Fazer solicitações ao S3 no Outposts por IPv6
O Amazon S3 no Outposts e os endpoints de pilha dupla do S3 no Outposts oferecem suporte a solicitações para buckets do S3 no Outposts com os protocolos IPv6 e IPv4. Com o suporte a IPv6 para o S3 no Outposts, você pode acessar e operar os buckets e os recursos do ambiente de gerenciamento por meio das APIs do S3 no Outposts em redes IPv6.
nota
As ações em objetos do S3 no Outposts (como PutObject
ou GetObject
) não são compatíveis em redes IPv6.
Não há nenhum custo adicional para acessar o S3 no Outposts em redes IPv6. Para obter mais informações sobre o S3 no Outposts, consulte Preços de racks do AWS Outposts
Tópicos
Conceitos básicos do IPv6
Para fazer uma solicitação a um bucket do S3 no Outposts por IPv6, é necessário usar um endpoint de pilha dupla. A próxima seção descreve como fazer solicitações por meio do IPv6 usando endpoints de pilha dupla.
Veja a seguir algumas considerações importantes antes de tentar acessar um bucket do S3 no Outposts por IPv6:
-
O cliente e a rede que estão acessando o bucket devem ter permissão para usar o IPv6.
-
As solicitações de estilo hospedado virtual e de estilo de caminho são compatíveis para acessarem o IPv6. Para ter mais informações, consulte Usar endpoints de pilha dupla do S3 no Outposts.
-
Se você usar a filtragem de endereços IP de origem nas políticas de usuário do AWS Identity and Access Management (IAM) ou de bucket do S3 no Outposts, será necessário atualizar as políticas para incluir intervalos de endereços IPv6.
nota
Esse requisito se aplica somente às operações de bucket do S3 no Outposts e aos recursos do ambiente de gerenciamento em redes IPv6. As ações em objetos do Amazon S3 no Outposts não são compatíveis em redes IPv6.
-
Ao usar o IPv6, os arquivos de log de acesso ao servidor fornecem endereços IP em um formato do IPv6. É necessário atualizar as ferramentas, os scripts e o software existentes que você usa para analisar os arquivos de log do S3 no Outposts, para que eles possam analisar os endereços IP remotos formatados para IPv6. As ferramentas, os scripts e o software atualizados analisarão corretamente os endereços IP remotos formatados para IPv6.
Usar endpoints de pilha dupla para fazer solicitações em uma rede IPv6
Para fazer solicitações com chamadas de API do S3 no Outposts por IPv6, você pode usar endpoints de pilha dupla pela AWS CLI ou pelo AWS SDK. As operações de API de controle do Amazon S3 e as operações de API do S3 no Outposts funcionam da mesma forma, independentemente de você estar acessando o S3 no Outposts por meio de um protocolo IPv6 ou IPv4. No entanto, lembre-se de que as ações em objetos do S3 no Outposts (como PutObject
ou GetObject
) não são compatíveis em redes IPv6.
Ao usar a AWS Command Line Interface (AWS CLI) e os AWS SDKs, você pode utilizar um parâmetro ou um sinalizador para mudar para um endpoint de pilha dupla. Você também pode especificar o endpoint de pilha dupla diretamente como uma substituição do endpoint do S3 no Outposts no arquivo de configuração.
Você pode usar um endpoint de pilha dupla para acessar um bucket do S3 no Outposts por IPv6 de qualquer um dos seguintes:
-
A AWS CLI, consulte Usar endpoints de pilha dupla da AWS CLI.
-
Os AWS SDKs, consulte Usar endpoints de pilha dupla do S3 no Outposts com os AWS SDKs.
Como usar endereços do IPv6 em políticas do IAM
Antes de tentar acessar um bucket do S3 no Outposts usando um protocolo IPv6, garanta que os usuários do IAM ou as políticas de bucket do S3 no Outposts usadas para filtragem de endereços IP estejam atualizadas para incluir intervalos de endereços IPv6. Se as políticas de filtragem de endereços IP não estiverem atualizadas para lidar com endereços IPv6, você poderá perder o acesso a um bucket do S3 no Outposts ao tentar usar o protocolo IPv6.
As políticas do IAM que filtram endereços IP usam operadores de condição de endereço IP. A política de bucket do S3 no Outposts a seguir identifica o intervalo 54.240.143.* de endereços IPv4 permitidos usando operadores de condição de endereço IP. Todos os endereços IP fora desse intervalo terão o acesso ao bucket do S3 no Outposts negado (DOC-EXAMPLE-BUCKET
). Como todos os endereços do IPv6 estão fora do intervalo permitido, essa política impede que os endereços do IPv6 possam acessar o DOC-EXAMPLE-BUCKET
.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "s3outposts:*", "Resource": "arn:aws:s3-outposts:
region
:111122223333
:outpost/OUTPOSTS-ID
/bucket/DOC-EXAMPLE-BUCKET
/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"} } } ] }
Você pode modificar o elemento Condition
da política de bucket do S3 no Outposts para permitir intervalos de endereços IPv4 (54.240.143.0/24
) e IPv6 (2001:DB8:1234:5678::/64
), conforme mostrado no exemplo a seguir. Você pode usar o mesmo tipo de bloqueio de Condition
mostrado no exemplo para atualizar as políticas de usuário e de bucket do IAM.
"Condition": { "IpAddress": { "aws:SourceIp": [ "54.240.143.0/24", "2001:DB8:1234:5678::/64" ] } }
Antes de usar o IPv6, você deve atualizar todas as políticas de usuário e de bucket do IAM que usam a filtragem de endereços IP para permitir os intervalos de endereços do IPv6. Recomendamos que você atualize as políticas do IAM com os intervalos de endereços do IPv6 de sua organização além dos intervalos de endereços do IPv4 existentes. Para obter um exemplo de uma política de bucket que permite acesso por meio do IPv6 e do IPv4, consulte Restringir o acesso a endereços IP específicos.
Você pode revisar suas políticas de usuário do IAM usando o console do IAM em https://console.aws.amazon.com/iam/
Testar a compatibilidade com endereços IP
Se você estiver usando uma instância do Linux ou do Unix ou a plataforma macOS X, poderá testar o acesso a um endpoint de pilha dupla por IPv6. Por exemplo, para testar a conexão com endpoints do Amazon S3 no Outposts via IPv6, use o comando dig
:
dig s3-outposts.us-west-2.api.aws AAAA +short
Se o endpoint de pilha dupla em uma rede IPv6 estiver configurado corretamente, o comando dig
retornará os endereços IPv6 conectados. Por exemplo:
dig s3-outposts.us-west-2.api.aws AAAA +short 2600:1f14:2588:4800:b3a9:1460:159f:ebce 2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76 2600:1f14:2588:4801:d802:8ccf:4e04:817
Usar IPv6 com o AWS PrivateLink
O S3 no Outposts é compatível com o protocolo IPv6 para serviços e endpoints do AWS PrivateLink. Com o suporte ao AWS PrivateLink para o protocolo IPv6, você pode se conectar aos endpoints de serviço em sua VPC por meio de redes IPv6, tanto de conexões on-premises quanto de outras conexões privadas. O suporte a IPv6 para o AWS PrivateLink para S3 no Outposts também permite a integração do AWS PrivateLink com endpoints de pilha dupla. Para conferir etapas sobre como habilitar o IPv6 para o AWS PrivateLink, consulte Expedite your IPv6 adoption with AWS PrivateLink services and endpoints
nota
Para atualizar o tipo de endereço IP compatível de IPv4 para IPv6, consulte Modify the supported IP address type no Guia do usuário do AWS PrivateLink.
Usar IPv6 com o AWS PrivateLink
Se você estiver usando o AWS PrivateLink com IPv6, deverá criar um endpoint de interface da VPC IPv6 ou de pilha dupla. Para conferir etapas gerais sobre como criar um endpoint da VPC usando o AWS Management Console, consulte Access an AWS service using an interface VPC endpoint no Guia do usuário do AWS PrivateLink.