piano tramite S3 on Outposts su reti. APIs IPv6

Nota

Le azioni degli oggetti S3 on Outposts (PutObjectcome GetObject o) non sono supportate IPv6 sulle reti.

Non sono previsti costi aggiuntivi per l'accesso a S3 on Outposts IPv6 tramite rete. Per ulteriori informazioni su S3 su Outposts, vedere Prezzi di S3 su Outposts.

Argomenti

Iniziare con IPv6

Per effettuare una richiesta a un bucket IPv6 over di S3 on Outposts, devi utilizzare un endpoint dual-stack. La sezione successiva descrive come effettuare richieste utilizzando endpoint dual-stack. IPv6

Le seguenti sono considerazioni importanti prima di provare ad accedere a un bucket S3 on Outposts: IPv6

  • Il client e la rete che accedono al bucket devono essere abilitati all'uso. IPv6

  • Per l'accesso sono supportate sia le richieste in stile host virtuale che quelle in stile percorso. IPv6 Per ulteriori informazioni, consulta Utilizzo degli endpoint dual-stack S3 su Outposts.

  • Se utilizzi il filtraggio degli indirizzi IP di origine nel tuo utente AWS Identity and Access Management (IAM) o nelle policy dei bucket di S3 on Outposts, devi aggiornare le politiche per includere gli intervalli di indirizzi. IPv6

    Nota

    Questo requisito si applica solo alle operazioni del bucket S3 on Outposts e alle risorse del piano di controllo su tutte le reti. IPv6 Le azioni oggetto di Amazon S3 on Outposts non sono supportate su tutte le reti. IPv6

  • Quando vengono utilizzati IPv6, i file di log di accesso al server restituiscono gli indirizzi IP in un IPv6 formato. È necessario aggiornare gli strumenti, gli script e il software esistenti utilizzati per analizzare i file di registro di S3 on Outposts, in modo che possano analizzare gli indirizzi IP remoti formattati. IPv6 Gli strumenti, gli script e il software aggiornati analizzeranno quindi correttamente gli indirizzi IP remoti formattati. IPv6

Utilizzo di endpoint dual-stack per effettuare richieste su una rete IPv6

Per effettuare richieste tramite chiamate API S3 on Outposts, puoi utilizzare IPv6 endpoint dual-stack tramite o SDK. AWS CLI AWS Le operazioni dell'API di controllo Amazon S3 e le operazioni dell'API S3 on Outposts funzionano allo stesso modo indipendentemente dal fatto che tu acceda a S3 on Outposts tramite uno o più protocolli. IPv6 IPv4 Tuttavia, tieni presente che le azioni degli oggetti di S3 on Outposts (PutObjectcome GetObject o) non sono supportate IPv6 sulle reti.

Quando usi AWS Command Line Interface (AWS CLI) and AWS SDKs, puoi usare un parametro o un flag per passare a un endpoint dual-stack. È inoltre possibile specificare l'endpoint dual-stack direttamente come sostituzione dell'endpoint S3 su Outposts nel file di configurazione.

Puoi utilizzare un endpoint dual-stack per accedere a un bucket S3 on Outposts da uno dei seguenti: IPv6

Utilizzo IPv6 degli indirizzi nelle politiche IAM

Prima di provare ad accedere a un bucket S3 on Outposts utilizzando IPv6 un protocollo, assicurati che gli utenti IAM o le policy dei bucket S3 on Outposts utilizzate per il filtraggio degli indirizzi IP siano aggiornate per includere gli intervalli di indirizzi. IPv6 Se i criteri di filtraggio degli indirizzi IP non vengono aggiornati per gestire IPv6 gli indirizzi, puoi perdere l'accesso a un bucket S3 on Outposts durante il tentativo di utilizzare il protocollo. IPv6

Le policy IAM che filtrano gli indirizzi IP utilizzano gli operatori di condizione degli indirizzi IP. La seguente policy sui bucket di S3 on Outposts identifica l'intervallo IP 54.240.143.* di indirizzi IP consentiti utilizzando gli operatori di condizione dell'indirizzo IP. IPv4 A qualsiasi indirizzo IP non incluso in questo intervallo verrà negato l'accesso al bucket S3 su Outposts (DOC-EXAMPLE-BUCKET). Poiché tutti gli IPv6 indirizzi non rientrano nell'intervallo consentito, questa politica impedisce agli indirizzi di accedere. IPv6 DOC-EXAMPLE-BUCKET

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "IPAllow",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3-outposts:*",
            "Resource": "arn:aws:s3-outposts:us-east-1:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
            "Condition": {
                "IpAddress": {
                    "aws:SourceIp": "54.240.143.0/24"
                }
            }
        }
    ]
}

Puoi modificare l'elemento della policy Condition del bucket S3 on Outposts per consentire IPv4 sia gli intervalli di indirizzi 54.240.143.0/24 () IPv6 che 2001:DB8:1234:5678::/64 (), come mostrato nell'esempio seguente. È possibile utilizzare lo stesso tipo di blocco Condition mostrato nell'esempio per aggiornare sia le policy del bucket sia le policy utente IAM.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Prima dell'uso, IPv6 è necessario aggiornare tutte le policy relative agli utenti e ai bucket IAM che utilizzano il filtraggio degli indirizzi IP per consentire gli intervalli di indirizzi. IPv6 Ti consigliamo di aggiornare le tue policy IAM con gli intervalli di IPv6 indirizzi della tua organizzazione oltre agli intervalli di IPv4 indirizzi esistenti. Per un esempio di policy bucket che consente l'accesso su entrambi IPv6 e due IPv4, consultaLimitare l'accesso a indirizzi IP specifici.

Puoi rivedere le tue policy utente IAM utilizzando la console IAM all'indirizzo https://console.aws.amazon.com/iam/. Per ulteriori informazioni su IAM, consulta la Guida per l'utente di IAM. Per informazioni sulla modifica delle policy dei bucket S3 su Outposts, consulta Aggiunta o modifica di una policy di un bucket Amazon S3 su Outposts.

Test di compatibilità degli indirizzi IP

Se utilizzi un'istanza Linux o Unix o una piattaforma macOS X, puoi testare il tuo accesso a un endpoint dual-stack tramite. IPv6 Ad esempio, per testare la connessione ad Amazon S3 sugli IPv6 endpoint Outposts, usa il comando: dig

dig s3-outposts.us-west-2.api.aws AAAA +short

Se l'endpoint dual-stack su una IPv6 rete è configurato correttamente, il comando restituisce gli indirizzi connessi. dig IPv6 Per esempio:

dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

S3 on Outposts supporta IPv6 il protocollo AWS PrivateLink per servizi ed endpoint. Con il AWS PrivateLink supporto per il IPv6 protocollo, puoi connetterti agli endpoint di servizio all'interno del tuo VPC IPv6 tramite reti, da connessioni locali o da altre connessioni private. Il IPv6 supporto AWS PrivateLink per S3 on Outposts consente anche l' AWS PrivateLink integrazione con endpoint dual-stack. Per i passaggi su come abilitare IPv6 for AWS PrivateLink, consulta Accelerare l'adozione con servizi ed endpoint. IPv6 AWS PrivateLink

Nota

Per aggiornare il tipo di indirizzo IP supportato da IPv4 a IPv6, consulta Modificare il tipo di indirizzo IP supportato nella Guida per l'AWS PrivateLink utente.

Se utilizzi AWS PrivateLink with IPv6, devi creare un IPv6 endpoint con interfaccia VPC dual-stack. Per i passaggi generali su come creare un endpoint VPC utilizzando il AWS Management Console, consulta Accedere a un AWS servizio utilizzando un endpoint VPC di interfaccia nella Guida per l'utente.AWS PrivateLink

AWS Management Console

Utilizzare la procedura seguente per creare un endpoint VPC di interfaccia in grado di connettersi a S3 su Outposts.

  1. Accedi AWS Management Console e apri la console VPC all'indirizzo. https://console.aws.amazon.com/vpc/

  2. Nel pannello di navigazione, seleziona Endpoints (Endpoint).

  3. Seleziona Crea endpoint.

  4. Per Service category (Categoria servizio), scegli AWS services.

  5. Per Nome servizio, scegli il servizio S3 su Outposts (com.amazonaws.us-east-1.s3-outposts).

  6. Per VPC, scegli il VPC da cui si accederà a S3 su Outposts.

  7. Per Sottoreti, scegli una sottorete per ogni zona di disponibilità dalla quale si accederà a S3 su Outposts. Non è possibile selezionare più sottoreti dalla stessa zona di disponibilità. Per ogni sottorete selezionata, viene creata una nuova interfaccia di rete dell'endpoint. Per impostazione predefinita, alle interfacce di rete dell'endpoint vengono assegnati gli indirizzi IP degli intervalli di indirizzi IP della sottorete. Per designare un indirizzo IP per un'interfaccia di rete endpoint, scegli Designare indirizzi IP e inserisci un IPv6 indirizzo dall'intervallo di indirizzi di sottorete.

  8. Per Tipo di indirizzo IP, scegli Dualstack. Assegna entrambi gli IPv6 indirizzi alle interfacce di IPv4 rete degli endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate hanno entrambi gli intervalli di indirizzi. IPv4 IPv6

  9. Per Gruppi di sicurezza, scegli i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint per l'endpoint VPC. Per impostazione predefinita, il gruppo di sicurezza predefinito viene associato al VPC.

  10. Per Policy, scegli Accesso completo per consentire a tutti i principali di eseguire tutte le operazioni su tutte le risorse dell'endpoint VPC. Altrimenti, scegli Personalizzato, per allegare una policy dell'endpoint VPC che controlla le autorizzazioni che i principali hanno per eseguire azioni sulle risorse attraverso l'endpoint. Questa opzione è disponibile solo se il servizio supporta le policy dell'endpoint VPC. Per ulteriori informazioni, consulta Policy di endpoint.

  11. (Facoltativo) Per aggiungere un tag, scegliere Add new tag (Aggiungi nuovo tag) e immettere la chiave e il valore del tag.

  12. Seleziona Crea endpoint.

Esempio - Policy di bucket S3 su Outposts

Per consentire a S3 su Outposts di interagire con gli endpoint VPC, è possibile aggiornare la policy S3 su Outposts in questo modo:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
AWS CLI
Nota

Per abilitare la IPv6 rete sul tuo endpoint VPC, devi aver IPv6 impostato il SupportedIpAddressType filtro per S3 su Outposts.

L'esempio seguente utilizza il comando create-vpc-endpoint per creare un nuovo endpoint di interfaccia dual-stack.

aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

A seconda della configurazione del AWS PrivateLink servizio, potrebbe essere necessario accettare le connessioni endpoint appena create dal provider di servizi endpoint VPC prima di poter essere utilizzate. Per ulteriori informazioni, consulta Accettare e rifiutare le richieste di connessione all'endpoint nella Guida per l'utente di AWS PrivateLink .

L'esempio seguente utilizza il modify-vpc-endpoint comando per aggiornare l'endpoint VPC IPv -only a un endpoint dual-stack. L'endpoint dual-stack consente l'accesso sia alle reti che alle reti. IPv4 IPv6 

aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Per ulteriori informazioni su come abilitare la IPv6 rete per AWS PrivateLink, consulta Accelerare l'adozione con servizi ed endpoint. IPv6 AWS PrivateLink