Esecuzione di richieste a S3 su Outposts su IPv6 - Amazon S3 su Outposts
Nozioni di base su IPv6Esecuzione di richieste mediante gli endpoint dual-stackUtilizzo degli indirizzi IPv6 nelle policy IAMTest di compatibilità degli indirizzi IPUtilizzo di IPv6 con AWS PrivateLink

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esecuzione di richieste a S3 su Outposts su IPv6

Gli endpoint dual-stack Amazon S3 su Outposts e S3 su Outposts supportano le richieste ai bucket S3 su Outposts utilizzando il protocollo IPv6 o IPv4. Con il supporto IPv6 per S3 su Outposts, è possibile accedere e gestire i bucket e le risorse del piano di controllo (control-plane) tramite le API S3 su Outposts su reti IPv6.

Nota

Le operazioni su oggetti di S3 su Outposts (come PutObject o GetObject) non sono supportate sulle reti IPv6.

Non sono previsti costi aggiuntivi per l'accesso a S3 su Outposts su reti IPv6. Per ulteriori informazioni su S3 su Outposts, vedere Prezzi di S3 su Outposts.

Argomenti

Nozioni di base su IPv6

Per effettuare una richiesta a un bucket S3 su Outposts su IPv6, è necessario utilizzare un endpoint dual-stack. Nella sezione seguente viene descritto come effettuare richieste su IPv6 utilizzando gli endpoint dual-stack.

Di seguito sono descritti alcuni punti da prendere in considerazione prima di provare ad accedere a un bucket S3 su Outposts su IPv6:

  • Il client e la rete che eseguono l'accesso al bucket devono essere abilitati a utilizzare IPv6.

  • Per l'accesso a IPv6 sono supportate sia le richieste in stile percorso sia quelle in stile hosting virtuale. Per ulteriori informazioni, consultare Utilizzo degli endpoint dual-stack S3 su Outposts.

  • Se si utilizza il filtro degli indirizzi IP di origine nelle policy dell'utente AWS Identity and Access Management (IAM) o del bucket S3 su Outposts, è necessario aggiornare le policy in modo da includere gli intervalli di indirizzi IPv6.

    Nota

    Questo requisito si applica solo alle operazioni dei bucket S3 su Outposts e alle risorse del piano di controllo (control-plane) su reti IPv6. Le operazioni su oggetti di S3 su Outposts non sono supportate sulle reti IPv6.

  • Quando si utilizza IPv6, i file di log degli accessi al server generano indirizzi IP in un formato IPv6. È necessario aggiornare il software, gli script e gli strumenti esistenti utilizzati per analizzare i file di log di S3 su Outposts affinché possano analizzare gli indirizzi IP remoti in formato IPv6. Il software, gli script e gli strumenti aggiornati analizzeranno quindi correttamente gli indirizzi IP remoti in formato IPv6.

Utilizzo di endpoint dual-stack per effettuare richieste su una rete IPv6

Per effettuare richieste con chiamate API di S3 su Outposts su IPv6, è possibile utilizzare gli endpoint dual-stack tramite AWS CLI o AWS SDK. Le operazioni API di controllo Amazon S3 e le operazioni API S3 su Outposts funzionano allo stesso modo indipendentemente dal fatto che si acceda a S3 su Outposts tramite un protocollo IPv6 o un protocollo IPv4. Tuttavia, occorre tenere presente che le operazioni su oggetti di S3 su Outposts (come PutObject o GetObject) non sono supportate sulle reti IPv6.

Quando si utilizzano AWS Command Line Interface (AWS CLI) e gli SDK AWS, è possibile servirsi di un parametro o flag per passare a un endpoint dual-stack. È inoltre possibile specificare l'endpoint dual-stack direttamente come sostituzione dell'endpoint S3 su Outposts nel file di configurazione.

È possibile utilizzare un endpoint dual-stack per accedere a un bucket S3 su Outposts su IPv6 da uno qualsiasi dei seguenti elementi:

Utilizzo degli indirizzi IPv6 nelle policy IAM

Prima di tentare di accedere a un bucket S3 su Outposts tramite un protocollo IPv6, assicurarsi che le policy degli utenti IAM o del bucket S3 su Outposts utilizzate per il filtro degli indirizzi IP siano aggiornate per includere gli intervalli di indirizzi IPv6. Se le policy di filtro degli indirizzi IP non vengono aggiornate per gestire gli indirizzi IPv6, è possibile perdere l'accesso a un bucket S3 su Outposts mentre si prova a utilizzare il protocollo IPv6.

Le policy IAM che filtrano gli indirizzi IP utilizzano gli operatori di condizione degli indirizzi IP. La seguente policy del bucket S3 su Outposts identifica l'intervallo IP 54.240.143.* degli indirizzi IPv4 consentiti tramite gli operatori di condizione degli indirizzi IP. A qualsiasi indirizzo IP non incluso in questo intervallo verrà negato l'accesso al bucket S3 su Outposts (DOC-EXAMPLE-BUCKET). Poiché tutti gli indirizzi IPv6 non sono inclusi nell'intervallo consentito, questa policy impedisce agli indirizzi IPv6 di accedere a DOC-EXAMPLE-BUCKET. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3outposts:*",
      "Resource": "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

È possibile modificare l'elemento Condition della policy del bucket S3 su Outposts per consentire entrambi gli intervalli di indirizzi IPv4 (54.240.143.0/24) e IPv6 (2001:DB8:1234:5678::/64), come mostrato nell'esempio che segue. È possibile utilizzare lo stesso tipo di blocco Condition mostrato nell'esempio per aggiornare sia le policy del bucket sia le policy utente IAM.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Prima di utilizzare IPv6, è necessario aggiornare tutte le policy del bucket e utente IAM pertinenti che utilizzano il filtro degli indirizzi IP per consentire gli intervalli di indirizzi IPv6. Ti consigliamo di aggiornare le policy IAM con gli intervalli di indirizzi IPv6 dell'organizzazione oltre agli intervalli di indirizzi IPv4 esistenti. Per un esempio di una policy del bucket che consenta l'accesso sia su IPv6 sia su IPv4, consulta Limitare l'accesso a indirizzi IP specifici.

È possibile esaminare le policy utente IAM tramite la console IAM all'indirizzo https://console.aws.amazon.com/iam/. Per ulteriori informazioni su IAM, consulta la Guida per l'utente di IAM. Per informazioni sulla modifica delle policy dei bucket S3 su Outposts, consulta Aggiunta o modifica di una policy di un bucket Amazon S3 su Outposts.

Test di compatibilità degli indirizzi IP

Se si utilizza un'istanza Linux o Unix o una piattaforma macOS X, è possibile testare l'accesso a un endpoint dual-stack su IPv6. Ad esempio, per testare la connessione agli endpoint Amazon S3 su Outposts su IPv6, usare il comando dig:

dig s3-outposts.us-west-2.api.aws AAAA +short

Se l'endpoint dual-stack su una rete IPv6 è configurato correttamente, il comando dig restituisce gli indirizzi IPv6 connessi. Per esempio:

dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

S3 su Outposts supporta il protocollo IPv6 per i servizi e gli endpoint di AWS PrivateLink. Con il supporto di AWS PrivateLink per il protocollo IPv6, è possibile connetterti agli endpoint del servizio all'interno del VPC su reti IPv6 sia da connessioni on-premises che da altre connessioni private. Il supporto IPv6 per AWS PrivateLink per S3 su Outposts consente inoltre di integrare AWS PrivateLink con endpoint dual-stack. Per istruzioni su come abilitare IPv6 per AWS PrivateLink, consulta Accelerare l'adozione di IPv6 con servizi ed endpoint di AWS PrivateLink.

Nota

Per aggiornare il tipo di indirizzo IP supportato da IPv4 a IPv6, consulta Modificare il tipo di indirizzo IP supportato nella Guida per l'utente di AWS PrivateLink.

Se si utilizza AWS PrivateLink con IPv6, è necessario creare un endpoint di interfaccia IPv6 o VPC dual-stack. Per le istruzioni generali su come creare un endpoint VPC utilizzando la AWS Management Console, consulta Accedere a un servizio AWS utilizzando un endpoint VPC di interfaccia nella Guida per l'utente di AWS PrivateLink.

AWS Management Console

Utilizzare la procedura seguente per creare un endpoint VPC di interfaccia in grado di connettersi a S3 su Outposts.

  1. Accedi alla AWS Management Console e apri la console VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Nel pannello di navigazione, seleziona Endpoints (Endpoint).

  3. Seleziona Crea endpoint.

  4. Per Service category (Categoria servizio), scegli AWS services.

  5. Per Nome servizio, scegli il servizio S3 su Outposts (com.amazonaws.us-east-1.s3-outposts).

  6. Per VPC, scegli il VPC da cui si accederà a S3 su Outposts.

  7. Per Sottoreti, scegli una sottorete per ogni zona di disponibilità dalla quale si accederà a S3 su Outposts. Non è possibile selezionare più sottoreti dalla stessa zona di disponibilità. Per ogni sottorete selezionata, viene creata una nuova interfaccia di rete dell'endpoint. Per impostazione predefinita, alle interfacce di rete dell'endpoint vengono assegnati gli indirizzi IP degli intervalli di indirizzi IP della sottorete. Per designare un indirizzo IP per un'interfaccia di rete dell'endpoint, scegli Designazione di indirizzi IP e inserisci un indirizzo IPv6 dall'intervallo di indirizzi di sottorete.

  8. Per Tipo di indirizzo IP, scegli Dualstack. Assegnare sia indirizzi IPv4 che IPv6 alle interfacce di rete dell'endpoint. Questa opzione è supportata solo se tutte le sottoreti selezionate dispongono di intervalli di indirizzi IPv4 e IPv6.

  9. Per Gruppi di sicurezza, scegli i gruppi di sicurezza da associare alle interfacce di rete dell'endpoint per l'endpoint VPC. Per impostazione predefinita, il gruppo di sicurezza predefinito viene associato al VPC.

  10. Per Policy, scegli Accesso completo per consentire a tutti i principali di eseguire tutte le operazioni su tutte le risorse dell'endpoint VPC. Altrimenti, scegli Personalizzato, per allegare una policy dell'endpoint VPC che controlla le autorizzazioni che i principali hanno per eseguire azioni sulle risorse attraverso l'endpoint. Questa opzione è disponibile solo se il servizio supporta le policy dell'endpoint VPC. Per ulteriori informazioni, consulta Policy di endpoint.

  11. (Facoltativo) Per aggiungere un tag, scegliere Add new tag (Aggiungi nuovo tag) e immettere la chiave e il valore del tag.

  12. Seleziona Crea endpoint.

Esempio - Policy di bucket S3 su Outposts

Per consentire a S3 su Outposts di interagire con gli endpoint VPC, è possibile aggiornare la policy S3 su Outposts in questo modo:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
AWS CLI
Nota

Per abilitare la rete IPv6 sull'endpoint VPC, è necessario impostare IPv6 per il filtro SupportedIpAddressType per S3 su Outposts.

L'esempio seguente utilizza il comando create-vpc-endpoint per creare un nuovo endpoint di interfaccia dual-stack.

aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

A seconda della configurazione del servizio AWS PrivateLink, le connessioni endpoint appena create potrebbero dover essere accettate dal fornitore del servizio endpoint VPC prima di poter essere utilizzate. Per ulteriori informazioni, consulta Accettare e rifiutare le richieste di connessione all'endpoint nella Guida per l'utente di AWS PrivateLink.

L'esempio seguente utilizza il comando modify-vpc-endpoint per aggiornare l'endpoint VPC solo IPv in un endpoint dual-stack. L'endpoint dual-stack consente l'accesso a entrambe le reti IPv4 e IPv6.

aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Per ulteriori informazioni su come abilitare la rete IPv6 per AWS PrivateLink, consulta Accelerare l'adozione di IPv6 con servizi ed endpoint di AWS PrivateLink.