Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern Sie den API-Zugriff mit IAM-Richtlinien
Aktualisieren Sie die IAM-Richtlinien auf IPv6
AWS CloudHSM Kunden verwenden IAM-Richtlinien, um den Zugriff auf IP-Adressen außerhalb des konfigurierten Bereichs zu kontrollieren AWS CloudHSM APIs und zu verhindern, dass sie darauf zugreifen können. AWS CloudHSM APIs
Die Cloud hsmv2. region.api.aws-Dual-Stack-Endpunkt, auf dem AWS CloudHSM APIs gehostet wird, unterstützt zusätzlich IPv6 IPv4
Kunden, die beide unterstützen müssen IPv4 und ihre Richtlinien zur IP-Adressfilterung aktualisieren IPv6 müssen, um IPv6 Adressen zu verarbeiten. Andernfalls wird sich dies auf ihre Fähigkeit auswirken, eine Verbindung zu Over herzustellen. AWS CloudHSM IPv6
Wer sollte ein Upgrade durchführen?
Kunden, die duale Adressierung mit Richtlinien verwenden, die aws:sourceIP enthalten, sind von diesem Upgrade betroffen. Duale Adressierung bedeutet, dass das Netzwerk sowohl als auch unterstützt. IPv4 IPv6
Wenn Sie die duale Adressierung verwenden, müssen Sie Ihre IAM-Richtlinien, die derzeit mit IPv4 Formatadressen konfiguriert sind, so aktualisieren, dass sie auch IPv6 Formatadressen enthalten.
Wenn Sie Hilfe bei Zugriffsproblemen benötigen, wenden Sie sich an Support
Anmerkung
Die folgenden Kunden sind von diesem Upgrade nicht betroffen:
-
Kunden, die nur in IPv4 Netzwerken aktiv sind.
Was ist IPv6?
IPv6 ist der IP-Standard der nächsten Generation, der irgendwann ersetzt IPv4 werden soll. Die vorherige Version verwendet ein 32-Bit-Adressierungsschema zur Unterstützung von 4,3 Milliarden Geräten. IPv4 IPv6 verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen Billionen (oder 2 bis 128.) Geräte zu unterstützen.
Weitere Informationen finden Sie auf der IPv6 VPC-Webseite
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
Aktualisierung einer IAM-Richtlinie für IPv6
IAM-Richtlinien werden derzeit verwendet, um mithilfe des Filters einen zulässigen Bereich von IP-Adressen festzulegen. aws:SourceIp
Die duale Adressierung unterstützt sowohl den Datenverkehr als IPv4 auch IPv6 den Datenverkehr. Wenn Ihr Netzwerk die duale Adressierung verwendet, müssen Sie alle IAM-Richtlinien, die für die IP-Adressfilterung verwendet werden, so aktualisieren, dass sie IPv6 Adressbereiche enthalten.
In der folgenden Richtlinie werden beispielsweise die zulässigen IPv4 Adressbereiche 192.0.2.0.* und 203.0.113.0.* im Condition Element angegeben.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Um diese Richtlinie zu aktualisieren, ändern Sie das Condition Element so, dass es die IPv6 Adressbereiche 2001:DB8:1234:5678::/64 und enthält2001:cdba:3257:8593::/64.
Anmerkung
ENTFERNEN SIE DIE vorhandenen IPv4 Adressen NICHT, da sie aus Gründen der Abwärtskompatibilität benötigt werden.
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Stellen Sie sicher, dass Ihr Kunde Folgendes unterstützt IPv6
Kunden, die Cloudhsmv2 verwenden. Es wird empfohlen, den Endpunkt {region} .api.aws zu überprüfen, ob sie eine Verbindung zu diesem Endpunkt herstellen können. In den folgenden Schritten wird beschrieben, wie die Überprüfung durchgeführt wird.
Dieses Beispiel verwendet Linux und Curl Version 8.6.0 und verwendet die AWS CloudHSM Service-Endpunkte, für die Endpunkte IPv6 aktiviert sind, die sich am api.aws-Endpunkt befinden.
Anmerkung
Wechseln Sie AWS-Region zu derselben Region, in der sich der Client befindet. In diesem Beispiel verwenden wir den us-east-1 Endpunkt USA Ost (Nord-Virginia).
-
Ermitteln Sie mithilfe des folgenden
digBefehls, ob der Endpunkt mit einer IPv6 Adresse aufgelöst wird.dig +short AAAA cloudhsmv2.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 -
Stellen Sie mit dem folgenden
curlBefehl fest, ob das Client-Netzwerk eine IPv6 Verbindung herstellen kann. Ein 404-Antwortcode bedeutet, dass die Verbindung erfolgreich war, während ein 0-Antwortcode bedeutet, dass die Verbindung fehlgeschlagen ist.curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 response code: 404
Wenn eine Remote-IP identifiziert wurde und der Antwortcode nicht angegeben ist0, wurde mithilfe von erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt IPv6. Die Remote-IP sollte eine IPv6 Adresse sein, da das Betriebssystem das für den Client gültige Protokoll auswählen sollte. Wenn es sich bei der Remote-IP nicht um eine IPv6 Adresse handelt, verwenden Sie den folgenden Befehl, um die Verwendung curl zu erzwingen IPv4.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
Wenn die Remote-IP leer ist oder der Antwortcode leer ist0, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt IPv4 -only. Sie können diese Konfiguration mit dem folgenden curl Befehl überprüfen.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
