Fazer solicitações ao S3 no Outposts por IPv6 - Amazon S3 on Outposts

Fazer solicitações ao S3 no Outposts por IPv6

O Amazon S3 no Outposts e os endpoints de pilha dupla do S3 no Outposts oferecem suporte a solicitações para buckets do S3 no Outposts com os protocolos IPv6 e IPv4. Com o suporte a IPv6 para o S3 no Outposts, você pode acessar e operar os buckets e os recursos do ambiente de gerenciamento por meio das APIs do S3 no Outposts em redes IPv6.

nota

As ações em objetos do S3 no Outposts (como PutObject ou GetObject) não são compatíveis em redes IPv6.

Não há nenhum custo adicional para acessar o S3 no Outposts em redes IPv6. Para obter mais informações sobre o S3 no Outposts, consulte Preços de racks do AWS Outposts.

Conceitos básicos do IPv6

Para fazer uma solicitação a um bucket do S3 no Outposts por IPv6, é necessário usar um endpoint de pilha dupla. A próxima seção descreve como fazer solicitações por meio do IPv6 usando endpoints de pilha dupla.

Veja a seguir algumas considerações importantes antes de tentar acessar um bucket do S3 no Outposts por IPv6:

  • O cliente e a rede que estão acessando o bucket devem ter permissão para usar o IPv6.

  • As solicitações de estilo hospedado virtual e de estilo de caminho são compatíveis para acessarem o IPv6. Para ter mais informações, consulte Usar endpoints de pilha dupla do S3 no Outposts.

  • Se você usar a filtragem de endereços IP de origem nas políticas de usuário do AWS Identity and Access Management (IAM) ou de bucket do S3 no Outposts, será necessário atualizar as políticas para incluir intervalos de endereços IPv6.

    nota

    Esse requisito se aplica somente às operações de bucket do S3 no Outposts e aos recursos do ambiente de gerenciamento em redes IPv6. As ações em objetos do Amazon S3 no Outposts não são compatíveis em redes IPv6.

  • Ao usar o IPv6, os arquivos de log de acesso ao servidor fornecem endereços IP em um formato do IPv6. É necessário atualizar as ferramentas, os scripts e o software existentes que você usa para analisar os arquivos de log do S3 no Outposts, para que eles possam analisar os endereços IP remotos formatados para IPv6. As ferramentas, os scripts e o software atualizados analisarão corretamente os endereços IP remotos formatados para IPv6.

Usar endpoints de pilha dupla para fazer solicitações em uma rede IPv6

Para fazer solicitações com chamadas de API do S3 no Outposts por IPv6, você pode usar endpoints de pilha dupla pela AWS CLI ou pelo AWS SDK. As operações de API de controle do Amazon S3 e as operações de API do S3 no Outposts funcionam da mesma forma, independentemente de você estar acessando o S3 no Outposts por meio de um protocolo IPv6 ou IPv4. No entanto, lembre-se de que as ações em objetos do S3 no Outposts (como PutObject ou GetObject) não são compatíveis em redes IPv6.

Ao usar a AWS Command Line Interface (AWS CLI) e os AWS SDKs, você pode utilizar um parâmetro ou um sinalizador para mudar para um endpoint de pilha dupla. Você também pode especificar o endpoint de pilha dupla diretamente como uma substituição do endpoint do S3 no Outposts no arquivo de configuração.

Você pode usar um endpoint de pilha dupla para acessar um bucket do S3 no Outposts por IPv6 de qualquer um dos seguintes:

Como usar endereços do IPv6 em políticas do IAM

Antes de tentar acessar um bucket do S3 no Outposts usando um protocolo IPv6, garanta que os usuários do IAM ou as políticas de bucket do S3 no Outposts usadas para filtragem de endereços IP estejam atualizadas para incluir intervalos de endereços IPv6. Se as políticas de filtragem de endereços IP não estiverem atualizadas para lidar com endereços IPv6, você poderá perder o acesso a um bucket do S3 no Outposts ao tentar usar o protocolo IPv6.

As políticas do IAM que filtram endereços IP usam operadores de condição de endereço IP. A política de bucket do S3 no Outposts a seguir identifica o intervalo 54.240.143.* de endereços IPv4 permitidos usando operadores de condição de endereço IP. Todos os endereços IP fora desse intervalo terão o acesso ao bucket do S3 no Outposts negado (DOC-EXAMPLE-BUCKET). Como todos os endereços do IPv6 estão fora do intervalo permitido, essa política impede que os endereços do IPv6 possam acessar o DOC-EXAMPLE-BUCKET.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"} } } ] }

Você pode modificar o elemento Condition da política de bucket do S3 no Outposts para permitir intervalos de endereços IPv4 (54.240.143.0/24) e IPv6 (2001:DB8:1234:5678::/64), conforme mostrado no exemplo a seguir. Você pode usar o mesmo tipo de bloqueio de Condition mostrado no exemplo para atualizar as políticas de usuário e de bucket do IAM.

"Condition": { "IpAddress": { "aws:SourceIp": [ "54.240.143.0/24", "2001:DB8:1234:5678::/64" ] } }

Antes de usar o IPv6, você deve atualizar todas as políticas de usuário e de bucket do IAM que usam a filtragem de endereços IP para permitir os intervalos de endereços do IPv6. Recomendamos que você atualize as políticas do IAM com os intervalos de endereços do IPv6 de sua organização além dos intervalos de endereços do IPv4 existentes. Para obter um exemplo de uma política de bucket que permite acesso por meio do IPv6 e do IPv4, consulte Restringir o acesso a endereços IP específicos.

Você pode revisar suas políticas de usuário do IAM usando o console do IAM em https://console.aws.amazon.com/iam/. Para obter mais informações sobre o IAM, consulte o Manual do usuário do IAM. Para obter informações sobre como editar políticas de bucket do S3 no Outposts, consulte Adicionar ou editar uma política para um bucket do Amazon S3 on Outposts.

Testar a compatibilidade com endereços IP

Se você estiver usando uma instância do Linux ou do Unix ou a plataforma macOS X, poderá testar o acesso a um endpoint de pilha dupla por IPv6. Por exemplo, para testar a conexão com endpoints do Amazon S3 no Outposts via IPv6, use o comando dig:

dig s3-outposts.us-west-2.api.aws AAAA +short

Se o endpoint de pilha dupla em uma rede IPv6 estiver configurado corretamente, o comando dig retornará os endereços IPv6 conectados. Por exemplo:

dig s3-outposts.us-west-2.api.aws AAAA +short 2600:1f14:2588:4800:b3a9:1460:159f:ebce 2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76 2600:1f14:2588:4801:d802:8ccf:4e04:817

O S3 no Outposts é compatível com o protocolo IPv6 para serviços e endpoints do AWS PrivateLink. Com o suporte ao AWS PrivateLink para o protocolo IPv6, você pode se conectar aos endpoints de serviço em sua VPC por meio de redes IPv6, tanto de conexões on-premises quanto de outras conexões privadas. O suporte a IPv6 para o AWS PrivateLink para S3 no Outposts também permite a integração do AWS PrivateLink com endpoints de pilha dupla. Para conferir etapas sobre como habilitar o IPv6 para o AWS PrivateLink, consulte Expedite your IPv6 adoption with AWS PrivateLink services and endpoints.

nota

Para atualizar o tipo de endereço IP compatível de IPv4 para IPv6, consulte Modify the supported IP address type no Guia do usuário do AWS PrivateLink.

Se você estiver usando o AWS PrivateLink com IPv6, deverá criar um endpoint de interface da VPC IPv6 ou de pilha dupla. Para conferir etapas gerais sobre como criar um endpoint da VPC usando o AWS Management Console, consulte Access an AWS service using an interface VPC endpoint no Guia do usuário do AWS PrivateLink.

AWS Management Console

Use o procedimento a seguir para criar um endpoint de interface da VPC que se conecta ao S3 no Outposts.

  1. Faça login no AWS Management Console e abra o console da VPC em https://console.aws.amazon.com/vpc/.

  2. No painel de navegação, escolha Endpoints.

  3. Escolha Criar endpoint.

  4. Em Categoria do serviço, escolha Serviços do AWS.

  5. Em Nome do serviço, escolha o serviço S3 no Outposts (com.amazonaws.us-east-1.s3-outposts).

  6. Em VPC, escolha a VPC de onde você acessará o S3 no Outposts.

  7. Em Sub-redes, selecione uma sub-rede por zona de disponibilidade da qual você acessará o S3 no Outposts. Não é possível selecionar várias sub-redes em uma mesma zona de disponibilidade. Será criada uma interface de rede do endpoint para cada sub-rede selecionada. Por padrão, os endereços IP dos intervalos de endereços IP da sub-rede são atribuídos às interfaces de rede do endpoint. Para designar um endereço IP para uma interface de rede do endpoint, selecione Designar endereços IP e insira um endereço IPv6 do intervalo de endereços da sub-rede.

  8. Em Tipo de endereço IP, escolha Dualstack. Atribua endereços IPv4 e IPv6 às interfaces de rede do endpoint. Só haverá suporte para esta opção se todas as sub-redes selecionadas tiverem intervalos de endereços IPv4 e IPv6.

  9. Em Grupos de segurança, selecione os grupos de segurança que deseja associar às interfaces de rede do endpoint para o endpoint da VPC. Por padrão, o grupo de segurança padrão é associado à VPC.

  10. Em Política, escolha Acesso total para permitir todas as operações de todas as entidades principais em todos os recursos no endpoint da VPC. Como alternativa, escolha Personalizado para anexar uma política de endpoint da VPC que controle as permissões das entidades principais para realizar ações em recursos pelo endpoint da VPC. Essa opção ficará disponível somente se o serviço for compatível com as políticas de endpoint da VPC. Para obter mais informações, consulte Endpoint policies.

  11. (Opcional) Para adicionar uma tag, escolha Adicionar nova tag e insira a chave e o valor da tag.

  12. Escolha Criar endpoint.

exemplo : política de bucket do S3 no Outposts

Para permitir que o S3 no Outposts interaja com os endpoints da VPC, você pode atualizar sua política do S3 no Outposts da seguinte forma:

{ "Statement": [ { "Effect": "Allow", "Action": "s3-outposts:*", "Resource": "*", "Principal": "*" } ] }
AWS CLI
nota

Para habilitar a rede IPv6 em um endpoint da VPC, é necessário definir IPv6 para o filtro SupportedIpAddressType para o S3 no Outposts.

O exemplo a seguir usa o comando create-vpc-endpoint para criar um endpoint de interface de pilha dupla.

aws ec2 create-vpc-endpoint \ --vpc-id vpc-12345678 \ --vpc-endpoint-type Interface \ --service-name com.amazonaws.us-east-1.s3-outposts \ --subnet-id subnet-12345678 \ --security-group-id sg-12345678 \ --ip-address-type dualstack \ --dns-options "DnsRecordIpType=dualstack"

Dependendo da configuração do serviço AWS PrivateLink, as conexões de endpoint recém-criadas talvez precisem ser aceitas pelo provedor de serviços do endpoint da VPC antes de serem usadas. Para obter mais informações, consulte Aceitar ou rejeitar solicitações de conexão no Guia do usuário do AWS PrivateLink.

O exemplo a seguir usa o comando modify-vpc-endpoint para atualizar o endpoint da VPC somente IPv para um endpoint de pilha dupla. O endpoint de pilha dupla permite acesso às redes IPv4 e IPv6.

aws ec2 modify-vpc-endpoint \ --vpc-endpoint-id vpce-12345678 \ --add-subnet-ids subnet-12345678 \ --remove-subnet-ids subnet-12345678 \ --ip-address-type dualstack \ --dns-options "DnsRecordIpType=dualstack"

Para obter mais informações sobre como habilitar a rede IPv6 para o AWS PrivateLink, consulte Expedite your IPv6 adoption with AWS PrivateLink services and endpoints.