Realización de solicitudes a S3 en Outposts mediante IPv6 - Amazon Simple Storage Service
Introducción a IPv6Realizar solicitudes con puntos de enlace de doble pilaUso de direcciones IPv6 en políticas de IAMProbar la compatibilidad de dirección IPUso de IPv6 con AWS PrivateLink

Realización de solicitudes a S3 en Outposts mediante IPv6

Los puntos de conexión de doble pila de Amazon S3 en Outposts y S3 en Outposts permiten realizar solicitudes a buckets de S3 en Outposts con el protocolo IPv6 o IPv4. Gracias a la compatibilidad de IPv6 con S3 en Outposts, puede acceder a sus buckets y recursos del plano de control a través de las API de S3 en Outposts mediante redes IPv6.

nota

Las acciones de los objetos de S3 en Outposts (como PutObject o GetObject) no son compatibles con las redes IPv6.

No hay cargos adicionales por acceder a S3 en Outposts mediante redes IPv6. Para obtener más información acerca de S3 en Outposts, consulte Precios del bastidor de AWS Outposts.

Temas

Introducción a IPv6

Para realizar una solicitud a un bucket de S3 en Outposts mediante IPv6, debe utilizar un punto de conexión de doble pila. En la siguiente sección se describe cómo hacer solicitudes mediante IPv6 con los puntos de enlace de doble pila.

A continuación se describen algunos puntos importantes a tener en cuenta antes de acceder a un bucket de S3 en Outposts mediante IPv6:

  • El cliente y la red que acceden al bucket deben estar autorizados para utilizar IPv6.

  • Se admiten tanto solicitudes de estilo alojamiento virtual como de tipo ruta para el acceso a IPv6. Para obtener más información, consulte Uso de puntos de conexión de doble pila en S3 en Outposts.

  • Si utiliza el filtrado de direcciones IP de origen en sus políticas de bucket de S3 en Outposts o de usuario de AWS Identity and Access Management (IAM), debe actualizar las políticas para que incluyan los rangos de direcciones IPv6.

    nota

    Este requisito solo se aplica a las operaciones de buckets de S3 en Outposts y a los recursos del plano de control en redes IPv6. Las acciones de los objetos de Amazon S3 en Outposts no son compatibles con las redes IPv6.

  • Cuando utiliza IPv6, los archivos de registro de acceso al servidor producen direcciones IP en un formato de IPv6. Debe actualizar el software, las herramientas y los scripts existentes que utiliza para analizar archivos de registro de S3 en Outposts para que puedan analizar las direcciones IP remotas con formato IPv6. A continuación, las herramientas, los scripts y el software actualizados analizarán correctamente las direcciones IP remotas con formato IPv6.

Uso de puntos de conexión de doble pila para realizar solicitudes mediante una red IPv6

Para realizar solicitudes con llamadas a la API de S3 en Outposts a través de IPv6, puede usar puntos de conexión de doble pila mediante la AWS CLI o el SDK de AWS. Las operaciones de la API de Amazon S3 Control para administrar buckets y las operaciones de la API de S3 en Outposts para administrar Outposts funcionan igual tanto si se accede a S3 en Outposts a través de un protocolo IPv6 como de un protocolo IPv4. Sin embargo, debe de tener en cuenta que las operaciones de la API de Amazon S3 en Outposts (como PutObject o GetObject) no son compatibles con las redes IPv6.

Al usar AWS Command Line Interface (AWS CLI) y los SDK de AWS, puede utilizar un parámetro o una marca para cambiar a un punto de enlace de doble pila. También puede especificar el punto de conexión de doble pila directamente como una anulación del punto de conexión de S3 en Outposts en el archivo de configuración.

Puede utilizar un punto de conexión de doble pila para acceder a un bucket de S3 en Outposts mediante IPv6 desde cualquiera de las siguientes opciones:

Uso de direcciones IPv6 en políticas de IAM

Antes de intentar acceder a un bucket de S3 en Outposts mediante un protocolo IPv6, debe asegurarse de que los usuarios de IAM o las políticas de bucket de S3 en Outposts utilizadas para el filtrado de direcciones IP estén actualizadas e incluyan los rangos de direcciones IPv6. Si las políticas de filtrado de direcciones IP no están actualizadas para gestionar direcciones IPv6, puede perder el acceso a un bucket de S3 en Outposts al intentar usar el protocolo IPv6.

Las políticas de IAM que filtran direcciones IP utilizan operadores de condición de dirección IP. La siguiente política de buckets de S3 en Outposts identifica el rango IP 54.240.143.* de las direcciones IPv4 permitidas con operadores de condición de dirección IP. Cualquier dirección IP fuera de este rango no podrá acceder al bucket de S3 en Outposts (DOC-EXAMPLE-BUCKET). Dado que todas las direcciones IPv6 están fuera del rango permitido, esta política evita que las direcciones IPv6 puedan acceder a DOC-EXAMPLE-BUCKET. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3outposts:*",
      "Resource": "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Puede modificar el elemento Condition de la política de bucket de S3 en Outposts para permitir los rangos de direcciones IPv4 (54.240.143.0/24) e IPv6 (2001:DB8:1234:5678::/64), tal como se muestra en el siguiente ejemplo. Puede utilizar el mismo tipo de bloque Condition que se muestra en el ejemplo para actualizar las políticas de bucket y de usuario de IAM.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Antes de utilizar IPv6, debe actualizar todas las políticas de bucket y de usuario de IAM; relevantes que utilizan filtrado de direcciones IP para permitir los rangos de direcciones IPv6. Le recomendamos que actualice sus políticas de IAM con los rangos de direcciones IPv6 de la organización además de los rangos de direcciones IPv4 existentes. Para ver un ejemplo de una política de bucket que permite el acceso a través de IPv6 e IPv4, consulte Restringir el acceso a direcciones IP específicas.

Puede revisar sus políticas de usuario de IAM en la consola de IAM en https://console.aws.amazon.com/iam/. Para obtener más información acerca de IAM, consulte la guía del usuario de IAM. Para obtener información sobre las políticas de buckets de S3 en Outposts, consulte Adición o edición de una política de bucket para un bucket de Amazon S3 en Outposts.

Probar la compatibilidad de dirección IP

Si utiliza una instancia de Linux, de Unix o una plataforma macOS X, puede probar el acceso a un punto de conexión de doble pila mediante IPv6. Por ejemplo, para probar la conexión a Amazon S3 en Outposts en los puntos de conexión mediante IPv6, utilice el comando dig:

dig s3-outposts.us-west-2.api.aws AAAA +short

Si el punto de conexión de doble pila a través de una red IPv6 está configurado correctamente, el comando dig devuelve las direcciones IPv6 conectadas. Por ejemplo:

dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

S3 en Outposts admite el protocolo IPv6 para los servicios y puntos de conexión de AWS PrivateLink. Gracias a la compatibilidad de AWS PrivateLink con el protocolo IPv6, puede conectarse a los puntos de conexión de servicio de su VPC a través de redes IPv6, ya sea desde conexiones en las instalaciones o desde otras conexiones privadas. La compatibilidad de IPv6 con AWS PrivateLink para S3 en Outposts también le permite integrar AWS PrivateLink con puntos de conexión de doble pila. Para ver los pasos a seguir para habilitar IPv6 para AWS PrivateLink, consulte Expedite your IPv6 adoption with AWS PrivateLink services and endpoints.

nota

Para actualizar el tipo de dirección IP compatible de IPv4 a IPv6, consulte Modify the supported IP address type en la Guía del usuario de AWS PrivateLink.

Si usa AWS PrivateLink con IPv6, debe crear un punto de conexión de interfaz de VPC de doble pila o de IPv6. Para ver los pasos generales a seguir para crear un punto de conexión de VPC desde la AWS Management Console, consulte Access an AWS service using an interface VPC endpoint en la Guía del usuario de AWS PrivateLink.

AWS Management Console

Utilice el siguiente procedimiento para crear un punto de conexión de VPC de interfaz que se conecte a S3 en Outposts.

  1. Inicie sesión en la AWS Management Console y abra la consola de VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Puntos de conexión.

  3. Elija Crear punto de conexión.

  4. En Service category (Categoría de servicios), elija AWSServices (Servicios de AWC).

  5. En Nombre del servicio, elija el servicio S3 en Outposts (com.amazonaws.us-east-1.s3-outposts).

  6. En VPC, elija la VPC desde la que accederá a S3 en Outposts.

  7. En Subredes, seleccione una subred por zona de disponibilidad desde la que accederá a S3 en Outposts. No puede seleccionar varias subredes de la misma zona de disponibilidad. Por cada subred que seleccione, se creará una interfaz de red de punto de conexión nueva. De forma predeterminada, las direcciones IP de los rangos de direcciones IP de la subred se asignan a las interfaces de red de los puntos de conexión. Para designar una dirección IP para una interfaz de red de puntos de conexión, elija Designar direcciones IP e introduzca una dirección IPv6 del rango de direcciones de la subred.

  8. Para Tipo de dirección IP, elija Dualstack. Asigne ambas direcciones IPv4 e IPv6 a sus interfaces de red del punto de conexión. Esta opción solo se admite si todas las subredes seleccionadas tienen rangos de direcciones IPv4 e IPv6.

  9. En Grupos de seguridad, elija los grupos de seguridad para asociarlos a las interfaces de red del punto de conexión para el punto de conexión de VPC. De forma predeterminada, el grupo de seguridad predeterminado está asociado a la VPC.

  10. En Política, elija Acceso completo para permitir todas las operaciones de todas las entidades principales en todos los recursos del punto de conexión de VPC. De lo contrario, elija Personalizar para adjuntar una política de punto de conexión de VPC que controle los permisos que tienen las entidades principales para realizar acciones en los recursos a través del punto de conexión de VPC. Esta opción solo está disponible si el servicio admite las políticas de punto de conexión de VPC. Para obtener más información, consulte Endpoint policies.

  11. (Opcional) Para agregar una etiqueta, elija Agregar etiqueta nueva e ingrese la clave y el valor de la etiqueta.

  12. Seleccione Crear punto de conexión.

ejemplo Ejemplo de política de bucket de S3 en Outposts

Para permitir que S3 en Outposts interactúe con sus puntos de conexión de VPC, puede actualizar la política de S3 en Outposts de la siguiente manera:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
AWS CLI
nota

Para habilitar la red IPv6 en su punto de conexión de VPC, debe configurar IPv6 para el filtro SupportedIpAddressType para S3 en Outposts.

En el siguiente ejemplo se utiliza el comando create-vpc-endpoint para crear un nuevo punto de conexión de interfaz de doble pila.

aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Según la configuración del servicio de AWS PrivateLink, es posible que el proveedor de servicios de puntos de conexión de VPC deba aceptar las conexiones de punto de conexión recién creadas antes de utilizarlas. Para obtener más información, consulte Accept and reject endpoint connection requests en la Guía del usuario de AWS PrivateLink.

En el siguiente ejemplo, se usa el comando modify-vpc-endpoint para actualizar el punto de conexión de VPC solo para IPV por un punto de conexión de doble pila. El punto de conexión de doble pila permite acceder a las redes IPv4 e IPv6.

aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Para ver más información sobre cómo habilitar la red IPv6 para AWS PrivateLink, consulte la publicación Expedite your IPv6 adoption with AWS PrivateLink services and endpoints.