Realización de solicitudes a Amazon S3 mediante IPv6 - Amazon Simple Storage Service

Realización de solicitudes a Amazon S3 mediante IPv6

Amazon Simple Storage Service (Amazon S3) admite la capacidad de acceder a los buckets de S3 mediante el Protocolo de Internet, versión 6 (IPv6), además del protocolo IPv4. Los puntos de enlace de doble pila de Amazon S3; admiten solicitudes a buckets de S3 a través de IPv6 y de IPv4. No hay cargos adicionales por acceder a Amazon S3 mediante IPv6. Para obtener más información acerca de los precios, consulte Precios de Amazon S3.

Introducción a la realización de solicitudes en IPv6

Para hacer una solicitud a un bucket de S3 mediante IPv6, debe utilizar un punto de enlace de doble pila. En la siguiente sección se describe cómo hacer solicitudes mediante IPv6 con los puntos de enlace de doble pila.

A continuación se describen algunos puntos que debe tener en cuenta antes de intentar acceder a un bucket mediante IPv6:

  • El cliente y la red que acceden al bucket deben estar autorizados para utilizar IPv6.

  • Se admiten tanto solicitudes de estilo alojamiento virtual como de tipo ruta para el acceso a IPv6. Para obtener más información, consulte Puntos de conexión de doble pila en Amazon S3.

  • Si utiliza el filtrado de dirección IP de origen en sus políticas de bucket o de usuario de AWS Identity and Access Management (IAM), debe actualizar las políticas para incluir los rangos de direcciones IPv6. Para obtener más información, consulte Uso de direcciones IPv6 en políticas de IAM.

  • Cuando utiliza IPv6, los archivos de registro de acceso al servidor producen direcciones IP en un formato de IPv6. Debe actualizar el software, las herramientas y los scripts existentes que utiliza para analizar archivos de registro de Amazon S3 para que puedan analizar las direcciones Remote IP con formato de IPv6. Para obtener más información, consulte Formato de registro de acceso al servidor de Amazon S3 y Registro de solicitudes con registro de acceso al servidor.

    nota

    Si experimenta problemas relacionados con la presencia de direcciones IPv6 en archivos de registro, contacte con AWS Support.

Realización de solicitudes mediante IPv6 con puntos de enlace de doble pila

Puede realizar solicitudes con llamadas a la API de Amazon S3 mediante IPv6 con los puntos de enlace de doble pila. Las operaciones de la API de Amazon S3 funcionan de la misma manera que cuando accede a Amazon S3 mediante IPv6 o IPv4. El desempeño también debe ser el mismo.

Cuando utiliza la API REST, accede directamente al punto de enlace de doble stack. Para obtener más información, consulte Puntos de enlace de doble pila.

Al usar AWS Command Line Interface (AWS CLI) y los SDK de AWS, puede utilizar un parámetro o una marca para cambiar a un punto de enlace de doble pila. También puede especificar el punto de enlace de doble pila directamente como una anulación del punto de enlace de Amazon S3 en el archivo de configuración.

Puede utilizar el punto de enlace de doble pila para acceder a un bucket mediante IPv6 desde cualquiera de las siguientes opciones:

Características no disponibles con IPv6

Actualmente no se admite la siguiente característica cuando se accede a un bucket de S3 a través de IPv6: alojamiento de sitios web estáticos desde un bucket de S3.

Uso de direcciones IPv6 en políticas de IAM

Antes de intentar acceder a un bucket mediante IPv6, debe asegurarse de que las políticas de usuario de IAM o de bucket de S3 utilizadas para el filtrado de direcciones IP estén actualizadas para incluir los rangos de direcciones IPv6. Si no se actualizan la políticas de filtrado de direcciones IP para gestionar direcciones IPv6, los clientes pueden perder u obtener incorrectamente el acceso al bucket cuando comienzan a utilizar IPv6. Para obtener más información acerca de cómo administrar los permisos de acceso con IAM, consulte Identity and Access Management en Amazon S3.

Las políticas de IAM que filtran direcciones IP utilizan operadores de condición de dirección IP. La siguiente política de buckets identifica el rango 54.240.143.* de direcciones IPv4 permitidas mediante operadores de condición de dirección IP. Cualquier dirección IP fuera de este rango no podrá acceder al bucket (examplebucket). Dado que todas las direcciones IPv6 están fuera del rango permitido, esta política evita que las direcciones IPv6 puedan acceder a examplebucket.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::examplebucket/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"} } } ] }

Puede modificar el elemento Condition de la política de bucket para permitir los rangos de direcciones IPv4 (54.240.143.0/24) e IPv6 (2001:DB8:1234:5678::/64) como se muestra en el siguiente ejemplo. Puede utilizar el mismo tipo de bloque Condition que se muestra en el ejemplo para actualizar las políticas de bucket y de usuario de IAM.

"Condition": { "IpAddress": { "aws:SourceIp": [ "54.240.143.0/24", "2001:DB8:1234:5678::/64" ] } }

Antes de utilizar IPv6, debe actualizar todas las políticas de bucket y de usuario de IAM; relevantes que utilizan filtrado de direcciones IP para permitir los rangos de direcciones IPv6. Le recomendamos que actualice sus políticas de IAM con los rangos de direcciones IPv6 de la organización además de los rangos de direcciones IPv4 existentes. Para ver un ejemplo de una política de bucket que permite el acceso a través de IPv6 e IPv4, consulte Restringir el acceso a direcciones IP específicas.

Puede revisar sus políticas de usuario de IAM en la consola de IAM en https://console.aws.amazon.com/iam/. Para obtener más información acerca de IAM, consulte la guía del usuario de IAM. Para obtener información sobre las políticas de buckets de S3, consulte Agregar una política de bucket mediante la consola de Amazon S3.

Probar la compatibilidad de dirección IP

Si utiliza Linux/Unix o Mac OS X, puede probar si tiene acceso a un punto de enlace de doble pila mediante IPv6 con el comando curl como se muestra en el siguiente ejemplo:

curl -v http://s3.dualstack.us-west-2.amazonaws.com/

Usted obtiene información similar a la del siguiente ejemplo. Si está conectado mediante IPv6, la dirección IP conectada será una dirección IPv6.

* About to connect() to s3-us-west-2.amazonaws.com port 80 (#0) * Trying IPv6 address... connected * Connected to s3.dualstack.us-west-2.amazonaws.com (IPv6 address) port 80 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: s3.dualstack.us-west-2.amazonaws.com

Si utiliza Microsoft Windows 7 o Windows 10, puede probar si tiene acceso a un punto de enlace de doble pila mediante IPv6 o IPv4 con el comando ping como se muestra en el siguiente ejemplo.

ping ipv6.s3.dualstack.us-west-2.amazonaws.com