Pré-requisitos para criar regras de replicação

Conectar suas sub-redes do Outpost de origem e destino

Para que seu tráfego de replicação vá do Outpost de origem para o Outpost de destino pelo gateway local, você deve adicionar uma nova rota para configurar a rede. É necessário conectar os intervalos de rede de Encaminhamento Entre Domínios Sem Classificação (CIDR) de seus pontos de acesso. Para cada par de pontos de acesso, você precisa configurar essa conexão apenas uma vez.

Algumas etapas para configurar a conexão são diferentes, dependendo do tipo de acesso de seus endpoints do Outposts associados aos seus pontos de acesso. O tipo de acesso para endpoints é privado (roteamento direto de nuvem virtual privada [VPC] para AWS Outposts) ou IP de propriedade do cliente (um grupo de endereços IP de propriedade do cliente [grupo de CoIP] em sua rede on-premises).

Etapa 1: Encontrar o intervalo CIDR de seu endpoint do Outposts de origem

Como encontrar o intervalo CIDR de seu endpoint de origem que está associado ao seu ponto de acesso de origem

1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

2. No painel de navegação à esquerda, escolha Outposts buckets (Buckets do Outposts).

3. Na lista Buckets do Outposts, selecione o bucket de origem desejado para replicação.

4. Selecione a guia Pontos de acesso do Outposts e o ponto de acesso do Outposts do bucket de origem para sua regra de replicação.

5. Selecione endpoint do Outposts.

6. Copie o ID da sub-rede para uso na Etapa 5.

7. O método utilizado para encontrar o intervalo CIDR do endpoint do Outposts de origem depende do tipo de acesso de seu endpoint.

   Na seção Visão geral do endpoint do Outposts, consulte o Tipo de acesso.

   • Se o tipo de acesso for Privado, copie o valor do Encaminhamento Entre Domínios sem Classificação (CIDR) para ser utilizado na Etapa 6.

   • Se o tipo de acesso for IP de propriedade do cliente, faça o seguinte:

     1. Copie o valor do Grupo IPv4 de propriedade do cliente para ser utilizado como ID do grupo de endereços posteriormente.

     2. Abra o console do AWS Outposts em https://console.aws.amazon.com/outposts/.

     3. No painel de navegação, selecione Tabelas de rotas do gateway local.

     4. Selecione o valor de ID da tabela de rotas do gateway local de seu Outpost de origem.

     5. No painel de detalhes, selecione a guia Grupos de CoIP. Cole o valor de seu ID do grupo de CoIP que você copiou anteriormente na caixa de pesquisa.

     6. Para o grupo de CoIP correspondente, copie o valor CIDRs correspondente de seu endpoint do Outposts de origem para uso na Etapa 6.

Etapa 2: Encontrar o ID da sub-rede e o intervalo CIDR de seu endpoint do Outposts de destino

Para encontrar o ID da sub-rede e o intervalo CIDR de seu endpoint de destino associado ao seu ponto de acesso de destino, siga as mesmas subetapas indicadas na Etapa 1 e altere seu endpoint do Outposts de origem para o endpoint do Outposts de destino ao realizar essas subetapas. Copie o valor do ID da sub-rede de seu endpoint do Outposts de destino para uso na Etapa 6. Copie o valor CIDR de seu endpoint do Outposts de destino para uso na Etapa 5.

Etapa 3: Encontrar o ID do gateway local do seu Outpost de origem

Como encontrar o ID do gateway local de seu Outpost de origem

1. Abra o console do AWS Outposts em https://console.aws.amazon.com/outposts/.

2. No painel de navegação à esquerda, selecione Gateways locais.

3. Na página Gateways locais, encontre o ID do Outpost de seu Outpost de origem a ser utilizado para replicação.

4. Copie o valor do ID do gateway local de seu Outpost de origem para uso na Etapa 5.

Para ter mais informações sobre o gateway local, consulte Gateway local no Guia do usuário do AWS Outposts.

Etapa 4: Encontrar o ID do gateway local de seu Outpost de destino

Para encontrar o ID do gateway local de seu Outpost de destino, siga as mesmas subetapas indicadas na Etapa 3, exceto para procurar o ID de seu Outpost de destino. Copie o valor do ID do gateway local de seu Outpost de destino para uso na Etapa 6.

Etapa 5: Configurar a conexão da sub-rede do Outpost de origem com a sub-rede do Outpost de destino

Como estabelecer conexão da sub-rede do Outpost de origem com a sub-rede do Outpost de destino

1. Faça login no AWS Management Console e abra o console da VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação à esquerda, escolha Subnets (Sub-redes).

3. Na caixa de pesquisa, insira o ID da sub-rede de seu endpoint do Outposts de origem que você encontrou na Etapa 1. Selecione a sub-rede com o ID de sub-rede correspondente.

4. Para o item de sub-rede correspondente, selecione o valor da tabela de rotas dessa sub-rede.

5. Na página com uma tabela de rotas selecionada, selecione Ações e, depois, Editar rotas.

6. Na página Editar rotas, selecione Editar rota.

7. Em Destino, insira o intervalo CIDR de seu endpoint do Outposts de destino que você encontrou na Etapa 2.

8. Em Destino, selecione Gateway local do Outpost e insira o ID do gateway local de seu Outpost de origem que você encontrou na Etapa 3.

9. Escolha Salvar alterações.

10. O status da rota deve ser ativo.

Etapa 6: Configurar a conexão da sub-rede do Outpost de destino com a sub-rede do Outpost de origem

1. Faça login no AWS Management Console e abra o console da VPC em https://console.aws.amazon.com/vpc/.

2. No painel de navegação à esquerda, escolha Subnets (Sub-redes).

3. Na caixa de pesquisa, insira o ID da sub-rede de seu endpoint do Outposts de destino que você encontrou na Etapa 2. Selecione a sub-rede com o ID de sub-rede correspondente.

4. Para o item de sub-rede correspondente, selecione o valor da tabela de rotas dessa sub-rede.

5. Na página com uma tabela de rotas selecionada, selecione Ações e, depois, Editar rotas.

6. Na página Editar rotas, selecione Editar rota.

7. Em Destino, insira o intervalo CIDR de seu endpoint do Outposts de origem que você encontrou na Etapa 1.

8. Em Destino, selecione Gateway local do Outpost e insira o ID do gateway local de seu Outpost de destino que você encontrou na Etapa 4.

9. Escolha Salvar alterações.

10. O status da rota deve ser ativo.

Depois de conectar os intervalos de rede CIDR de seus pontos de acesso de origem e destino, você deve criar um perfil do AWS Identity and Access Management (IAM).

Criar um perfil do IAM

Por padrão, todos os recursos do S3 no Outposts: buckets, objetos e sub-recursos relacionados, são privados, e somente o proprietário do recurso pode acessá-lo. O S3 no Outposts precisa de permissões de leitura e replicação de objetos a partir do bucket do Outposts de origem. Você concede essas permissões criando um perfil do IAM perfil de serviço e especificando esse perfil na configuração da replicação.

Esta seção explica a política de confiança e a política de permissão mínima necessária. As demonstrações de exemplo fornecem instruções passo a passo para criar uma função do IAM. Para ter mais informações, consulte Criar regras de replicação no Outposts. Para obter mais informações sobre funções do IAM, consulte Funções do IAM no Manual do usuário do IAM.

• O exemplo a seguir mostra uma política de confiança na qual você identifica o S3 no Outposts como a entidade principal do serviço que pode assumir a função.

  {
     "Version":"2012-10-17",
     "Statement":[
        {
           "Effect":"Allow",
           "Principal":{
              "Service":"s3-outposts.amazonaws.com"
           },
           "Action":"sts:AssumeRole"
        }
     ]
  }

• O exemplo a seguir mostra uma política de acesso em que você concede à função permissões para realizar as tarefas de replicação em seu nome. Quando o S3 no Outposts assumir o perfil, ele terá as permissões que você especificar nessa política. Para utilizar essa política, substitua os user input placeholders por suas próprias informações. Substitua-os pelos IDs dos Outposts de origem e destino e pelos nomes dos bucket e nomes de pontos de acesso de seus buckets dos Outposts de origem e destino.

  {
     "Version":"2012-10-17",
     "Statement":[
        {
           "Effect":"Allow",
           "Action":[
              "s3-outposts:GetObjectVersionForReplication",
              "s3-outposts:GetObjectVersionTagging"
           ],
           "Resource":[
              "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/bucket/SOURCE-OUTPOSTS-BUCKET/object/*",
              "arn:aws:s3-outposts:region:123456789012:outpost/SOURCE-OUTPOST-ID/accesspoint/SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
           ]        
        },
        {
           "Effect":"Allow",
           "Action":[
              "s3-outposts:ReplicateObject",
              "s3-outposts:ReplicateDelete"
           ],
           "Resource":[
              "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*",
              "arn:aws:s3-outposts:region:123456789012:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
           ]  
        }
     ]
  }

  A política de acesso concede permissões às seguintes ações:

  • s3-outposts:GetObjectVersionForReplication: a permissão para essa ação é concedida em todos os objetos para permitir que o S3 no Outposts obtenha uma versão específica associada a cada objeto.

  • s3-outposts:GetObjectVersionTagging: a permissão para essa ação em objetos no bucket do SOURCE-OUTPOSTS-BUCKET (o bucket de origem) permite que o S3 no Outposts leia tags de objeto para replicação. Para ter mais informações, consulte Adicionar etiquetas aos buckets do S3 on Outposts. Se o S3 no Outposts não tiver essa permissão, ele replicará os objetos, mas não as tags de objeto.

  • s3-outposts:ReplicateObject e s3-outposts:ReplicateDelete: as permissões para essas ações em todos os objetos no bucket do DESTINATION-OUTPOSTS-BUCKET (o bucket de destino) permitem que o S3 no Outposts replique objetos ou marcadores de exclusão no bucket do Outposts de destino. Para obter mais informações sobre marcadores de exclusão, consulte Como a exclusão de operações afeta a replicação.

    nota

    • A permissão para a ação s3-outposts:ReplicateObject no bucket do DESTINATION-OUTPOSTS-BUCKET (o bucket de destino) também permite a replicação de tags de objeto. Portanto, você não precisa conceder permissão explícita para a ação s3-outposts:ReplicateTags.

    • Para replicação entre contas, o proprietário do bucket do Outposts de destino deve atualizar sua política de bucket para conceder permissão para a ação s3-outposts:ReplicateObject no DESTINATION-OUTPOSTS-BUCKET. A ação s3-outposts:ReplicateObject permite que o S3 no Outposts replique objetos e tags de objetos no bucket do Outposts de destino.

  Para obter uma lista das ações do S3 no Outposts, consulte Ações definidas pelo S3 no Outposts.

  Importante

  Mais especificamente, a Conta da AWS proprietária da função do IAM precisa ter permissões para as ações que ela concede à função do IAM.

  Por exemplo, suponha que o bucket do Outposts de origem contenha objetos pertencentes a outra Conta da AWS. O proprietário dos objetos deverá conceder as permissões exigidas à Conta da AWS proprietária do perfil do IAM por meio da política do bucket e da política de ponto de acesso. Caso contrário, o S3 no Outposts não conseguirá acessar os objetos e ocorrerá uma falha na replicação dos objetos.

  As permissões descritas aqui são relativas à configuração mínima da replicação. Se optar por adicionar configurações de replicação opcionais, será necessário conceder permissões adicionais ao S3 no Outposts.

Conceder permissões quando os buckets do Outposts de origem e destino pertencerem a Contas da AWS diferentes

Quando os buckets do Outposts de origem e destino não pertencem às mesmas contas, o proprietário do bucket do Outposts de destino deve atualizar as políticas de bucket e ponto de acesso do bucket de destino. Essas políticas devem conceder ao proprietário do bucket do Outposts de origem e ao perfil de serviço do IAM permissões para realizar ações de replicação, conforme mostrado nos exemplos de políticas a seguir, ou ocorrerá uma falha na replicação. Nestes exemplos de política, DESTINATION-OUTPOSTS-BUCKET é o bucket de destino. Para usar esses exemplos de política, substitua os user input placeholders por suas próprias informações.

Se você estiver criando o perfil de serviço do IAM manualmente, defina o caminho do perfil como role/service-role/, conforme mostrado nos exemplos de políticas a seguir. Para obter mais informações, consulte ARNs do IAM no Guia do usuário do IAM.

{
   "Version":"2012-10-17",
   "Id":"PolicyForDestinationBucket",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource":[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/bucket/DESTINATION-OUTPOSTS-BUCKET/object/*"
         ]  
      }

   ]
}

{
"Version":"2012-10-17",
   "Id":"PolicyForDestinationAccessPoint",
   "Statement":[
      {
         "Sid":"Permissions on objects",
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::SourceBucket-account-ID:role/service-role/source-account-IAM-role"
         },
         "Action":[
            "s3-outposts:ReplicateDelete",
            "s3-outposts:ReplicateObject"
         ],
         "Resource" :[
            "arn:aws:s3-outposts:region:DestinationBucket-account-ID:outpost/DESTINATION-OUTPOST-ID/accesspoint/DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT/object/*"
         ]
      }
   ]              
}

nota

Se os objetos no bucket do Outposts de origem estiverem marcados, observe o seguinte:

Se o proprietário do bucket do Outposts de origem conceder ao S3 no Outposts permissão para as ações s3-outposts:GetObjectVersionTagging e s3-outposts:ReplicateTags para replicação de tags de objeto (pelo perfil do IAM), o Amazon S3 replicará as tags com os objetos. Para obter informações sobre a função do IAM, consulte Criar um perfil do IAM.