# Pré-requisitos para criar regras de replicação
**Topics**
+ [Conectar suas sub-redes do Outpost de origem e destino](#outposts-rep-preone)
+ [Criar uma função do IAM](#outposts-rep-pretwo)
## Conectar suas sub-redes do Outpost de origem e destino
Para que seu tráfego de replicação vá do Outpost de origem para o Outpost de destino pelo gateway local, você deve adicionar uma nova rota para configurar a rede. É necessário conectar os intervalos de rede de Encaminhamento Entre Domínios Sem Classificação (CIDR) de seus pontos de acesso. Para cada par de pontos de acesso, você precisa configurar essa conexão apenas uma vez.
Algumas etapas para configurar a conexão são diferentes, dependendo do tipo de acesso de seus endpoints do Outposts associados aos seus pontos de acesso. O tipo de acesso para endpoints é **privado** (roteamento direto de nuvem virtual privada [VPC] para AWS Outposts) ou **IP de propriedade do cliente** (um grupo de endereços IP de propriedade do cliente [grupo de CoIP] em sua rede on-premises).
### Etapa 1: Encontrar o intervalo CIDR de seu endpoint do Outposts de origem
**Como encontrar o intervalo CIDR de seu endpoint de origem que está associado ao seu ponto de acesso de origem**
1. Faça login no Console de gerenciamento da AWS e abra o console do Amazon S3 em [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. No painel de navegação à esquerda, escolha **Outposts buckets** (Buckets do Outposts).
1. Na lista **Buckets do Outposts**, selecione o bucket de origem desejado para replicação.
1. Selecione a guia **Pontos de acesso do Outposts** e o ponto de acesso do Outposts do bucket de origem para sua regra de replicação.
1. Selecione endpoint do Outposts.
1. Copie o ID da sub-rede para uso na [Etapa 5](#outposts-pre-step5).
1. O método utilizado para encontrar o intervalo CIDR do endpoint do Outposts de origem depende do tipo de acesso de seu endpoint.
Na seção **Visão geral do endpoint do Outposts**, consulte o **Tipo de acesso**.
+ Se o tipo de acesso for **Privado**, copie o valor do **Encaminhamento Entre Domínios sem Classificação (CIDR)** para ser utilizado na [Etapa 6](#outposts-pre-step6).
+ Se o tipo de acesso for **IP de propriedade do cliente**, faça o seguinte:
1. Copie o valor do **Grupo IPv4 de propriedade do cliente** para ser utilizado como ID do grupo de endereços posteriormente.
1. Abra o console do AWS Outposts em [https://console.aws.amazon.com/outposts/](https://console.aws.amazon.com/outposts/home).
1. No painel de navegação, selecione **Tabelas de rotas do gateway local**.
1. Selecione o valor de **ID da tabela de rotas do gateway local** de seu Outpost de origem.
1. No painel de detalhes, selecione a guia **Grupos de CoIP**. Cole o valor de seu ID do grupo de CoIP que você copiou anteriormente na caixa de pesquisa.
1. Para o grupo de CoIP correspondente, copie o valor **CIDRs** correspondente de seu endpoint do Outposts de origem para uso na [Etapa 6](#outposts-pre-step6).
### Etapa 2: Encontrar o ID da sub-rede e o intervalo CIDR de seu endpoint do Outposts de destino
Para encontrar o ID da sub-rede e o intervalo CIDR de seu endpoint de destino associado ao seu ponto de acesso de destino, siga as mesmas subetapas indicadas na [Etapa 1](#outposts-pre-step1) e altere seu endpoint do Outposts de origem para o endpoint do Outposts de destino ao realizar essas subetapas. Copie o valor do ID da sub-rede de seu endpoint do Outposts de destino para uso na [Etapa 6](#outposts-pre-step6). Copie o valor CIDR de seu endpoint do Outposts de destino para uso na [Etapa 5](#outposts-pre-step5).
### Etapa 3: Encontrar o ID do gateway local do seu Outpost de origem
**Como encontrar o ID do gateway local de seu Outpost de origem**
1. Abra o console do AWS Outposts em [https://console.aws.amazon.com/outposts/](https://console.aws.amazon.com/outposts/home).
1. No painel de navegação à esquerda, selecione **Gateways locais**.
1. Na página **Gateways locais**, encontre o ID do Outpost de seu Outpost de origem a ser utilizado para replicação.
1. Copie o valor do ID do gateway local de seu Outpost de origem para uso na [Etapa 5](#outposts-pre-step5).
Para ter mais informações sobre o gateway local, consulte [Gateway local](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html) no *Guia do usuário do AWS Outposts*.
### Etapa 4: Encontrar o ID do gateway local de seu Outpost de destino
Para encontrar o ID do gateway local de seu Outpost de destino, siga as mesmas subetapas indicadas na [Etapa 3](#outposts-pre-step3), exceto para procurar o ID de seu Outpost de destino. Copie o valor do ID do gateway local de seu Outpost de destino para uso na [Etapa 6](#outposts-pre-step6).
### Etapa 5: Configurar a conexão da sub-rede do Outpost de origem com a sub-rede do Outpost de destino
**Como estabelecer conexão da sub-rede do Outpost de origem com a sub-rede do Outpost de destino**
1. Faça login no Console de gerenciamento da AWS e abra o console da VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação à esquerda, escolha **Subnets (Sub-redes)**.
1. Na caixa de pesquisa, insira o ID da sub-rede de seu endpoint do Outposts de origem que você encontrou na [Etapa 1](#outposts-pre-step1). Selecione a sub-rede com o ID de sub-rede correspondente.
1. Para o item de sub-rede correspondente, selecione o valor da **tabela de rotas** dessa sub-rede.
1. Na página com uma tabela de rotas selecionada, selecione **Ações** e, depois, **Editar rotas**.
1. Na página **Editar rotas**, selecione **Editar rota**.
1. Em **Destino**, insira o intervalo CIDR de seu endpoint do Outposts de destino que você encontrou na [Etapa 2](#outposts-pre-step2).
1. Em **Destino**, selecione **Gateway local do Outpost** e insira o ID do gateway local de seu Outpost de origem que você encontrou na [Etapa 3](#outposts-pre-step3).
1. Escolha **Salvar alterações**.
1. O **status** da rota deve ser **ativo**.
### Etapa 6: Configurar a conexão da sub-rede do Outpost de destino com a sub-rede do Outpost de origem
1. Faça login no Console de gerenciamento da AWS e abra o console da VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação à esquerda, escolha **Subnets (Sub-redes)**.
1. Na caixa de pesquisa, insira o ID da sub-rede de seu endpoint do Outposts de destino que você encontrou na [Etapa 2](#outposts-pre-step2). Selecione a sub-rede com o ID de sub-rede correspondente.
1. Para o item de sub-rede correspondente, selecione o valor da **tabela de rotas** dessa sub-rede.
1. Na página com uma tabela de rotas selecionada, selecione **Ações** e, depois, **Editar rotas**.
1. Na página **Editar rotas**, selecione **Editar rota**.
1. Em **Destino**, insira o intervalo CIDR de seu endpoint do Outposts de origem que você encontrou na [Etapa 1](#outposts-pre-step1).
1. Em **Destino**, selecione **Gateway local do Outpost** e insira o ID do gateway local de seu Outpost de destino que você encontrou na [Etapa 4](#outposts-pre-step4).
1. Escolha **Salvar alterações**.
1. O **status** da rota deve ser **ativo**.
Depois de conectar os intervalos de rede CIDR de seus pontos de acesso de origem e destino, você deve criar um perfil do AWS Identity and Access Management (IAM).
## Criar uma função do IAM
Por padrão, todos os recursos do S3 no Outposts: buckets, objetos e sub-recursos relacionados, são privados, e somente o proprietário do recurso pode acessá-lo. O S3 no Outposts precisa de permissões de leitura e replicação de objetos a partir do bucket do Outposts de origem. Você concede essas permissões criando um perfil do IAM *perfil de serviço* e especificando esse perfil na configuração da replicação.
Esta seção explica a política de confiança e a política de permissão mínima necessária. As demonstrações de exemplo fornecem instruções passo a passo para criar uma função do IAM. Para obter mais informações, consulte [Criar regras de replicação no Outposts](replication-between-outposts.md). Para obter mais informações sobre funções do IAM, consulte [Funções do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) no *Manual do usuário do IAM*.
+ O exemplo a seguir mostra uma *política de confiança* na qual você identifica o S3 no Outposts como a entidade principal do serviço que pode assumir a função.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3-outposts.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
+ O exemplo a seguir mostra uma *política de acesso* em que você concede à função permissões para realizar as tarefas de replicação em seu nome. Quando o S3 no Outposts assumir o perfil, ele terá as permissões que você especificar nessa política. Para utilizar essa política, substitua os `{{user input placeholders}}` por suas próprias informações. Substitua-os pelos IDs dos Outposts de origem e destino e pelos nomes dos bucket e nomes de pontos de acesso de seus buckets dos Outposts de origem e destino.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3-outposts:GetObjectVersionForReplication",
"s3-outposts:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3-outposts:{{us-east-1}}:{{123456789012}}:outpost/{{SOURCE-OUTPOST-ID}}/bucket/{{SOURCE-OUTPOSTS-BUCKET}}/object/*",
"arn:aws:s3-outposts:{{us-east-1}}:{{123456789012}}:outpost/{{SOURCE-OUTPOST-ID}}/accesspoint/{{SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT}}/object/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3-outposts:ReplicateObject",
"s3-outposts:ReplicateDelete"
],
"Resource": [
"arn:aws:s3-outposts:{{us-east-1}}:{{123456789012}}:outpost/{{DESTINATION-OUTPOST-ID}}/bucket/{{DESTINATION-OUTPOSTS-BUCKET}}/object/*",
"arn:aws:s3-outposts:{{us-east-1}}:{{123456789012}}:outpost/{{DESTINATION-OUTPOST-ID}}/accesspoint/{{DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT}}/object/*"
]
}
]
}
```
------
A política de acesso concede permissões às seguintes ações:
+ `s3-outposts:GetObjectVersionForReplication`: a permissão para essa ação é concedida em todos os objetos para permitir que o S3 no Outposts obtenha uma versão específica associada a cada objeto.
+ `s3-outposts:GetObjectVersionTagging`: a permissão para essa ação em objetos no bucket do {{`SOURCE-OUTPOSTS-BUCKET`}} (o bucket de origem) permite que o S3 no Outposts leia tags de objeto para replicação. Para obter mais informações, consulte [Adicionar etiquetas aos buckets do S3 on Outposts](S3OutpostsBucketTags.md). Se o S3 no Outposts não tiver essa permissão, ele replicará os objetos, mas não as tags de objeto.
+ `s3-outposts:ReplicateObject` e `s3-outposts:ReplicateDelete`: as permissões para essas ações em todos os objetos no bucket do {{`DESTINATION-OUTPOSTS-BUCKET`}} (o bucket de destino) permitem que o S3 no Outposts replique objetos ou marcadores de exclusão no bucket do Outposts de destino. Para obter mais informações sobre marcadores de exclusão, consulte [Como a exclusão de operações afeta a replicação](S3OutpostsReplication.md#outposts-replication-delete-op).
**nota**
A permissão para a ação `s3-outposts:ReplicateObject` no bucket do {{`DESTINATION-OUTPOSTS-BUCKET`}} (o bucket de destino) também permite a replicação de tags de objeto. Portanto, você não precisa conceder permissão explícita para a ação `s3-outposts:ReplicateTags`.
Para replicação entre contas, o proprietário do bucket do Outposts de destino deve atualizar sua política de bucket para conceder permissão para a ação `s3-outposts:ReplicateObject` no {{`DESTINATION-OUTPOSTS-BUCKET`}}. A ação `s3-outposts:ReplicateObject` permite que o S3 no Outposts replique objetos e tags de objetos no bucket do Outposts de destino.
Para obter uma lista das ações do S3 no Outposts, consulte [Ações definidas pelo S3 no Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html#amazons3onoutposts-actions-as-permissions).
**Importante**
Mais especificamente, a Conta da AWS proprietária da função do IAM precisa ter permissões para as ações que ela concede à função do IAM.
Por exemplo, suponha que o bucket do Outposts de origem contenha objetos pertencentes a outra Conta da AWS. O proprietário dos objetos deverá conceder as permissões exigidas à Conta da AWS proprietária do perfil do IAM por meio da política do bucket e da política de ponto de acesso. Caso contrário, o S3 no Outposts não conseguirá acessar os objetos e ocorrerá uma falha na replicação dos objetos.
As permissões descritas aqui são relativas à configuração mínima da replicação. Se optar por adicionar configurações de replicação opcionais, será necessário conceder permissões adicionais ao S3 no Outposts.
### Conceder permissões quando os buckets do Outposts de origem e destino pertencerem a Contas da AWS diferentes
Quando os buckets do Outposts de origem e destino não pertencem às mesmas contas, o proprietário do bucket do Outposts de destino deve atualizar as políticas de bucket e ponto de acesso do bucket de destino. Essas políticas devem conceder ao proprietário do bucket do Outposts de origem e ao perfil de serviço do IAM permissões para realizar ações de replicação, conforme mostrado nos exemplos de políticas a seguir, ou ocorrerá uma falha na replicação. Nestes exemplos de política, {{`DESTINATION-OUTPOSTS-BUCKET`}} é o bucket de destino. Para usar esses exemplos de política, substitua os `{{user input placeholders}}` por suas próprias informações.
Se você estiver criando o perfil de serviço do IAM manualmente, defina o caminho do perfil como `role/service-role/`, conforme mostrado nos exemplos de políticas a seguir. Para obter mais informações, consulte [ARNs do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) no *Guia do usuário do IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationBucket",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/service-role/{{source-account-IAM-role}}"
},
"Action": [
"s3-outposts:ReplicateDelete",
"s3-outposts:ReplicateObject"
],
"Resource": [
"arn:aws:s3-outposts:{{us-east-1}}:{{444455556666}}:outpost/{{DESTINATION-OUTPOST-ID}}/bucket/{{DESTINATION-OUTPOSTS-BUCKET}}/object/*"
]
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationAccessPoint",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/service-role/{{source-account-IAM-role}}"
},
"Action": [
"s3-outposts:ReplicateDelete",
"s3-outposts:ReplicateObject"
],
"Resource": [
"arn:aws:s3-outposts:{{us-east-1}}:{{111122223333}}:outpost/{{DESTINATION-OUTPOST-ID}}/accesspoint/{{DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT}}/object/*"
]
}
]
}
```
------
**nota**
Se os objetos no bucket do Outposts de origem estiverem marcados, observe o seguinte:
Se o proprietário do bucket do Outposts de origem conceder ao S3 no Outposts permissão para as ações `s3-outposts:GetObjectVersionTagging` e `s3-outposts:ReplicateTags` para replicação de tags de objeto (pelo perfil do IAM), o Amazon S3 replicará as tags com os objetos. Para obter informações sobre a função do IAM, consulte [Criar uma função do IAM](#outposts-rep-pretwo).