IPv6를 통해 S3 on Outposts에 요청 - Outposts에서의 Amazon S3
IPv6 시작하기듀얼 스택 엔드포인트를 사용하여 요청IAM 정책에서 IPv6 주소 사용IP 주소 호환성 테스트AWS PrivateLink로 IPv6 사용

IPv6를 통해 S3 on Outposts에 요청

Amazon S3 on Outposts 및 S3 on Outposts 듀얼 스택 엔드포인트는 IPv6 또는 IPv4를 사용하는 S3 on Outposts 버킷 요청을 지원합니다. S3 on Outposts에 대한 IPv6 지원으로, IPv6 네트워크를 사용하는 S3 on Outposts API를 통해 버킷 및 컨트롤 플레인 리소스를 액세스 및 운영할 수 있습니다.

참고

S3 on Outposts 객체 작업(예: PutObject 또는GetObject) 은 IPv6 네트워크에서는 지원되지 않습니다.

IPv6 네트워크를 통한 S3 on Outposts 액세스에는 추가 요금이 청구되지 않습니다. S3 on Outposts에 대한 자세한 내용은 S3 on Outposts 요금을 참조하세요.

주제

IPv6 시작하기

IPv6를 통해 S3 on Outposts 버킷에 요청하려면 듀얼 스택 엔드포인트를 사용해야 합니다. 다음 단원에서는 듀얼 스택 엔드포인트를 사용하여 IPv6을 통해 요청하는 방법을 설명합니다.

다음은 IPv6를 통해 S3 on Outposts 버킷 액세스를 시도하기 전에 고려해야 할 중요한 사항입니다.

  • 버킷에 액세스하는 클라이언트와 네트워크가 IPv6을 사용하도록 설정되어 있어야 합니다.

  • 가상 호스팅 방식과 경로 방식 요청이 모두 IPv6 액세스를 지원합니다. 자세한 내용은 S3 on Outposts 듀얼 스택 엔드포인트 사용 단원을 참조하십시오.

  • AWS Identity and Access Management(IAM) 사용자 또는 S3 on Outposts 버킷 정책에서 소스 IP 주소 필터링을 사용하는 경우, IPv6 주소 범위를 포함하도록 정책을 업데이트해야 합니다.

    참고

    이 요구 사항은 IPv6 네트워크 전반의 S3 on Outposts 버킷 작업 및 컨트롤 플레인 리소스에만 적용됩니다. Amazon S3 on Outposts 객체 작업은 IPv6 네트워크에서는 지원되지 않습니다.

  • IPv6을 사용하는 경우, 서버 액세스 로그 파일이 IPv6 형식으로 IP 주소를 출력합니다. IPv6 형식의 원격 IP 주소를 구문 분석할 수 있도록 S3 on Outposts 로그 파일을 구문 분석하는 데 사용하는 기존 도구, 스크립트 및 소프트웨어를 업데이트해야 합니다. 그러면 업데이트된 도구, 스크립트 및 소프트웨어가 IPv6 형식의 원격 IP 주소를 올바르게 구문 분석합니다.

듀얼 스택 엔드포인트를 사용하여 IPv6 네트워크를 통해 요청

IPv6를 통해 S3 on Outposts API 호출을 요청하려면 AWS CLI 또는 AWS SDK를 통해 듀얼 스택 엔드포인트를 사용하면 됩니다. Amazon S3 컨트롤 API 작업S3 on Outposts API 작업은 S3 on Outposts 액세스에 IPv6 프로토콜을 사용하든 IPv4 프로토콜을 사용하든 동일한 방식으로 작동합니다. 하지만 S3 on Outposts 객체 작업(예: PutObject 또는 GetObject)은 IPv6 네트워크에서는 지원되지 않습니다.

AWS Command Line Interface(AWS CLI) 및 AWS SDK를 사용하는 경우, 파라미터 또는 플래그를 사용하여 듀얼 스택 엔드포인트를 변경할 수 있습니다. 구성 파일의 S3 on Outposts 엔드포인트를 재정의하여 듀얼 스택 엔드포인트를 직접 지정할 수도 있습니다.

듀얼 스택 엔드포인트를 사용하여 다음에서 IPv6를 통해 S3 on Outposts 버킷에 액세스할 수 있습니다.

IAM 정책에서 IPv6 주소 사용

IPv6 프로토콜을 사용하여 S3 on Outposts 버킷에 액세스하기 전에 IP 주소 필터링에 사용되는 IAM 사용자 또는 S3 on Outposts 버킷 정책이 IPv6 주소 범위를 포함하도록 업데이트되었는지 확인합니다. IP 주소 필터링 정책이 IPv6 주소를 처리하도록 업데이트되지 않은 경우, IPv6 프로토콜을 사용하려고 하는 동안 S3 on Outposts 버킷에 액세스하지 못하게 될 수 있습니다.

IP 주소를 필터링하는 IAM 정책은 IP 주소 조건 연산자를 사용합니다. 다음 S3 on Outposts 버킷 정책은 IP 주소 조건 연산자를 사용하여 허용되는 IPv4 주소의 54.240.143.* IP 범위를 식별합니다. 이 범위를 벗어난 모든 IP 주소는 S3 on Outposts 버킷(DOC-EXAMPLE-BUCKET)에 대한 액세스가 거부됩니다. 모든 IPv6 주소가 허용되는 범위 밖에 있으므로 이 정책은 IPv6 주소가 DOC-EXAMPLE-BUCKET에 액세스하지 못하도록 합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3outposts:*",
      "Resource": "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

다음 예제와 같이 IPv4(54.240.143.0/24) 및 IPv6(2001:DB8:1234:5678::/64) 주소 범위를 모두 허용하도록 S3 on Outposts 버킷 정책의 Condition 요소를 수정할 수 있습니다. 예제에 나와 있는 동일한 Condition 블록 유형을 사용하여 IAM 사용자와 버킷 정책 모두를 업데이트할 수 있습니다.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

IPv6을 사용하기 전에 IP 주소 필터링을 사용하는 관련된 모든 IAM 사용자와 버킷 정책이 IPv6 주소 범위를 허용하도록 업데이트해야 합니다. 기존 IPv4 주소 범위 외에도 조직의 IPv6 주소 범위를 포함하도록 IAM 정책을 업데이트하는 것이 좋습니다. IPv6 및 IPv4 모두를 통한 액세스를 허용하는 버킷 정책의 예는 액세스를 특정 IP 주소로 제한 단원을 참조하세요.

https://console.aws.amazon.com/iam/의 IAM 콘솔을 사용하여 IAM 사용자 정책을 검토할 수 있습니다. IAM에 대한 자세한 내용은 IAM 사용 설명서를 참조하세요. S3 on Outposts 버킷 정책에 대한 자세한 내용은 Amazon S3 on Outposts 버킷의 버킷 정책 추가 또는 편집 섹션을 참조하세요.

IP 주소 호환성 테스트

Linux 또는 Unix 인스턴스 또는 macOS X 플랫폼을 사용하는 경우 IPv6를 통한 듀얼 스택 엔드포인트 액세스를 테스트할 수 있습니다. 예를 들어, IPv6를 통한 Amazon S3 on Outposts 엔드포인트 연결을 테스트하려면 다음 dig 명령을 사용합니다.

dig s3-outposts.us-west-2.api.aws AAAA +short

IPv6 네트워크를 통한 듀얼 스택 엔드포인트가 제대로 설정된 경우 dig 명령은 연결된 IPv6 주소를 반환합니다. 예:

dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

S3 on Outposts는 AWS PrivateLink 서비스 및 엔드포인트에 IPv6 프로토콜을 지원합니다. AWS PrivateLink에서 IPv6 프로토콜을 지원므로 온프레미스 또는 기타 프라이빗 연결에서 IPv6 네트워크를 통해 VPC 내의 서비스 엔드포인트에 연결할 수 있습니다. 또한 S3 on Outposts용 AWS PrivateLink의 IPv6 지원을 통해 AWS PrivateLink를 듀얼 스택 엔드포인트와 통합할 수 있습니다. AWS PrivateLink용 IPv6 활성화 방법에 대한 단계는 Expedite your IPv6 adoption with AWS PrivateLink services and endpoints를 참조하세요.

참고

지원되는 IP 주소 유형을 IPv4에서 IPv6로 업데이트하려면 AWS PrivateLink 사용 설명서의 지원되는 IP 주소 유형 수정을 참조하세요.

AWS PrivateLink를 IPv6와 함께 사용하는 경우 IPv6 또는 듀얼 스택 VPC 인터페이스 엔드포인트를 생성해야 합니다. AWS Management Console을 사용하여 VPC 엔드포인트를 생성하는 방법에 대한 일반적인 단계는 AWS PrivateLink 사용 안내서의 인터페이스 VPC 엔드포인트를 사용하여 AWS 서비스 액세스를 참조하세요.

AWS Management Console

다음 절차에 따라 S3 on Outposts에 연결하는 인터페이스 VPC 엔드포인트를 생성합니다.

  1. AWS Management Console에 로그인하고 https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. 탐색 창에서 엔드포인트를 선택합니다.

  3. Create endpoint(엔드포인트 생성)을 선택합니다.

  4. 서비스 범주(Service category)에서 AWS 서비스를 선택합니다.

  5. 서비스 이름의 경우 S3 on Outposts 서비스(com.amazonaws.us-east-1.s3-outposts)를 선택합니다.

  6. VPC에서 S3 on Outposts에 액세스하는 데 사용할 VPC를 선택합니다.

  7. 서브넷의 경우 S3 on Outposts 액세스를 시작할 서브넷을 가용 영역당 하나만 선택합니다. 동일한 가용 영역에서 여러 서브넷을 선택할 수 없습니다. 선택한 각 서브넷에서 새 엔드포인트 네트워크 인터페이스가 생성됩니다. 기본적으로 서브넷 IP 주소 범위의 IP 주소를 선택하고 엔드포인트 네트워크 인터페이스에 할당합니다. 엔드포인트 네트워크 인터페이스에 대한 IP 주소를 지정하려면 IP 주소 지정을 선택하고 서브넷 주소 범위의 IPv6 주소를 입력합니다.

  8. IP 주소 유형의 경우 듀얼 스택을 선택합니다. 엔드포인트 네트워크 인터페이스에 IPv4 및 IPv6 주소를 모두 할당합니다. 이 옵션은 선택한 모든 서브넷에 IPv4 및 IPv6 주소 범위가 모두 있는 경우에만 지원됩니다.

  9. 보안 그룹의 경우 VPC 엔드포인트의 엔드포인트 네트워크 인터페이스에 연결할 보안 그룹을 선택합니다. 기본적으로 기본 보안 그룹이 VPC에 연결됩니다.

  10. 정책에서 모든 액세스를 선택하여 VPC 엔드포인트를 통한 모든 리소스에 대한 모든 보안 주체의 모든 작업을 허용합니다. 또는 사용자 지정을 선택하여 VPC 엔드포인트를 통해 리소스에 대한 작업을 수행하기 위해 보안 주체에 필요한 권한을 제어하는 VPC 엔드포인트 정책을 연결합니다. 이 옵션은 서비스에서 VPC 엔드포인트 정책을 지원하는 경우에만 사용할 수 있습니다. 자세한 내용은 엔드포인트 정책을 참조하세요.

  11. (선택 사항) 태그를 추가하려면 새 태그 추가를 선택하고 태그 키와 태그 값을 입력합니다.

  12. Create endpoint(엔드포인트 생성)을 선택합니다.

예 - S3 on Outposts 버킷 정책

S3 on Outposts가 VPC 엔드포인트와 상호 작용하도록 허용하려면 다음과 같이 S3 on Outposts 정책을 업데이트하면 됩니다.

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
AWS CLI
참고

VPC 엔드포인트에서 IPv6 네트워크를 활성화하려면 S3 on Outposts에 대한 SupportedIpAddressType 필터에 IPv6를 설정해야 합니다.

다음 예제에서는 create-vpc-endpoint 명령을 사용하여 새 듀얼 스택 인터페이스 엔드포인트를 생성합니다.

aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

AWS PrivateLink 서비스 구성에 따라 새로 생성된 엔드포인트 연결은 VPC 엔드포인트 서비스 공급자가 수락해야 사용할 수 있습니다. 자세한 내용은 AWS PrivateLink 사용 설명서의 엔드포인트 연결 요청 수락 및 거부를 참조하세요.

다음 예제에서는 modify-vpc-endpoint 명령을 사용하여 IPv 전용 VPC 엔드포인트를 듀얼 스택 엔드포인트로 업데이트합니다. 듀얼 스택 엔드포인트는 IPv4 및 IPv6 네트워크 모두에 대한 액세스를 허용합니다.

aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

AWS PrivateLink용 IPv6 네트워크 활성화 방법에 대한 자세한 내용은 Expedite your IPv6 adoption with AWS PrivateLink services and endpoints를 참조하세요.