Membuat permintaan ke S3 di Outposts melalui IPv6 - Amazon Simple Storage Service
Memulai dengan IPv6Mengajukan permintaan menggunakan titik akhir tumpukan gandaMenggunakan alamat IPv6 di kebijakan IAMMenguji kompatibilitas alamat IPMenggunakan IPv6 dengan AWS PrivateLink

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat permintaan ke S3 di Outposts melalui IPv6

Amazon S3 di Outposts dan S3 di Outposts dual-stack endpoint mendukung permintaan ke S3 on Outposts bucket menggunakan protokol IPv6 atau IPv4. Dengan dukungan IPv6 untuk S3 di Outposts, Anda dapat mengakses dan mengoperasikan bucket dan mengontrol sumber daya pesawat melalui S3 on Outposts API melalui jaringan IPv6.

catatan

Tindakan objek S3 pada Outposts (PutObjectseperti GetObject atau) tidak didukung melalui jaringan IPv6.

Tidak ada biaya tambahan untuk mengakses S3 di Outposts melalui jaringan IPv6. Untuk informasi lebih lanjut tentang S3 di Outposts, lihat harga S3 di Outposts.

Topik

Memulai dengan IPv6

Untuk membuat permintaan ke bucket S3 on Outposts melalui IPv6, Anda harus menggunakan endpoint dual-stack. Bagian selanjutnya menjelaskan cara untuk membuat permintaan melalui IPv6 dengan menggunakan titik akhir tumpukan ganda.

Berikut ini adalah pertimbangan penting sebelum mencoba mengakses bucket S3 on Outposts melalui IPv6:

  • Klien dan jaringan yang mengakses bucket harus diaktifkan agar dapat menggunakan IPv6.

  • Permintaan cara hosting virtual dan cara jejak didukung untuk akses IPv6. Untuk informasi selengkapnya, lihat Menggunakan S3 pada titik akhir dual-stack Outposts.

  • Jika Anda menggunakan pemfilteran alamat IP sumber di pengguna AWS Identity and Access Management (IAM) atau kebijakan bucket S3 on Outposts, Anda harus memperbarui kebijakan untuk menyertakan rentang alamat IPv6.

    catatan

    Persyaratan ini hanya berlaku untuk operasi bucket S3 pada Outposts dan sumber daya bidang kontrol di seluruh jaringan IPv6. Tindakan objek Amazon S3 di Outposts tidak didukung di seluruh jaringan IPv6.

  • Saat menggunakan IPv6, berkas log akses server mengeluarkan alamat IP dalam format IPv6. Anda harus memperbarui alat, skrip, dan perangkat lunak yang ada yang Anda gunakan untuk mengurai S3 pada file log Outposts, sehingga mereka dapat mengurai alamat IP jarak jauh berformat IPv6. Alat, skrip, dan perangkat lunak yang diperbarui kemudian akan mengurai alamat IP jarak jauh yang diformat IPv6 dengan benar.

Menggunakan titik akhir dual-stack untuk membuat permintaan melalui jaringan IPv6

Untuk membuat permintaan dengan S3 pada panggilan Outposts API melalui IPv6, Anda dapat menggunakan titik akhir dual-stack melalui atau SDK. AWS CLI AWS Operasi API kontrol Amazon S3 dan operasi S3 pada Outposts API bekerja dengan cara yang sama apakah Anda mengakses S3 di Outposts melalui protokol IPv6 atau protokol IPv4. Namun, ketahuilah bahwa tindakan objek S3 pada Outposts (PutObjectseperti GetObject atau) tidak didukung melalui jaringan IPv6.

Saat menggunakan AWS Command Line Interface (AWS CLI) dan AWS SDK, Anda dapat menggunakan parameter atau tanda bendera untuk mengubah ke titik akhir tumpukan ganda. Anda juga dapat menentukan titik akhir dual-stack secara langsung sebagai penggantian titik akhir S3 on Outposts dalam file konfigurasi.

Anda dapat menggunakan titik akhir dual-stack untuk mengakses bucket S3 di Outposts melalui IPv6 dari salah satu dari berikut ini:

Menggunakan alamat IPv6 di kebijakan IAM

Sebelum mencoba mengakses bucket S3 di Outposts menggunakan protokol IPv6, pastikan bahwa pengguna IAM atau kebijakan bucket S3 on Outposts yang digunakan untuk pemfilteran alamat IP diperbarui untuk menyertakan rentang alamat IPv6. Jika kebijakan pemfilteran alamat IP tidak diperbarui untuk menangani alamat IPv6, Anda dapat kehilangan akses ke bucket S3 on Outposts saat mencoba menggunakan protokol IPv6.

Kebijakan IAM yang memfilter alamat IP menggunakan operator kondisi alamat IP. Kebijakan bucket S3 on Outposts berikut mengidentifikasi rentang IP 54.240.143.* dari alamat IPv4 yang diizinkan dengan menggunakan operator kondisi alamat IP. Alamat IP apa pun di luar rentang ini akan ditolak aksesnya ke bucket DOC-EXAMPLE-BUCKET S3 on Outposts (). Karena semua alamat IPv6 di luar rentang yang diizinkan, kebijakan ini mencegah alamat IPv6 agar tidak dapat mengakses DOC-EXAMPLE-BUCKET. 

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3outposts:*",
      "Resource": "arn:aws:s3-outposts:region:111122223333:outpost/OUTPOSTS-ID/bucket/DOC-EXAMPLE-BUCKET/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

Anda dapat memodifikasi elemen kebijakan Condition bucket S3 pada Outposts untuk mengizinkan rentang alamat IPv4 54.240.143.0/24 () dan IPv6 2001:DB8:1234:5678::/64 () seperti yang ditunjukkan pada contoh berikut. Anda dapat menggunakan tipe blok Condition yang ditampilkan dalam contoh untuk memperbarui kebijakan pengguna IAM dan bucket Anda.

       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Sebelum menggunakan IPv6 Anda harus memperbarui semua kebijakan pengguna IAM dan bucket terkait yang menggunakan pemfilteran alamat IP untuk memungkinkan rentang alamat IPv6 . Kami menyarankan agar Anda memperbarui kebijakan IAM dengan rentang alamat IPv6 organisasi Anda selain dari rentang alamat IPv4 Anda yang telah ada. Untuk contoh kebijakan kelompok yang memungkinkan akses atas IPv6 dan IPv4, lihat Membatasi akses ke suatu Wilayah tertentu.

Anda dapat meninjau kebijakan pengguna IAM menggunakan konsol IAM di https://console.aws.amazon.com/iam/. Untuk informasi lebih lanjut tentang IAM, lihat Panduan Pengguna IAM. Untuk informasi tentang mengedit S3 pada kebijakan bucket Outposts, lihat. Menambahkan atau mengedit kebijakan bucket untuk bucket Amazon S3 di Outposts

Menguji kompatibilitas alamat IP

Jika Anda menggunakan instance Linux atau Unix, atau platform macOS X, Anda dapat menguji akses Anda ke titik akhir dual-stack melalui IPv6. Misalnya, untuk menguji koneksi ke Amazon S3 pada titik akhir Outposts melalui IPv6, gunakan perintah: dig

dig s3-outposts.us-west-2.api.aws AAAA +short

Jika titik akhir dual-stack Anda melalui jaringan IPv6 diatur dengan benar, dig perintah mengembalikan alamat IPv6 yang terhubung. Sebagai contoh:

dig s3-outposts.us-west-2.api.aws AAAA +short

2600:1f14:2588:4800:b3a9:1460:159f:ebce

2600:1f14:2588:4802:6df6:c1fd:ef8a:fc76

2600:1f14:2588:4801:d802:8ccf:4e04:817

S3 on Outposts mendukung protokol AWS PrivateLink IPv6 untuk layanan dan titik akhir. Dengan AWS PrivateLink dukungan untuk protokol IPv6, Anda dapat terhubung ke titik akhir layanan dalam VPC Anda melalui jaringan IPv6, baik dari koneksi lokal maupun pribadi lainnya. Dukungan IPv6 AWS PrivateLinkuntuk S3 di Outposts juga memungkinkan Anda untuk berintegrasi dengan titik akhir dual-stack. AWS PrivateLink Untuk langkah-langkah tentang cara mengaktifkan IPv6AWS PrivateLink, lihat Mempercepat adopsi IPv6 Anda dengan layanan dan titik akhir. AWS PrivateLink

catatan

Untuk memperbarui jenis alamat IP yang didukung dari IPv4 ke IPv6, lihat Memodifikasi jenis alamat IP yang didukung di Panduan Pengguna. AWS PrivateLink

Jika Anda menggunakan AWS PrivateLink IPv6, Anda harus membuat titik akhir antarmuka VPC IPv6 atau dual-stack. Untuk langkah-langkah umum tentang cara membuat titik akhir VPC menggunakanAWS Management Console, lihat Mengakses AWS layanan menggunakan titik akhir VPC antarmuka di Panduan Pengguna. AWS PrivateLink

AWS Management Console

Gunakan prosedur berikut untuk membuat titik akhir VPC antarmuka yang terhubung ke S3 di Outposts.

  1. Masuk ke AWS Management Console dan buka konsol VPC di https://console.aws.amazon.com/vpc/.

  2. Di panel navigasi, pilih Titik Akhir.

  3. Pilih Buat Titik Akhir.

  4. Untuk kategori Layanan, pilih AWSlayanan.

  5. Untuk nama Layanan, pilih layanan S3 on Outposts (com.amazonaws.us-east-1.s3-outposts).

  6. Untuk VPC, pilih VPC tempat Anda akan mengakses S3 di Outposts.

  7. Untuk Subnet, pilih satu subnet per Availability Zone dari mana Anda akan mengakses S3 di Outposts. Anda tidak dapat memilih beberapa subnet dari Availability Zone yang sama. Untuk setiap subnet yang Anda pilih, antarmuka jaringan endpoint baru dibuat. Secara default, alamat IP dari rentang alamat IP subnet ditetapkan ke antarmuka jaringan titik akhir. Untuk menunjuk alamat IP untuk antarmuka jaringan titik akhir, pilih Tentukan alamat IP dan masukkan alamat IPv6 dari rentang alamat subnet.

  8. Untuk jenis alamat IP, pilih Dualstack. Tetapkan alamat IPv4 dan IPv6 ke antarmuka jaringan titik akhir Anda. Opsi ini didukung hanya jika semua subnet yang dipilih memiliki rentang alamat IPv4 dan IPv6.

  9. Untuk grup Keamanan, pilih grup keamanan untuk diasosiasikan dengan antarmuka jaringan titik akhir untuk titik akhir VPC. Secara default, grup keamanan default dikaitkan dengan VPC.

  10. Untuk Kebijakan, pilih Akses penuh untuk mengizinkan semua operasi oleh semua pengguna utama pada semua sumber daya melalui titik akhir VPC. Jika tidak, pilih Kustom untuk melampirkan kebijakan titik akhir VPC yang mengontrol izin yang dimiliki kepala sekolah untuk melakukan tindakan pada sumber daya melalui titik akhir VPC. Opsi ini hanya tersedia jika layanan mendukung kebijakan titik akhir VPC. Untuk informasi selengkapnya, lihat Kebijakan Endpoint.

  11. (Opsional) Untuk menambahkan tanda, pilih Tambahkan tanda baru dan masukkan kunci dan nilai tanda.

  12. Pilih Buat titik akhir.

contoh — Kebijakan bucket S3 pada Outposts

Untuk mengizinkan S3 di Outposts berinteraksi dengan titik akhir VPC Anda, Anda kemudian dapat memperbarui kebijakan S3 on Outposts seperti ini:

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3-outposts:*",
            "Resource": "*",
            "Principal": "*"
        }
    ]
}
AWS CLI
catatan

Untuk mengaktifkan jaringan IPv6 pada titik akhir VPC Anda, Anda harus IPv6 mengatur filter untuk S3 di OutpostsSupportedIpAddressType.

Contoh berikut menggunakan create-vpc-endpoint perintah untuk membuat endpoint antarmuka dual-stack baru.

aws ec2 create-vpc-endpoint \
--vpc-id vpc-12345678 \
--vpc-endpoint-type Interface \
--service-name com.amazonaws.us-east-1.s3-outposts \
--subnet-id subnet-12345678 \
--security-group-id sg-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Bergantung pada konfigurasi AWS PrivateLink layanan, koneksi titik akhir yang baru dibuat mungkin perlu diterima oleh penyedia layanan titik akhir VPC sebelum dapat digunakan. Untuk informasi selengkapnya, lihat Menerima dan menolak permintaan koneksi titik akhir di AWS PrivateLinkPanduan Pengguna.

Contoh berikut menggunakan modify-vpc-endpoint perintah untuk memperbarui titik akhir VPC khusus IPV-ke titik akhir dual-stack. Titik akhir dual-stack memungkinkan akses ke jaringan IPv4 dan IPv6.

aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-12345678 \
--add-subnet-ids subnet-12345678 \
--remove-subnet-ids subnet-12345678 \
--ip-address-type dualstack \
--dns-options "DnsRecordIpType=dualstack"

Untuk informasi selengkapnya tentang cara mengaktifkan jaringan IPv6AWS PrivateLink, lihat Mempercepat adopsi IPv6 Anda dengan layanan dan titik akhir. AWS PrivateLink