

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Steuern Sie den API-Zugriff mit IAM-Richtlinien
<a name="ip-access"></a>

## Aktualisieren Sie die IAM-Richtlinien auf IPv6
<a name="ipv6-access"></a>

AWS CloudHSM Kunden verwenden IAM-Richtlinien, um den Zugriff auf IP-Adressen außerhalb des konfigurierten Bereichs zu kontrollieren AWS CloudHSM APIs und zu verhindern, dass sie darauf zugreifen können. AWS CloudHSM APIs

Die *Cloud hsmv2. *<region>*.api.aws-Dual-Stack-Endpunkt*, auf dem AWS CloudHSM APIs gehostet wird, unterstützt zusätzlich IPv6 IPv4 

Kunden, die beide unterstützen müssen IPv4 und ihre Richtlinien zur IP-Adressfilterung aktualisieren IPv6 müssen, um IPv6 Adressen zu verarbeiten. Andernfalls wird sich dies auf ihre Fähigkeit auswirken, eine Verbindung zu Over herzustellen. AWS CloudHSM IPv6

### Wer sollte ein Upgrade durchführen?
<a name="customers-impacted"></a>

Kunden, die duale Adressierung mit Richtlinien verwenden, die *aws:sourceIP enthalten, sind von diesem* Upgrade betroffen. *Duale Adressierung* bedeutet, dass das Netzwerk sowohl als auch unterstützt. IPv4 IPv6 

Wenn Sie die duale Adressierung verwenden, müssen Sie Ihre IAM-Richtlinien, die derzeit mit IPv4 Formatadressen konfiguriert sind, so aktualisieren, dass sie auch IPv6 Formatadressen enthalten. 

Wenn Sie Hilfe bei Zugriffsproblemen benötigen, wenden Sie sich an [Support](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).

**Anmerkung**  
Die folgenden Kunden sind von diesem Upgrade *nicht* betroffen:  
Kunden, die *nur in IPv4 Netzwerken aktiv* sind.

### Was ist IPv6?
<a name="what-is-ipv6"></a>

IPv6 ist der IP-Standard der nächsten Generation, der irgendwann ersetzt IPv4 werden soll. Die vorherige Version verwendet ein 32-Bit-Adressierungsschema zur Unterstützung von 4,3 Milliarden Geräten. IPv4 IPv6 verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen Billionen (oder 2 bis 128.) Geräte zu unterstützen. 

Weitere Informationen finden Sie auf der [ IPv6 VPC-Webseite](https://aws.amazon.com/vpc/ipv6/).

```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```

### Aktualisierung einer IAM-Richtlinie für IPv6
<a name="updating-for-ipv6"></a>

IAM-Richtlinien werden derzeit verwendet, um mithilfe des Filters einen zulässigen Bereich von IP-Adressen festzulegen. `aws:SourceIp` 

Die duale Adressierung unterstützt sowohl den Datenverkehr als IPv4 auch IPv6 den Datenverkehr. Wenn Ihr Netzwerk die duale Adressierung verwendet, müssen Sie alle IAM-Richtlinien, die für die IP-Adressfilterung verwendet werden, so aktualisieren, dass sie IPv6 Adressbereiche enthalten.

In der folgenden Richtlinie werden beispielsweise die zulässigen IPv4 Adressbereiche `192.0.2.0.*` und `203.0.113.0.*` im `Condition` Element angegeben. 

```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}
```

Um diese Richtlinie zu aktualisieren, ändern Sie das `Condition` Element so, dass es die IPv6 Adressbereiche `2001:DB8:1234:5678::/64` und enthält`2001:cdba:3257:8593::/64`.

**Anmerkung**  
ENTFERNEN SIE DIE vorhandenen IPv4 Adressen NICHT, da sie aus Gründen der Abwärtskompatibilität benötigt werden.

```
"Condition": {
                "NotIpAddress": {
                    "*aws:SourceIp*": [
                        "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                        "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }
```

### Stellen Sie sicher, dass Ihr Kunde Folgendes unterstützt IPv6
<a name="testing-connection"></a>

Kunden, die *Cloudhsmv2 verwenden. Es wird empfohlen, den Endpunkt \$1region\$1 .api.aws* zu überprüfen, ob sie eine Verbindung zu diesem Endpunkt herstellen können. In den folgenden Schritten wird beschrieben, wie die Überprüfung durchgeführt wird. 

*Dieses Beispiel verwendet Linux und Curl Version 8.6.0 und verwendet die [AWS CloudHSM Service-Endpunkte, für die Endpunkte](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) IPv6 aktiviert sind, die sich am api.aws-Endpunkt befinden.* 

**Anmerkung**  
Wechseln Sie AWS-Region zu derselben Region, in der sich der Client befindet. In diesem Beispiel verwenden wir den Endpunkt `us-east-1` in USA Ost (Nord-Virginia).

1. Stellen Sie mit dem folgenden `dig` Befehl fest, ob der Endpunkt mit einer IPv6 Adresse aufgelöst wird. 

   ```
   dig +short AAAA cloudhsmv2.us-east-1.api.aws
   2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
   ```

1. Stellen Sie mit dem folgenden `curl` Befehl fest, ob das Client-Netzwerk eine IPv6 Verbindung herstellen kann. Ein 404-Antwortcode bedeutet, dass die Verbindung erfolgreich war, während ein 0-Antwortcode bedeutet, dass die Verbindung fehlgeschlagen ist.

   ```
   curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
   
   remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
   response code: 404
   ```

Wenn eine Remote-IP identifiziert wurde **und** der Antwortcode nicht angegeben ist`0`, wurde mithilfe von erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt IPv6. Die Remote-IP sollte eine IPv6 Adresse sein, da das Betriebssystem das für den Client gültige Protokoll auswählen sollte. Wenn es sich bei der Remote-IP nicht um eine IPv6 Adresse handelt, verwenden Sie den folgenden Befehl, um die Verwendung `curl` zu erzwingen IPv4. 

```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404
```

Wenn die Remote-IP leer ist oder der Antwortcode leer ist`0`, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt IPv4 -only. Sie können diese Konfiguration mit dem folgenden `curl` Befehl überprüfen. 

```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404
```