Anfragen an S3 auf Outposts stellen über IPv6 - Amazon S3 in Outposts
Erste Schritte mit IPv6Anforderungen unter Verwendung von Dual-Stack-EndpunktenIPv6Adressen in IAM Richtlinien verwendenTesten der IP-AdresskompatibilitätVerwenden mit IPv6 AWS PrivateLink

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anfragen an S3 auf Outposts stellen über IPv6

Die Dual-Stack-Endpunkte Amazon S3 on Outposts und S3 on Outposts unterstützen Anfragen an S3 on Outposts Buckets, die entweder das Oder-Protokoll verwenden. IPv6 IPv4 Dank der IPv6 Unterstützung für S3 on Outposts können Sie über Netzwerke auf Ihre Buckets zugreifen und diese verwalten und Flugzeugressourcen über S3 on Outposts APIs steuern. IPv6

Anmerkung

Objektaktionen von S3 on Outposts (wie PutObject oderGetObject) werden in IPv6 Netzwerken nicht unterstützt.

Für den Zugriff auf S3 auf Outposts über IPv6 Netzwerke fallen keine zusätzlichen Gebühren an. Weitere Informationen zu S3 on Outposts finden Sie unter Preise für S3 on Outposts.

Themen

Erste Schritte mit IPv6

Um eine Anfrage an einen S3 on Outposts Bucket Over zu stellenIPv6, müssen Sie einen Dual-Stack-Endpunkt verwenden. Im nächsten Abschnitt wird beschrieben, wie Sie Anfragen mithilfe IPv6 von Dual-Stack-Endpunkten stellen.

Im Folgenden sind wichtige Überlegungen aufgeführt, bevor Sie versuchen, auf einen S3 on Outposts-Bucket zuzugreifen: IPv6

  • Der Client und das Netzwerk, die auf den Bucket zugreifen, müssen für die Verwendung IPv6 aktiviert sein.

  • Sowohl Anfragen im virtuellen Hosting-Stil als auch im Pfadstil werden für IPv6 den Zugriff unterstützt. Weitere Informationen finden Sie unter Verwendung von S3 auf Dual-Stack-Endpunkten von Outposts.

  • Wenn Sie die Quell-IP-Adressfilterung in Ihren AWS Identity and Access Management (IAM) -Benutzer- oder S3 on Outposts-Bucket-Richtlinien verwenden, müssen Sie die Richtlinien aktualisieren, um IPv6 Adressbereiche einzubeziehen.

    Anmerkung

    Diese Anforderung gilt nur für den Bucket-Betrieb von S3 on Outposts und für Ressourcen auf Steuerungsebene in IPv6 Netzwerken. Objektaktionen von Amazon S3 on Outposts werden IPv6 netzwerkübergreifend nicht unterstützt.

  • Bei der Verwendung IPv6 geben Protokolldateien für den Serverzugriff IP-Adressen in einem bestimmten IPv6 Format aus. Sie müssen vorhandene Tools, Skripts und Software aktualisieren, mit denen Sie die Protokolldateien von S3 on Outposts analysieren, damit sie die IPv6 formatierten Remote-IP-Adressen analysieren können. Die aktualisierten Tools, Skripte und Software analysieren dann die formatierten Remote-IP-Adressen korrekt. IPv6

Verwenden von Dual-Stack-Endpunkten, um Anfragen über ein Netzwerk zu stellen IPv6

Um Anfragen mit S3 auf API Outposts-Anrufen zu stellenIPv6, können Sie Dual-Stack-Endpunkte über oder verwenden. AWS CLI AWS SDK Die APIVorgänge Amazon S3 S3-Steuerung und S3 on Outposts API funktionieren auf dieselbe Weise, unabhängig davon, ob Sie über ein IPv6 Protokoll oder IPv4 ein Protokoll auf S3 on Outposts zugreifen. Beachten Sie jedoch, dass S3-Objektaktionen auf Outposts (wie PutObject oderGetObject) nicht über IPv6 Netzwerke unterstützt werden.

Wenn Sie AWS Command Line Interface (AWS CLI) und verwenden AWS SDKs, können Sie einen Parameter oder ein Flag verwenden, um zu einem Dual-Stack-Endpunkt zu wechseln. Sie können den Dual-Stack-Endpunkt auch direkt als Überschreibung des Endpunkts S3 on Outposts in der Konfigurationsdatei angeben.

Sie können einen Dual-Stack-Endpunkt verwenden, um über eine der folgenden Optionen auf einen S3 on IPv6 Outposts-Bucket zuzugreifen:

IPv6Adressen in IAM Richtlinien verwenden

Bevor Sie versuchen, mithilfe eines IPv6 Protokolls auf einen S3 on Outposts-Bucket zuzugreifen, stellen Sie sicher, dass die für die IP-Adressfilterung verwendeten IAM Benutzer- oder S3 on Outposts-Bucket-Richtlinien aktualisiert wurden, sodass sie IPv6 Adressbereiche enthalten. Wenn die Richtlinien zur IP-Adressfilterung nicht aktualisiert werden, um IPv6 Adressen zu verarbeiten, können Sie den Zugriff auf einen S3 on Outposts-Bucket verlieren, während Sie versuchen, das IPv6 Protokoll zu verwenden.

IAMRichtlinien, die IP-Adressen filtern, verwenden Operatoren für IP-Adressbedingungen. Die folgende Bucket-Richtlinie für S3 on Outposts identifiziert den IP-Bereich 54.240.143.* zulässiger IPv4 Adressen mithilfe von Operatoren für IP-Adressbedingungen. Allen IP-Adressen außerhalb dieses Bereichs wird der Zugriff auf den S3 on Outposts Bucket (DOC-EXAMPLE-BUCKET) verweigert. Da sich alle IPv6 Adressen außerhalb des zulässigen Bereichs befinden, verhindert diese Richtlinie, dass IPv6 Adressen darauf zugreifen DOC-EXAMPLE-BUCKET können. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3outposts:*",
      "Resource": "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Sie können das Condition Element der Bucket-Richtlinie S3 on Outposts so ändern, dass sowohl IPv4 (54.240.143.0/24) als auch IPv6 (2001:DB8:1234:5678::/64) Adressbereiche zulässig sind, wie im folgenden Beispiel gezeigt. Sie können denselben Condition Blocktyp wie im Beispiel verwenden, um sowohl Ihre IAM Benutzer- als auch Ihre Bucket-Richtlinien zu aktualisieren.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Vor der Verwendung müssen IPv6 Sie alle relevanten IAM Benutzer- und Bucket-Richtlinien aktualisieren, die IP-Adressfilterung verwenden, um IPv6 Adressbereiche zuzulassen. Wir empfehlen Ihnen, Ihre IAM Richtlinien zusätzlich zu Ihren bestehenden IPv6 Adressbereichen mit den IPv4 Adressbereichen Ihrer Organisation zu aktualisieren. Ein Beispiel für eine Bucket-Richtlinie, die den Zugriff IPv6 sowohl über als auch ermöglichtIPv4, finden Sie unterBeschränken des Zugriffs auf bestimmte IP-Adressen.

Sie können Ihre IAM Benutzerrichtlinien in der IAM Konsole unter überprüfen https://console.aws.amazon.com/iam/. Weitere Informationen zu IAM finden Sie im IAMBenutzerhandbuch. Informationen zur Bearbeitung von Bucket-Richtlinien für S3 on Outposts finden Sie unterHinzufügen oder Bearbeiten einer Bucket-Richtlinie für einen Amazon-S3-on-Outposts-Bucket.

Testen der IP-Adresskompatibilität

Wenn Sie eine Linux- oder Unix-Instance oder eine MacOS X-Plattform verwenden, können Sie Ihren Zugriff auf einen Dual-Stack-Endpunkt testen. IPv6 Um beispielsweise die Verbindung zu Amazon S3 auf Outposts-Endpunkten zu testenIPv6, verwenden Sie den dig folgenden Befehl:

dig s3-outposts.us-west-2.api.aws AAAA +short

Wenn Ihr Dual-Stack-Endpunkt über ein IPv6 Netzwerk ordnungsgemäß eingerichtet ist, gibt der dig Befehl die verbundenen Adressen zurück. IPv6 Beispielsweise:

dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

S3 on Outposts unterstützt das IPv6 Protokoll für AWS PrivateLink Dienste und Endpunkte. Dank der AWS PrivateLink Unterstützung des IPv6 Protokolls können Sie VPC über lokale oder andere private Verbindungen eine Verbindung zu Dienstendpunkten in Ihren IPv6 Netzwerken herstellen. Die IPv6 Unterstützung AWS PrivateLink für S3 auf Outposts ermöglicht Ihnen auch die Integration AWS PrivateLink mit Dual-Stack-Endpunkten. Eine Anleitung IPv6 zur AWS PrivateLink Aktivierung von finden Sie unter Beschleunigen Sie Ihre IPv6 Einführung mit Diensten und Endpunkten. AWS PrivateLink

Anmerkung

Informationen zum Aktualisieren des unterstützten IP-Adresstyps von IPv4 bis IPv6 finden Sie unter Ändern des unterstützten IP-Adresstyps im AWS PrivateLink Benutzerhandbuch.

Wenn Sie AWS PrivateLink with verwendenIPv6, müssen Sie einen IPv6 oder einen VPC Dual-Stack-Schnittstellenendpunkt erstellen. Allgemeine Schritte zum Erstellen eines VPC Endpunkts mit dem AWS Management Console finden Sie unter Zugreifen auf einen AWS Dienst über einen VPC Schnittstellenendpunkt im AWS PrivateLink Benutzerhandbuch.

AWS Management Console

Gehen Sie wie folgt vor, um einen VPC Schnittstellenendpunkt zu erstellen, der eine Verbindung zu S3 auf Outposts herstellt.

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die VPC Konsole unter https://console.aws.amazon.com/vpc/.

  2. Wählen Sie im Navigationsbereich Endpunkte aus.

  3. Wählen Sie Endpunkt erstellen.

  4. Wählen Sie bei Service category (Servicekategorie) die Option AWS services (-Services) aus.

  5. Wählen Sie als Dienstname den Dienst S3 on Outposts (com.amazonaws.us-east-1.s3-outposts).

  6. Wählen Sie für die OptionVPC, VPC von der aus Sie auf S3 in Outposts zugreifen möchten.

  7. Wählen Sie für Subnetze ein Subnetz pro Availability Zone aus, von dem aus Sie auf S3 on Outposts zugreifen. Sie können nicht mehrere Subnetze aus derselben Availability Zone auswählen. Für jedes Subnetz, das Sie auswählen, wird eine neue Endpunkt-Netzwerkschnittstelle erstellt. Standardmäßig werden IP-Adressen aus den Subnetz-IP-Adressbereichen den Endpunkt-Netzwerkschnittstellen zugewiesen. Um eine IP-Adresse für eine Endpunkt-Netzwerkschnittstelle festzulegen, wählen Sie Designate IP Addresses aus und geben Sie eine IPv6 Adresse aus dem Subnetz-Adressbereich ein.

  8. Wählen Sie als IP-Adresstyp Dualstack aus. Weisen Sie Ihren IPv6 Endpunkt-Netzwerkschnittstellen IPv4 sowohl Adressen als auch Adressen zu. Diese Option wird nur unterstützt, wenn alle ausgewählten Subnetze IPv4 sowohl als auch IPv6 Adressbereiche haben.

  9. Wählen Sie für Sicherheitsgruppen die Sicherheitsgruppen aus, die den Endpunkt-Netzwerkschnittstellen für den VPC Endpunkt zugeordnet werden sollen. Standardmäßig ist die Standardsicherheitsgruppe mit dem verknüpftVPC.

  10. Wählen Sie für Richtlinie die Option Vollzugriff aus, um alle Operationen aller Prinzipale auf allen Ressourcen über den VPC Endpunkt zuzulassen. Wählen Sie andernfalls Benutzerdefiniert, um eine VPC Endpunktrichtlinie anzuhängen, die die Berechtigungen steuert, die Principals haben, um Aktionen an Ressourcen über den Endpunkt auszuführen. VPC Diese Option ist nur verfügbar, wenn der Dienst Endpunktrichtlinien unterstütztVPC. Weitere Informationen finden Sie unter Endpunktrichtlinien.

  11. (Optional) Sie fügen ein Tag hinzu, indem Sie neuen Tag hinzufügen auswählen und den Schlüssel und den Wert für den Tag eingeben.

  12. Wählen Sie Endpunkt erstellen.

Beispiel — Bucket-Richtlinie für S3 auf Outposts

Damit S3 on Outposts mit Ihren VPC Endpunkten interagieren kann, können Sie anschließend Ihre Richtlinie für S3 on Outposts wie folgt aktualisieren:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
AWS CLI
Anmerkung

Um das IPv6 Netzwerk auf Ihrem VPC Endpunkt zu aktivieren, müssen Sie den SupportedIpAddressType Filter für S3 auf Outposts IPv6 eingestellt haben.

Im folgenden Beispiel wird der create-vpc-endpoint Befehl verwendet, um einen neuen Dual-Stack-Schnittstellen-Endpunkt zu erstellen.

aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Je nach AWS PrivateLink Dienstkonfiguration müssen neu erstellte Endpunktverbindungen möglicherweise vom VPC Endpunktdienstanbieter akzeptiert werden, bevor sie verwendet werden können. Weitere Informationen finden Sie im Benutzerhandbuch unter Akzeptieren und Ablehnen von Verbindungsanfragen für Endgeräte.AWS PrivateLink

Im folgenden Beispiel wird der modify-vpc-endpoint Befehl verwendet, um den Endpunkt IPv -only auf einen VPC Dual-Stack-Endpunkt zu aktualisieren. Der Dual-Stack-Endpunkt ermöglicht den Zugriff sowohl auf die als auch auf die NetzwerkeIPv4. IPv6

aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Weitere Informationen zur Aktivierung des IPv6 Netzwerks für AWS PrivateLink finden Sie unter Beschleunigen Sie Ihre IPv6 Einführung mit AWS PrivateLink Diensten und Endpunkten.