Stellen von Anforderungen an Amazon S3 über IPv6 - Amazon Simple Storage Service

Dieses Handbuch wird nicht mehr aktualisiert. Aktuelle Informationen und Anweisungen finden Sie im neuen Amazon S3-Benutzerhandbuch.

Stellen von Anforderungen an Amazon S3 über IPv6

Amazon Simple Storage Service (Amazon S3) unterstützt zusätzlich zum IPv4-Protokoll die Möglichkeit, mit dem Internet Protocol Version 6 (IPv6) auf S3-Buckets zuzugreifen. Amazon S3-Dual-Stack-Endpunkte unterstützen Anforderungen an S3-Buckets über IPv6 und IPv4. Für den Zugriff auf Amazon S3 über IPv6 fallen keine zusätzlichen Gebühren an. Weitere Informationen zu Preisen finden Sie unter Amazon S3-Preise.

Erste Schritte für Anforderungen über IPv6

Um eine Anforderung für einen S3-Bucket über IPv6 zu erstellen, brauchen Sie einen Dual-Stack-Endpunkt. Der nächste Abschnitt beschreibt Anfragen über IPv6 unter Verwendung von Dual-Stack-Endpunkten.

Nachfolgend sind einige Dinge beschrieben, die Sie wissen sollten, bevor Sie versuchen, über IPv6 auf einen Bucket zuzugreifen.

  • Der Client und das Netzwerk, die auf den Bucket zugreifen, müssen für IPv6 aktiviert sein.

  • Für den IPv6-Zugriff werden Anforderungen im virtuellen Hosting- und im Pfad-Stil unterstützt. Weitere Informationen finden Sie unter Amazon S3-Dual-Stack-Endpunkte.

  • Wenn Sie Quell-IP-Adressenfilterung in Ihren Benutzer- oder Bucket-Richtlinien von AWS Identity and Access Management (IAM) verwenden, müssen Sie die Richtlinien auf IPv6-Adressbereiche aktualisieren. Weitere Informationen finden Sie unter Verwenden von IPv6-Adressen in IAM-Richtlinien.

  • Bei Verwendung von IPv6 geben die Serverzugriff-Protokolldateien IP-Adressen in einem IPv6-Format aus. Sie müssen vorhandene Tools, Skripts und Software aktualisieren, mit denen Sie Amazon S3-Protokolldateien analysieren, sodass sie die mit IPv6 formatierte Remote IP-Adressen analysieren können. Weitere Informationen finden Sie unter Amazon S3-Server-Zugriffsprotokollformat und Amazon S3-Server-Zugriffsprotokollierung.

    Anmerkung

    Wenn Sie Probleme mit IPv6-Adressen in Protokolldateien haben, wenden Sie sich an den AWS Support.

Anforderungen über IPv6 unter Verwendung von Dual-Stack-Endpunkten

Sie stellen Anforderungen Amazon S3-API-Aufrufen über IPv6, indem Sie Dual-Stack-Endpunkte verwenden. Die Amazon S3-API-Vorgänge funktionieren genauso, egal ob Sie über IPv6 oder über IPv4 auf Amazon S3 zugreifen. Die Leistung sollte ebenfalls dieselbe bleiben.

Wenn Sie die REST API verwenden, greifen Sie direkt auf einen Dual-Stack-Endpunkt zu. Weitere Informationen finden Sie unter Dual-Stack-Endpunkte.

Wenn Sie die AWS-Befehlszeilenschnittstelle (AWS CLI) und AWS SDKs verwenden, können Sie einen Parameter oder ein Flag verwenden, um zu einem Dual-Stack-Endpunkt zu wechseln. Sie können den Dual-Stack-Endpunkt auch direkt als Override des Amazon S3-Endpunkts in der Konfigurationsdatei angeben.

Sie können einen Dual-Stack-Endpunkt verwenden, um über IPv6 auf einen Bucket zuzugreifen. Dazu können Sie Folgendes verwenden:

Funktionen, die über IPv6 nicht zur Verfügung stehen

Die folgenden Funktionen werden derzeit bei Zugriff auf einen S3-Bucket über IPv6 nicht unterstützt:

  • Hosting statischer Websites in einem S3-Bucket

  • BitTorrent

Verwenden von IPv6-Adressen in IAM-Richtlinien

Bevor Sie versuchen, mit IPv6 auf einen Bucket zuzugreifen, müssen Sie sicherstellen, dass alle IAM-Benutzer- oder S3-Bucket-Richtlinien, die für die IP-Adressfilterung verwendet werden, aktualisiert werden, um den IPv6-Adressbereich zu berücksichtigen. Richtlinien für die IP-Adressfilterung, die nicht für die Verarbeitung von IPv6-Adressen aktualisiert werden, führen womöglich dazu, dass Clients den Zugriff auf den Bucket fälschlicherweise verlieren oder erhalten, wenn sie beginnen, IPv6 zu verwenden. Weitere Informationen über die Verwaltung von Zugriffsberechtigungen mit IAM finden Sie unter Identity and Access Management in Amazon S3.

IAM-Richtlinien, die IP-Adressen filtern, verwenden Bedingungsoperatoren für IP-Adressen. Die folgende Bucket-Richtlinie identifiziert den Bereich 54.240.143.* als Bereich zulässiger IPv4-Adressen durch Verwendung von Bedingungsoperatoren für IP-Adressen. Alle IP-Adressen außerhalb dieses Bereichs erhalten keinen Zugriff auf den Bucket (examplebucket). Alle IPv6-Adressen liegen außerhalb des zulässigen Bereichs, deshalb verhindert diese Richtlinie, dass IPv6-Adressen auf examplebucket zugreifen.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "IPAllow", "Effect": "Allow", "Principal": "*", "Action": "s3:*", "Resource": "arn:aws:s3:::examplebucket/*", "Condition": { "IpAddress": {"aws:SourceIp": "54.240.143.0/24"} } } ] }

Sie können das Condition-Element der Bucket-Richtlinie ändern, um die IPv4- (54.240.143.0/24) und IPv6- (2001:DB8:1234:5678::/64) Adressbereiche zuzulassen, wie im folgenden Beispiel gezeigt. Sie können denselben Typ Condition-Block verwenden, wie im Beispiel gezeigt, um Ihre IAM-Benutzer- und Bucket-Richtlinien zu aktualisieren.

"Condition": { "IpAddress": { "aws:SourceIp": [ "54.240.143.0/24", "2001:DB8:1234:5678::/64" ] } }

Bevor Sie IPv6 verwenden, müssen Sie alle relevanten IAM-Benutzer- und S3-Bucket-Richtlinien aktualisieren, die eine IP-Adressfilterung verwenden, um die IPv6-Adressbereiche zu berücksichtigen. Wir empfehlen Ihnen, Ihre IAM-Richtlinien mit den IPv6-Adressbereichen Ihres Unternehmens zu aktualisieren, ebenso wie mit Ihren vorhandenen IPv4-Adressbereichen. Ein Beispiel für eine Bucket-Richtlinie, die den Zugriff über IPv6 und IPv4 gestattet, finden Sie unter Beschränken des Zugriffs auf bestimmte IP-Adressen.

Sie können Ihre IAM-Benutzerrichtlinien mit der IAM-Konsole unter https://console.aws.amazon.com/iam/ überprüfen. Weitere Informationen zu IAM finden Sie im IAM-Benutzerhandbuch. Informationen zum Bearbeiten von S3-Bucket-Richtlinien finden Sie unter Wie füge ich eine S3 Bucket-Richtlinie hinzu? im Benutzerhandbuch für die Amazon Simple Storage Service Console.

Testen der IP-Adresskompatibilität

Wenn Sie Linux/Unix oder Mac OS X verwenden, können sie testen, ob Sie über IPv6 auf einen Dual-Stack-Endpunkt zugreifen können, indem Sie den Befehl curl ausführen, wie im folgenden Beispiel gezeigt:

curl -v http://s3.dualstack.us-west-2.amazonaws.com/

Sie erhalten Informationen wie im folgenden Beispiel gezeigt zurück. Wenn Sie über IPv6 verbunden sind, ist die verbundene IP-Adresse eine IPv6-Adresse.

* About to connect() to s3-us-west-2.amazonaws.com port 80 (#0) * Trying IPv6 address... connected * Connected to s3.dualstack.us-west-2.amazonaws.com (IPv6 address) port 80 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: s3.dualstack.us-west-2.amazonaws.com

Wenn Sie Microsoft Windows 7 oder 10 verwenden, können sie testen, ob Sie über IPv6 oder IPv4 auf einen Dual-Stack-Endpunkt zugreifen können, indem Sie den Befehl ping wie im folgenden Beispiel gezeigt ausführen:

ping ipv6.s3.dualstack.us-west-2.amazonaws.com