Erste Schritte mit IPv6 Verwenden von IPv6-Adressen in IAM-Richtlinien Testen der IP-Adresskompatibilität

Stellen von Anforderungen an Amazon S3 über IPv6

Amazon Simple Storage Service (Amazon S3) unterstützt zusätzlich zum IPv4-Protokoll die Möglichkeit, mit dem Internet Protocol Version 6 (IPv6) auf S3-Buckets zuzugreifen. Amazon-S3-Dual-Stack-Endpunkte unterstützen Anforderungen an S3-Buckets über IPv6 und IPv4. Für den Zugriff auf Amazon S3 über IPv6 fallen keine zusätzlichen Gebühren an. Weitere Informationen zu Preisen finden Sie unter Amazon-S3-Preise.

Themen

Erste Schritte für Anforderungen über IPv6
Verwenden von IPv6-Adressen in IAM-Richtlinien
Testen der IP-Adresskompatibilität
Verwenden von Amazon-S3-Dual-Stack-Endpunkten

Erste Schritte für Anforderungen über IPv6

Um eine Anforderung für einen S3-Bucket über IPv6 zu erstellen, brauchen Sie einen Dual-Stack-Endpunkt. Der nächste Abschnitt beschreibt Anfragen über IPv6 unter Verwendung von Dual-Stack-Endpunkten.

Nachfolgend sind einige Dinge beschrieben, die Sie wissen sollten, bevor Sie versuchen, über IPv6 auf einen Bucket zuzugreifen.

Der Client und das Netzwerk, die auf den Bucket zugreifen, müssen für IPv6 aktiviert sein.
Für den IPv6-Zugriff werden Anforderungen im virtuellen Hosting- und im Pfad-Stil unterstützt. Weitere Informationen finden Sie unter Amazon-S3-Dual-Stack-Endpunkte.
Wenn Sie eine IP-Quelladressen-Filterung in Ihren AWS Identity and Access Management (IAM) Benutzer- oder -Bucket-Richtlinien verwenden, müssen Sie die Richtlinien aktualisieren, um IPv6-Adressbereiche zu berücksichtigen. Weitere Informationen finden Sie unter Verwenden von IPv6-Adressen in IAM-Richtlinien.
Bei Verwendung von IPv6 geben die Serverzugriff-Protokolldateien IP-Adressen in einem IPv6-Format aus. Sie müssen vorhandene Tools, Skripts und Software aktualisieren, mit denen Sie Amazon-S3-Protokolldateien analysieren, sodass sie die mit IPv6 formatierte Remote IP-Adressen analysieren können. Weitere Informationen erhalten Sie unter Amazon-S3-Server-Zugriffsprotokollformat und Protokollieren von Anfragen mit Server-Zugriffsprotokollierung.

Anmerkung
Wenn Sie Probleme mit IPv6-Adressen in Protokolldateien haben, wenden Sie sich an den AWS Support.

Anforderungen über IPv6 unter Verwendung von Dual-Stack-Endpunkten

Sie stellen Anforderungen Amazon-S3-API-Aufrufen über IPv6, indem Sie Dual-Stack-Endpunkte verwenden. Die Amazon-S3-API-Vorgänge funktionieren genauso, egal ob Sie über IPv6 oder über IPv4 auf Amazon S3 zugreifen. Die Leistung sollte ebenfalls dieselbe bleiben.

Wenn Sie die REST-API verwenden, greifen Sie direkt auf einen Dual-Stack-Endpunkt zu. Weitere Informationen finden Sie unter Dual-Stack-Endpunkte.

Wenn Sie die AWS Command Line Interface (AWS CLI) und AWS SDKs verwenden, können Sie einen Parameter oder ein Flag verwenden, um zu einem Dual-Stack-Endpunkt zu wechseln. Sie können den Dual-Stack-Endpunkt auch direkt als Override des Amazon-S3-Endpunkts in der Konfigurationsdatei angeben.

Sie können einen Dual-Stack-Endpunkt verwenden, um über IPv6 auf einen Bucket zuzugreifen. Dazu können Sie Folgendes verwenden:

Die AWS CLI; siehe Verwenden von Dual-Stack-Endpunkten von der AWS CLI.
Die AWS-SDKs finden Sie unter Dual-Stack-Endpunkte von der AWS-SDKs verwenden.
Die REST-API, siehe Senden von Anforderungen an Dual-Stack-Endpunkte unter Verwendung der REST-API.

Funktionen, die über IPv6 nicht zur Verfügung stehen

Die folgende Funktion wird derzeit beim Zugriff auf einen S3-Bucket über IPv6 nicht unterstützt: Statisches Website-Hosting von einem S3-Bucket aus.

Verwenden von IPv6-Adressen in IAM-Richtlinien

Bevor Sie versuchen, mit IPv6 auf einen Bucket zuzugreifen, müssen Sie sicherstellen, dass alle IAM-Benutzer- oder S3-Bucket-Richtlinien, die für die IP-Adressfilterung verwendet werden, aktualisiert werden, um den IPv6-Adressbereich zu berücksichtigen. Richtlinien für die IP-Adressfilterung, die nicht für die Verarbeitung von IPv6-Adressen aktualisiert werden, führen womöglich dazu, dass Clients den Zugriff auf den Bucket fälschlicherweise verlieren oder erhalten, wenn sie beginnen, IPv6 zu verwenden. Weitere Informationen über die Verwaltung von Zugriffsberechtigungen mit IAM finden Sie unter Identity and Access Management in Amazon S3.

IAM-Richtlinien, die IP-Adressen filtern, verwenden Bedingungsoperatoren für IP-Adressen. Die folgende Bucket-Richtlinie identifiziert den Bereich 54.240.143.* als Bereich zulässiger IPv4-Adressen durch Verwendung von Bedingungsoperatoren für IP-Adressen. Alle IP-Adressen außerhalb dieses Bereichs erhalten keinen Zugriff auf den Bucket (examplebucket). Alle IPv6-Adressen liegen außerhalb des zulässigen Bereichs, deshalb verhindert diese Richtlinie, dass IPv6-Adressen auf zugreife examplebucket.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::examplebucket/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Sie können das Condition-Element der Bucket-Richtlinie ändern, um die IPv4- (54.240.143.0/24) und IPv6- (2001:DB8:1234:5678::/64) Adressbereiche zuzulassen, wie im folgenden Beispiel gezeigt. Sie können denselben Typ Condition-Block verwenden, wie im Beispiel gezeigt, um Ihre IAM-Benutzer- und Bucket-Richtlinien zu aktualisieren.


       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Bevor Sie IPv6 verwenden, müssen Sie alle relevanten IAM-Benutzer- und S3-Bucket-Richtlinien aktualisieren, die eine IP-Adressfilterung verwenden, um die IPv6-Adressbereiche zu berücksichtigen. Wir empfehlen Ihnen, Ihre IAM-Richtlinien mit den IPv6-Adressbereichen Ihres Unternehmens zu aktualisieren, ebenso wie mit Ihren vorhandenen IPv4-Adressbereichen. Ein Beispiel für eine Bucket-Richtlinie, die den Zugriff über IPv6 und IPv4 gestattet, finden Sie unter Beschränken des Zugriffs auf bestimmte IP-Adressen.

Sie können Ihre IAM-Benutzerrichtlinien mit der IAM-Konsole unter https://console.aws.amazon.com/iam/ überprüfen. Weitere Informationen zu IAM finden Sie im IAM-Benutzerhandbuch. Weitere Informationen zum Bearbeiten von S3-Bucket-Richtlinien finden Sie unter Hinzufügen einer Bucket-Richtlinie mit der Amazon-S3-Konsole.

Testen der IP-Adresskompatibilität

Wenn Sie Linux/Unix oder Mac OS X verwenden, können sie testen, ob Sie über IPv6 auf einen Dual-Stack-Endpunkt zugreifen können, indem Sie den Befehl curl ausführen, wie im folgenden Beispiel gezeigt:


curl -v  http://s3.dualstack.us-west-2.amazonaws.com/

Sie erhalten Informationen wie im folgenden Beispiel gezeigt zurück. Wenn Sie über IPv6 verbunden sind, ist die verbundene IP-Adresse eine IPv6-Adresse.



* About to connect() to s3-us-west-2.amazonaws.com port 80 (#0)
*   Trying IPv6 address... connected
* Connected to s3.dualstack.us-west-2.amazonaws.com (IPv6 address) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: s3.dualstack.us-west-2.amazonaws.com

Wenn Sie Microsoft Windows 7 oder 10 verwenden, können sie testen, ob Sie über IPv6 oder IPv4 auf einen Dual-Stack-Endpunkt zugreifen können, indem Sie den Befehl ping wie im folgenden Beispiel gezeigt ausführen:


ping ipv6.s3.dualstack.us-west-2.amazonaws.com

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Senden von Anforderungen

Verwenden von Dual-Stack-Endpunkten