# Requisitos previos para crear reglas de replicación
**Topics**
+ [Conectar las subredes de Outpost de origen y destino](#outposts-rep-preone)
+ [Creación de un rol de IAM](#outposts-rep-pretwo)
## Conectar las subredes de Outpost de origen y destino
Para que el tráfico de replicación vaya de su Outpost de origen a su Outpost de destino a través de la puerta de enlace local, debe agregar una nueva ruta para configurar la red. Debe conectar entre sí los rangos de red del enrutamiento entre dominios sin clases (CIDR) de sus puntos de acceso. Para cada par de puntos de acceso, debe configurar esta conexión solo una vez.
Algunos pasos para configurar la conexión varían según el tipo de acceso de los puntos de conexión de Outposts que estén asociados a sus puntos de acceso. El tipo de acceso para los puntos de conexión es **Privado** (enrutamiento directo a la nube privada virtual [VPC] para AWS Outposts) o **IP propiedad del cliente** (un grupo de direcciones IP propiedad del cliente [grupo CoIP] dentro de la red en las instalaciones).
### Paso 1: Encontrar el rango de CIDR de su punto de conexión de Outposts de origen
**Para encontrar el rango de CIDR de su punto de conexión de origen asociado a su punto de acceso de origen**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon S3 en [https://console.aws.amazon.com/s3/](https://console.aws.amazon.com/s3/).
1. En el panel de navegación izquierdo, elija **Outposts buckets** (Buckets de Outposts).
1. En la lista **Buscar buckets de Outposts**, elija el bucket de origen que desea replicar.
1. Elija la pestaña **Puntos de acceso de Outposts** y elija el punto de acceso de Outposts para el bucket de origen de su regla de replicación.
1. Seleccione el punto de conexión de Outposts.
1. Copie el ID de subred para usarlo en el [paso 5](#outposts-pre-step5).
1. El método que utilice para encontrar el rango de CIDR del punto de conexión de Outposts de origen depende del tipo de acceso de su punto de conexión.
En la sección **Información general sobre los puntos de enlace de Outposts**, consulte **Tipo de acceso**.
+ Si el tipo de acceso es **Privado**, copie el valor del **Enrutamiento entre dominios sin clases (CIDR)** para usarlo en el [paso 6](#outposts-pre-step6).
+ Si el tipo de acceso es **IP propiedad del cliente**, haga lo siguiente:
1. Copie el valor del **grupo IPv4 propiedad del cliente** para usarlo más adelante como ID del grupo de direcciones.
1. Abra la consola de AWS Outposts en [https://console.aws.amazon.com/outposts/](https://console.aws.amazon.com/outposts/home).
1. En el panel de navegación, elija **Tablas de enrutamiento de puerta de enlace de tránsito**.
1. Elija el valor de **ID de tabla de enrutamiento de puerta de enlace en las instalaciones** del Outpost de origen.
1. En el panel de detalles, elija la pestaña **Grupos de CoIP**. Pegue el valor de su ID de grupo de CoIP copiado anteriormente en el cuadro de búsqueda.
1. Para el grupo de CoIP coincidente, copie el valor de **CIDR** correspondiente de su punto de conexión de Outposts de origen para usarlo en el [paso 6](#outposts-pre-step6).
### Paso 2: Buscar el ID de subred y el rango de CIDR de su punto de conexión de Outposts de destino
Para encontrar el ID de subred y el rango de CIDR de su punto de conexión de destino asociados a su punto de acceso de destino, siga los mismos subpasos del [paso 1](#outposts-pre-step1) y cambie el punto de conexión de Outposts de origen por el punto de conexión de Outposts de destino cuando aplique esos subpasos. Copie el valor del ID de subred del punto de conexión de Outposts de destino para usarlo en el [paso 6](#outposts-pre-step6). Copie el valor de CIDR del punto de conexión de Outposts de destino para usarlo en el [paso 5](#outposts-pre-step5).
### Paso 3: Encontrar el ID de puerta de enlace local del Outpost de origen
**Para encontrar el ID de puerta de enlace local del Outpost de origen**
1. Abra la consola de AWS Outposts en [https://console.aws.amazon.com/outposts/](https://console.aws.amazon.com/outposts/home).
1. En el panel de navegación izquierdo, elija **Gateways locales**.
1. En la página **Gateways locales**, busque el ID de Outpost del Outpost de origen que quiere utilizar para la replicación.
1. Copie el valor del ID de puerta de enlace local del Outpost de origen para usarlo en el [paso 5](#outposts-pre-step5).
Para obtener información acerca de las puerta de enlaces locales, consulte el tema sobre [Gateways locales](https://docs.aws.amazon.com/outposts/latest/userguide/outposts-local-gateways.html) en la *Guía del usuario de AWS Outposts*.
### Paso 4: Encontrar el ID de puerta de enlace local del Outpost de destino
Para encontrar el ID de puerta de enlace local del Outpost de destino, siga los mismos subpasos del [paso 3](#outposts-pre-step3), excepto buscar el ID de Outpost del Outpost de destino. Copie el valor del ID de puerta de enlace local del Outpost de destino para usarlo en el [paso 6](#outposts-pre-step6).
### Paso 5: Configurar la conexión desde la subred de Outpost de origen a la subred de Outpost de destino
**Para conectarse desde la subred de Outpost de origen a la subred de Outpost de destino**
1. Inicie sesión en la Consola de administración de AWS y abra la consola de VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Subnets**.
1. En el cuadro de búsqueda, introduzca el ID de subred del punto de conexión de Outposts de origen que ha encontrado en el [paso 1](#outposts-pre-step1). Elija una subred con el ID de subred correspondiente.
1. Para el elemento de subred coincidente, elija el valor de **Tabla de enrutamiento** de esta subred.
1. En la página con una tabla de enrutamiento seleccionada, elija **Acciones** y, a continuación, elija **Editar rutas**.
1. En la pestaña **Editar rutas**, elija **Añadir rutas**.
1. En **Destino**, introduce el rango de CIDR del punto de conexión de Outposts de destino que encontraste en el [paso 2](#outposts-pre-step2).
1. En **Objetivo**, elija **Gateway local de Outpost** e introduzca el ID de puerta de enlace local de su Outpost de origen que ha encontrado en el [paso 3](#outposts-pre-step3).
1. Seleccione **Save changes (Guardar cambios)**.
1. Asegúrese de que el **Estado** de la ruta sea **Activo**.
### Paso 6: Configurar la conexión desde la subred de Outpost de destino a la subred de Outpost de origen
1. Inicie sesión en la Consola de administración de AWS y abra la consola de VPC en [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. En el panel de navegación izquierdo, elija **Subnets**.
1. En el cuadro de búsqueda, introduzca el ID de subred del punto de conexión de Outposts de destino que ha encontrado en el [paso 2](#outposts-pre-step2). Elija una subred con el ID de subred correspondiente.
1. Para el elemento de subred coincidente, elija el valor de **Tabla de enrutamiento** de esta subred.
1. En la página con una tabla de enrutamiento seleccionada, elija **Acciones** y, a continuación, elija **Editar rutas**.
1. En la pestaña **Editar rutas**, elija **Añadir rutas**.
1. En **Destino**, introduzca el rango de CIDR del punto de conexión de Outposts de origen que ha encontrado en el [paso 1](#outposts-pre-step1).
1. En **Objetivo**, elija **Gateway local de Outpost** e introduzca el ID de puerta de enlace local del Outpost de destino que ha encontrado en el [paso 4](#outposts-pre-step4).
1. Seleccione **Save changes (Guardar cambios)**.
1. Asegúrese de que el **Estado** de la ruta sea **Activo**.
Después de conectar los rangos de redes de CIDR de sus puntos de acceso de origen y destino, debe crear un rol de AWS Identity and Access Management (IAM).
## Creación de un rol de IAM
De forma predeterminada, todos los recursos de S3 en Outposts (buckets, objetos y subrecursos relacionados) son privados y solo el propietario del recurso puede acceder a él. S3 en Outposts necesita permisos de lectura y replicación de objetos del bucket de Outposts de origen. Para conceder estos permisos, crea un *rol de servicio* de IAM y luego especifique ese rol en la configuración de replicación.
En esta sección se explica la política de confianza y la política de permisos mínimos necesarios. Los tutoriales de ejemplo proporcionan instrucciones paso a paso para crear un rol de IAM. Para obtener más información, consulte [Creación de reglas de replicación en Outposts](replication-between-outposts.md). Para obtener más información acerca de los roles de IAM, consulte [Roles de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) en la *Guía del usuario de IAM*.
+ En el siguiente ejemplo, se muestra una *política de confianza* donde se identifica a S3 en Outposts como la entidad principal del servicio que puede asumir el rol.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"Service":"s3-outposts.amazonaws.com"
},
"Action":"sts:AssumeRole"
}
]
}
```
------
+ En el siguiente ejemplo, se muestra una *política de acceso* donde se concede al rol permisos para realizar tareas de replicación en su nombre. Cuando S3 en Outposts asume el rol, adopta los permisos se hayan especificado en esta política. Para utilizar esta política, sustituya `{{user input placeholders}}` por su información. Asegúrese de sustituirlos por los ID de Outpost de sus Outposts de origen y destino y los nombres de los buckets y los puntos de acceso de sus buckets de Outposts de origen y destino.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3-outposts:GetObjectVersionForReplication",
"s3-outposts:GetObjectVersionTagging"
],
"Resource": [
"arn:aws:s3-outposts:{{us-east-1}}:{{123456789012}}:outpost/{{SOURCE-OUTPOST-ID}}/bucket/{{SOURCE-OUTPOSTS-BUCKET}}/object/*",
"arn:aws:s3-outposts:{{us-east-1}}:{{123456789012}}:outpost/{{SOURCE-OUTPOST-ID}}/accesspoint/{{SOURCE-OUTPOSTS-BUCKET-ACCESS-POINT}}/object/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3-outposts:ReplicateObject",
"s3-outposts:ReplicateDelete"
],
"Resource": [
"arn:aws:s3-outposts:{{us-east-1}}:{{123456789012}}:outpost/{{DESTINATION-OUTPOST-ID}}/bucket/{{DESTINATION-OUTPOSTS-BUCKET}}/object/*",
"arn:aws:s3-outposts:{{us-east-1}}:{{123456789012}}:outpost/{{DESTINATION-OUTPOST-ID}}/accesspoint/{{DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT}}/object/*"
]
}
]
}
```
------
La política de acceso concede permisos para las siguientes acciones:
+ `s3-outposts:GetObjectVersionForReplication`: se otorga permiso para esta acción a todos los objetos para que S3 en Outposts pueda obtener una versión de objeto específica asociada a cada objeto.
+ `s3-outposts:GetObjectVersionTagging`: los permisos para esta acción en los objetos del bucket {{`SOURCE-OUTPOSTS-BUCKET`}} (el bucket de origen) permiten que S3 en Outposts lea las etiquetas de objetos para la replicación. Para obtener más información, consulte [Agregar etiquetas para los buckets de S3 en Outposts](S3OutpostsBucketTags.md). Si S3 en Outposts no tiene el permiso, replica los objetos pero no las etiquetas de objetos.
+ `s3-outposts:ReplicateObject` y `s3-outposts:ReplicateDelete`: los permisos para estas acciones en todos los objetos del bucket {{`DESTINATION-OUTPOSTS-BUCKET`}} (el bucket de destino) autorizan a S3 en Outposts a replicar los objetos o los marcadores de eliminación en el bucket de Outposts de destino. Para obtener información acerca de los marcadores de eliminación, consulte [Cómo afectan las operaciones de eliminación a la replicación](S3OutpostsReplication.md#outposts-replication-delete-op).
**nota**
El permiso para la acción `s3-outposts:ReplicateObject` en el bucket {{`DESTINATION-OUTPOSTS-BUCKET`}} (bucket de destino) también permite la replicación de las etiquetas de objetos. Por lo tanto, no es necesario que conceda permiso de forma explícita para la acción `s3-outposts:ReplicateTags`.
Para la replicación entre cuentas, el propietario del bucket de Outposts de destino debe actualizar su política de bucket para conceder permiso para la acción `s3-outposts:ReplicateObject` en el {{`DESTINATION-OUTPOSTS-BUCKET`}}. La acción `s3-outposts:ReplicateObject` permite a S3 en Outposts replicar los objetos y las etiquetas de objetos en el bucket de Outposts de destino.
Para obtener una lista de las acciones de S3 en Outposts, consulte [Acciones definidas por Amazon S3 en Outposts](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazons3onoutposts.html#amazons3onoutposts-actions-as-permissions).
**importante**
La Cuenta de AWS propietaria del rol de IAM debe tener los permisos para las acciones que concede al rol de IAM.
Por ejemplo, imagine que el bucket de Outposts de origen contiene objetos que pertenecen a otra Cuenta de AWS. El propietario de los objetos debe conceder explícitamente los permisos necesarios a la Cuenta de AWS que posee el rol de IAM a través de la política de punto de acceso y de bucket. De lo contrario, S3 en Outposts no puede acceder a los objetos y no se pueden replicar los objetos.
Los permisos aquí descritos están relacionados con la configuración de replicación mínima. Si elige agregar configuraciones de replicación opcionales, debe otorgar permisos adicionales a S3 en Outposts.
### Concesión de permisos cuando los buckets de Outposts de origen y destino pertenecen a diferentes Cuentas de AWS
Cuando los buckets de Outposts de origen y destino no pertenecen a las mismas cuentas, el propietario del bucket de Outposts de destino debe actualizar las polítícas de buckets y de puntos de acceso para el bucket de destino. Estas políticas deben conceder permisos al propietario del bucket de Outposts de origen y al rol de servicio de IAM para que puedan realizar acciones de replicación, tal como se muestra en los siguientes ejemplos de políticas, pues de lo contrario se producirá un error en la replicación. En estos ejemplos de política, {{`DESTINATION-OUTPOSTS-BUCKET`}} es el bucket de destino. Para utilizar estos ejemplos de política, sustituya `{{user input placeholders}}` por su información.
Si va a crear el rol de servicio de IAM de forma manual, defina la ruta del rol como `role/service-role/`, tal como se muestra en los siguientes ejemplos de políticas. Para obtener más información, consulte [ARN de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) en la *guía del usuario de IAM*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationBucket",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/service-role/{{source-account-IAM-role}}"
},
"Action": [
"s3-outposts:ReplicateDelete",
"s3-outposts:ReplicateObject"
],
"Resource": [
"arn:aws:s3-outposts:{{us-east-1}}:{{444455556666}}:outpost/{{DESTINATION-OUTPOST-ID}}/bucket/{{DESTINATION-OUTPOSTS-BUCKET}}/object/*"
]
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "PolicyForDestinationAccessPoint",
"Statement": [
{
"Sid": "Permissions on objects",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::{{111122223333}}:role/service-role/{{source-account-IAM-role}}"
},
"Action": [
"s3-outposts:ReplicateDelete",
"s3-outposts:ReplicateObject"
],
"Resource": [
"arn:aws:s3-outposts:{{us-east-1}}:{{111122223333}}:outpost/{{DESTINATION-OUTPOST-ID}}/accesspoint/{{DESTINATION-OUTPOSTS-BUCKET-ACCESS-POINT}}/object/*"
]
}
]
}
```
------
**nota**
Si los objetos en el bucket de Outposts de origen tienen etiquetas, tenga en cuenta lo siguiente:
Si el propietario del bucket de Outposts de origen concede permisos a S3 en Outposts para las acciones `s3-outposts:GetObjectVersionTagging` y `s3-outposts:ReplicateTags` para replicar las etiquetas de los objetos (mediante el rol de IAM), Amazon S3 replicará las etiquetas junto con los objetos. Para obtener información acerca del rol de IAM, consulte [Creación de un rol de IAM](#outposts-rep-pretwo).