Mise en route avec IPv6 Envoi de demandes à l'aide de points de terminaison Dual-Stack Utilisation d'adresses IPv6 dans les stratégies IAM Test de compatibilité d'adresses IP Utilisation d'IPv6 avec AWS PrivateLink

Envoyer des requêtes à S3 sur Outposts via IPv6

Les points de terminaison à double pile Amazon S3 on Outposts et S3 on Outposts prennent en charge les demandes adressées aux compartiments S3 on Outposts en utilisant le protocole IPv6 ou IPv4. Grâce à la prise en charge IPv6 de S3 on Outposts, vous pouvez accéder à vos buckets et aux ressources de votre plan de contrôle et les exploiter via les API S3 on Outposts sur des réseaux IPv6.

Note

Les actions d'objets S3 on Outposts (telles que PutObject ouGetObject) ne sont pas prises en charge sur les réseaux IPv6.

Il n'y a aucun frais supplémentaire pour accéder à S3 sur les Outposts via les réseaux IPv6. Pour plus d'informations sur S3 on Outposts, consultez la section Tarification de S3 on Outposts.

Rubriques

Mise en route avec IPv6
Utilisation de points de terminaison à double pile pour effectuer des demandes sur un réseau IPv6
Utilisation d'adresses IPv6 dans les stratégies IAM
Test de compatibilité d'adresses IP
Utilisation d'IPv6 avec AWS PrivateLink
Utilisation de S3 sur les points de terminaison à double pile d'Outposts

Mise en route avec IPv6

Pour envoyer une demande à un bucket S3 on Outposts via IPv6, vous devez utiliser un point de terminaison à double pile. La section suivante décrit comment envoyer des demandes via IPv6 à l'aide de points de terminaison Dual-Stack.

Les points suivants sont importants à prendre en compte avant d'essayer d'accéder à un bucket S3 on Outposts via IPv6 :

Le client et le réseau accédant au compartiment doivent être autorisés à utiliser le protocole IPv6.
Les demandes de type hébergement virtuel et type chemin sont prises en charge pour un accès via IPv6. Pour plus d’informations, consultez Utilisation de S3 sur les points de terminaison à double pile d'Outposts.
Si vous utilisez le filtrage des adresses IP source dans votre utilisateur AWS Identity and Access Management (IAM) ou les politiques du bucket S3 on Outposts, vous devez mettre à jour les politiques pour inclure les plages d'adresses IPv6.

Note
Cette exigence s'applique uniquement aux opérations du bucket S3 on Outposts et aux ressources du plan de contrôle sur les réseaux IPv6. Les actions d'objets Amazon S3 on Outposts ne sont pas prises en charge sur les réseaux IPv6.
Lorsque vous utilisez le protocole IPv6, les fichiers journaux d'accès au serveur génèrent les adresses IP au format IPv6. Vous devez mettre à jour les outils, scripts et logiciels existants que vous utilisez pour analyser les fichiers journaux S3 on Outposts, afin qu'ils puissent analyser les adresses IP distantes au format IPv6. Les outils, scripts et logiciels mis à jour analyseront ensuite correctement les adresses IP distantes au format IPv6.

Utilisation de points de terminaison à double pile pour effectuer des demandes sur un réseau IPv6

Pour effectuer des requêtes avec les appels d'API S3 on Outposts via IPv6, vous pouvez utiliser des points de terminaison à double pile via ou un SDK. AWS CLI AWS Les opérations de l'API de contrôle Amazon S3 et les opérations de l'API S3 on Outposts fonctionnent de la même manière, que vous accédiez à S3 on Outposts via un protocole IPv6 ou un protocole IPv4. Sachez toutefois que les actions d'objets S3 on Outposts (telles que PutObject ouGetObject) ne sont pas prises en charge sur les réseaux IPv6.

Lorsque vous utilisez l'AWS Command Line Interface (AWS CLI) et les kits SDK AWS, vous pouvez utiliser un paramètre ou un indicateur pour passer à un point de terminaison Dual-Stack. Vous pouvez également spécifier le point de terminaison à double pile directement en remplacement du point de terminaison S3 on Outposts dans le fichier de configuration.

Vous pouvez utiliser un point de terminaison à double pile pour accéder à un bucket S3 on Outposts via IPv6 à partir de l'une des options suivantes :

La AWS CLI (consultez Utilisation de points de terminaison Dual-Stack avec l AWS CLI).
Les kits SDK AWS (consultez Utilisation de S3 sur les points de terminaison à double pile d'Outposts à partir des SDK AWS).

Utilisation d'adresses IPv6 dans les stratégies IAM

Avant d'essayer d'accéder à un bucket S3 on Outposts à l'aide d'un protocole IPv6, assurez-vous que les politiques de bucket des utilisateurs IAM ou S3 on Outposts utilisées pour le filtrage des adresses IP sont mises à jour pour inclure les plages d'adresses IPv6. Si les politiques de filtrage des adresses IP ne sont pas mises à jour pour gérer les adresses IPv6, vous risquez de perdre l'accès à un bucket S3 on Outposts lorsque vous essayez d'utiliser le protocole IPv6.

Les politiques IAM qui filtrent les adresses IP utilisent des opérateurs de condition d'adresse IP. La politique de compartiment S3 on Outposts suivante identifie la plage d'adresses IP 54.240.143.* des adresses IPv4 autorisées à l'aide d'opérateurs de condition d'adresse IP. Toutes les adresses IP situées en dehors de cette plage se verront refuser l'accès au compartiment S3 on Outposts ()DOC-EXAMPLE-BUCKET. Comme toutes les adresses IPv6 se trouvent hors de la plage autorisée, cette stratégie empêche les adresses IPv6 d'accéder à DOC-EXAMPLE-BUCKET.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3outposts:*",
      "Resource": "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Vous pouvez modifier l'Conditionélément de la politique de compartiment S3 on Outposts pour autoriser les plages d'adresses IPv4 (54.240.143.0/24) et IPv6 (2001:DB8:1234:5678::/64), comme indiqué dans l'exemple suivant. Vous pouvez utiliser le même type de bloc Condition que celui indiqué dans l'exemple pour mettre à jour vos stratégies de compartiment et d'utilisateur IAM.


       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Avant d'utiliser le protocole IPv6, vous devez mettre à jour toutes les stratégies de compartiment et d'utilisateur IAM pertinentes qui utilisent le filtrage des adresses IP afin d'autoriser les plages d'adresses IPv6. Nous vous recommandons de mettre à jour vos stratégies IAM avec les plages d'adresses IPv6 de votre organisation, en plus des plages IPv4 existantes. Pour obtenir un exemple de stratégie de compartiment autorisant l'accès à la fois via IPv6 etIPv4, veuillez consulter Restriction de l'accès à des adresses IP spécifiques.

Vous pouvez consulter vos stratégies utilisateur IAM à l'aide de la console IAM à l'adresse https://console.aws.amazon.com/iam/. Pour de plus amples informations sur IAM, veuillez consulter le Guide de l'utilisateur IAM. Pour plus d'informations sur la modification des politiques du bucket S3 on Outposts, consultez. Ajout ou modification d'une politique de compartiment pour un compartiment Amazon S3 on Outposts.

Test de compatibilité d'adresses IP

Si vous utilisez une instance Linux ou Unix, ou une plateforme macOS X, vous pouvez tester votre accès à un point de terminaison à double pile via IPv6. Par exemple, pour tester la connexion à Amazon S3 sur les points de terminaison Outposts via IPv6, utilisez la commande : dig


dig s3-outposts.us-west-2.api.aws AAAA +short

Si votre point de terminaison à double pile sur un réseau IPv6 est correctement configuré, la dig commande renvoie les adresses IPv6 connectées. Par exemple :


dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

Utilisation d'IPv6 avec AWS PrivateLink

S3 on Outposts prend en charge le protocole IPv6 pour les AWS PrivateLink services et les points de terminaison. Grâce à la prise en AWS PrivateLink charge du protocole IPv6, vous pouvez vous connecter aux points de terminaison de service au sein de votre VPC via des réseaux IPv6, à partir de connexions sur site ou d'autres connexions privées. La prise en charge IPv6 AWS PrivateLinkde S3 on Outposts vous permet également d'intégrer des points de terminaison AWS PrivateLink à double pile. Pour savoir comment activer IPv6 pourAWS PrivateLink, voir Accélérer l'adoption d'IPv6 avec les AWS PrivateLink services et les points de terminaison.

Note

Pour mettre à jour le type d'adresse IP pris en charge d'IPv4 à IPv6, voir Modifier le type d'adresse IP pris en charge dans le Guide de l'AWS PrivateLinkutilisateur.

Utilisation d'IPv6 avec AWS PrivateLink

Si vous utilisez AWS PrivateLink IPv6, vous devez créer un point de terminaison d'interface VPC IPv6 ou à double pile. Pour connaître les étapes générales de création d'un point de terminaison VPC à l'aide duAWS Management Console, consultez la section Accès à un AWS service à l'aide d'un point de terminaison VPC d'interface dans le guide de l'utilisateur. AWS PrivateLink

AWS Management Console

Utilisez la procédure suivante pour créer un point de terminaison VPC d'interface qui se connecte à S3 sur Outposts.

Connectez-vous à la AWS Management Console et ouvrez la console VPC à l'adresse https://console.aws.amazon.com/vpc/.
Dans le panneau de navigation, choisissez Points de terminaison.
Choisissez Créer un point de terminaison.
Pour Service category (Catégorie de service), choisissez Services AWS.
Dans Nom du service, choisissez le service S3 on Outposts (com.amazonaws.us-east-1.s3-outposts).
Pour le VPC, choisissez le VPC à partir duquel vous allez accéder à S3 sur Outposts.
Pour les sous-réseaux, choisissez un sous-réseau par zone de disponibilité à partir duquel vous accéderez à S3 sur Outposts. Il n'est pas possible de sélectionner plusieurs sous-réseaux dans la même zone de disponibilité. Pour chaque sous-réseau que vous sélectionnez, une nouvelle interface réseau de point de terminaison est créée. Par défaut, les adresses IP des plages d'adresses IP des sous-réseaux sont attribuées aux interfaces réseau des points de terminaison. Pour désigner une adresse IP pour une interface réseau de point de terminaison, choisissez Designate IP addresses et entrez une adresse IPv6 dans la plage d'adresses de sous-réseau.
Pour le type d'adresse IP, choisissez Dualstack. Attribuez des adresses IPv4 et IPv6 aux interfaces réseau de vos terminaux. Cette option n'est prise en charge que si tous les sous-réseaux sélectionnés possèdent des plages d'adresses IPv4 et IPv6.
Pour les groupes de sécurité, choisissez les groupes de sécurité à associer aux interfaces réseau du point de terminaison pour le point de terminaison VPC. Par défaut, le groupe de sécurité par défaut est associé au VPC.
Pour Politique, choisissez Accès complet afin d’autoriser toutes les opérations de tous les principaux sur toutes les ressources via le point de terminaison de VPC. Sinon, choisissez Personnalisé pour associer une politique de point de terminaison VPC qui contrôle les autorisations dont disposent les principaux pour effectuer des actions sur les ressources via le point de terminaison VPC. Cette option n'est disponible que si le service prend en charge les politiques de points de terminaison de VPC. Pour plus d'informations, consultez la section Politiques relatives aux terminaux.
(Facultatif) Pour ajouter une identification, choisissez Add new tag (Ajouter une identification) et saisissez la clé et la valeur de l’identification.
Choisissez Créer un point de terminaison.

Exemple — Politique relative aux compartiments S3 on Outposts

Pour permettre à S3 on Outposts d'interagir avec vos points de terminaison VPC, vous pouvez ensuite mettre à jour votre politique S3 on Outposts comme suit :


{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}

AWS CLI

Note

Pour activer le réseau IPv6 sur votre point de terminaison VPC, vous devez avoir IPv6 défini le SupportedIpAddressType filtre pour S3 sur Outposts.

L'exemple suivant utilise la create-vpc-endpoint commande pour créer un nouveau point de terminaison d'interface à double pile.


aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Selon la configuration du AWS PrivateLink service, les connexions de point de terminaison nouvellement créées devront peut-être être acceptées par le fournisseur de services de point de terminaison VPC avant de pouvoir être utilisées. Pour plus d'informations, consultez la section Accepter et rejeter les demandes de connexion des terminaux dans le Guide de AWS PrivateLink l'utilisateur.

L'exemple suivant utilise la modify-vpc-endpoint commande pour mettre à jour le point de terminaison VPC IPV uniquement vers un point de terminaison à double pile. Le point de terminaison à double pile permet d'accéder aux réseaux IPv4 et IPv6.


aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Pour plus d'informations sur la façon d'activer le réseau IPv6 pourAWS PrivateLink, voir Accélérer l'adoption d'IPv6 avec les AWS PrivateLink services et les points de terminaison.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configurer le client de contrôle S3

Utilisation des points de terminaison Dual-Stack