Nozioni di base su IPv6 Utilizzo degli indirizzi IPv6 nelle policy IAM Test di compatibilità degli indirizzi IP

Esecuzione di richieste ad Amazon S3 su IPv6

Amazon Simple Storage Service (Amazon S3) consente di accedere ai bucket S3 tramite l'Internet Protocol versione 6 (IPv6), oltre al protocollo IPv4. Gli endpoint dual-stack Amazon S3; supportano le richieste ai bucket S3 su IPv6 e IPv4. Non sono previsti costi aggiuntivi per l'accesso ad Amazon S3 su IPv6. Per ulteriori informazioni sui prezzi, consulta Prezzi di Amazon S3.

Argomenti

Nozioni di base sull'esecuzione di richieste su IPv6
Utilizzo degli indirizzi IPv6 nelle policy IAM
Test di compatibilità degli indirizzi IP
Utilizzo degli endpoint dual-stack Amazon S3

Nozioni di base sull'esecuzione di richieste su IPv6

Per effettuare una richiesta a un bucket S3 su IPv6, è necessario utilizzare un endpoint dual-stack. Nella sezione seguente viene descritto come effettuare richieste su IPv6 utilizzando gli endpoint dual-stack.

Di seguito sono descritti alcuni punti da prendere in considerazione prima di tentare di accedere a un bucket su IPv6:

Il client e la rete che eseguono l'accesso al bucket devono essere abilitati a utilizzare IPv6.
Per l'accesso a IPv6 sono supportate sia le richieste in stile percorso sia quelle in stile hosting virtuale. Per ulteriori informazioni, consulta Endpoint dual-stack Amazon S3.
Se utilizzi il filtro degli indirizzi IP di origine nelle policy del bucket e utente di AWS Identity and Access Management (IAM), è necessario aggiornare le policy in modo da includere gli intervalli di indirizzi IPv6. Per ulteriori informazioni, consulta Utilizzo degli indirizzi IPv6 nelle policy IAM.
Quando si utilizza IPv6, i file di log degli accessi al server generano indirizzi IP in un formato IPv6. È necessario aggiornare il software, gli script e gli strumenti esistenti utilizzati per analizzare i file di log di Amazon S3; affinché possano analizzare gli indirizzi Remote IP in formato IPv6. Per ulteriori informazioni, consulta Formato del log di accesso al server Amazon S3 e Registrazione delle richieste con registrazione dell'accesso al server.

Nota
Se si verificano problemi relativi alla presenza di indirizzi IPv6 nei file di log, contatta AWS Support.

Esecuzione di richieste su IPv6 tramite gli endpoint dual-stack

È possibile effettuare richieste con chiamate all'API di Amazon S3 tramite IPv6 utilizzando gli endpoint dual-stack. Le operazioni dell'API di Amazon S3 vengono eseguite nello stesso modo sia che tu acceda a Amazon S3 su IPv6 che su IPv4. Anche le prestazioni dovrebbero essere le stesse.

Quando si utilizza l'API REST, è possibile accedere direttamente a un endpoint dual-stack. Per ulteriori informazioni, consulta Endpoint dual-stack.

Quando si utilizzano AWS Command Line Interface (AWS CLI) e gli SDK AWS, è possibile servirsi di un parametro o flag per passare a un endpoint dual-stack. È inoltre possibile specificare l'endpoint dual-stack direttamente come sostituzione dell'endpoint Amazon S3 nel file di configurazione.

È possibile utilizzare un endpoint dual-stack per accedere a un bucket su IPv6 da uno qualsiasi dei seguenti elementi:

La AWS CLI, consulta Utilizzo degli endpoint dual-stack dall AWS CLI.
Gli SDK AWS, consulta Utilizzo degli endpoint dual-stack dagli SDK AWS.
API REST, consulta Esecuzione di richieste a endpoint Dual-Stack utilizzando l'API REST.

Caratteristiche non disponibili su IPv6

La seguente funzionalità non è attualmente supportata quando si accede a un bucket S3 su IPv6: sito Web statico hosting da un bucket S3.

Utilizzo degli indirizzi IPv6 nelle policy IAM

Prima di tentare di accedere a un bucket tramite IPv6-S3, è necessario assicurarsi che le policy utente IAM o del bucket IPv6 utilizzate per il filtro degli indirizzi IP siano aggiornate per includere gli intervalli di indirizzi IPv6. Se non aggiorni le policy di filtro degli indirizzi IP per la gestione degli indirizzi IPv6, i client possono perdere oppure ottenere in modo errato l'accesso al bucket quando iniziano a utilizzare IPv6. Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso con IAM, consulta Identity and Access Management in Amazon S3.

Le policy IAM che filtrano gli indirizzi IP utilizzano gli operatori di condizione degli indirizzi IP. La seguente policy del bucket identifica l'intervallo 54.240.143.* degli indirizzi IPv4 consentiti tramite gli operatori di condizione degli indirizzi IP. A qualsiasi indirizzo IP non incluso in questo intervallo verrà negato l'accesso al bucket (examplebucket). Poiché tutti gli indirizzi IPv6 non sono inclusi nell'intervallo consentito, questa policy impedisce agli indirizzi IPv6 di accedere a examplebucket.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IPAllow",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "s3:*",
      "Resource": "arn:aws:s3:::examplebucket/*",
      "Condition": {
         "IpAddress": {"aws:SourceIp": "54.240.143.0/24"}
      } 
    } 
  ]
}

È possibile modificare l'elemento Condition della policy del bucket per consentire entrambi gli intervalli di indirizzi IPv4 (54.240.143.0/24) e IPv6 (2001:DB8:1234:5678::/64), come mostrato nell'esempio che segue. È possibile utilizzare lo stesso tipo di blocco Condition mostrato nell'esempio per aggiornare sia le policy del bucket sia le policy utente IAM.


       "Condition": {
         "IpAddress": {
            "aws:SourceIp": [
              "54.240.143.0/24",
               "2001:DB8:1234:5678::/64"
             ]
          }
        }

Prima di utilizzare IPv6, è necessario aggiornare tutte le policy del bucket e utente IAM pertinenti che utilizzano il filtro degli indirizzi IP per consentire gli intervalli di indirizzi IPv6. Ti consigliamo di aggiornare le policy IAM con gli intervalli di indirizzi IPv6 dell'organizzazione oltre agli intervalli di indirizzi IPv4 esistenti. Per un esempio di una policy del bucket che consenta l'accesso sia su IPv6 sia su IPv4, consulta Limitare l'accesso a indirizzi IP specifici.

È possibile esaminare le policy utente IAM tramite la console IAM all'indirizzo https://console.aws.amazon.com/iam/. Per ulteriori informazioni su IAM, consulta la Guida per l'utente di IAM. Per informazioni sulla modifica delle policy dei bucket S3, consulta Aggiunta di una policy di bucket utilizzando la console di Amazon S3.

Test di compatibilità degli indirizzi IP

Se utilizzi Linux/Unix o Mac OS X, puoi verificare se è possibile accedere a un endpoint dual-stack su IPv6 tramite il comando curl, come mostrato nell'esempio seguente:


curl -v  http://s3.dualstack.us-west-2.amazonaws.com/

Vengono restituite informazioni simili a quelle indicate nell'esempio seguente. Se la connessione è stata eseguita su IPv6, l'indirizzo IP connesso sarà un indirizzo IPv6.



* About to connect() to s3-us-west-2.amazonaws.com port 80 (#0)
*   Trying IPv6 address... connected
* Connected to s3.dualstack.us-west-2.amazonaws.com (IPv6 address) port 80 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: s3.dualstack.us-west-2.amazonaws.com

Se utilizzi Microsoft Windows 7 o Windows 10, puoi verificare se è possibile accedere a un endpoint dual-stack su IPv6 o IPv4 tramite il comando ping, come mostrato nell'esempio che segue.


ping ipv6.s3.dualstack.us-west-2.amazonaws.com

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Esecuzione di richieste

Utilizzo degli endpoint dual-stack