IAMRichtlinien aktualisieren auf IPv6 - AWS Ressourcen Explorer
Kunden, die vom Upgrade von IPv4 auf betroffen sind IPv6Was istIPv6?Aktualisierung einer Richtlinie für IAM IPv6Stellen Sie sicher, dass Ihr Kunde Folgendes unterstützt IPv6

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMRichtlinien aktualisieren auf IPv6

AWS Ressourcen Explorer Kunden verwenden IAM Richtlinien, um einen zulässigen Bereich von IP-Adressen festzulegen und zu verhindern, dass IP-Adressen außerhalb des konfigurierten Bereichs auf Resource Explorer zugreifen könnenAPIs.

Der Resource-Explorer-2.regionDie Domain .api.aws, in der Resource Explorer gehostet APIs werden, wird aktualisiert, sodass sie zusätzlich unterstützt wird. IPv6 IPv4

Richtlinien zur IP-Adressfilterung, die nicht für den Umgang mit IPv6 Adressen aktualisiert wurden, können dazu führen, dass Clients den Zugriff auf die Ressourcen in der Resource Explorer-Domäne verlieren. API

Kunden, die vom Upgrade von IPv4 auf betroffen sind IPv6

Kunden, die die duale Adressierung verwenden und deren Richtlinien aws: enthalten, sourceIp sind von diesem Upgrade betroffen. Duale Adressierung bedeutet, dass das Netzwerk IPv4 sowohl IPv6 als auch unterstützt.

Wenn Sie die duale Adressierung verwenden, müssen Sie Ihre IAM Richtlinien, die derzeit mit IPv4 Formatadressen konfiguriert sind, so aktualisieren, dass sie auch IPv6 Formatadressen enthalten.

Wenn Sie Hilfe bei Zugriffsproblemen benötigen, wenden Sie sich an AWS Support.

Anmerkung

Die folgenden Kunden sind von diesem Upgrade nicht betroffen:

  • Kunden, die nur in IPv4 Netzwerken aktiv sind.

  • Kunden, die nur in IPv6 Netzwerken aktiv sind.

Was istIPv6?

IPv6ist der IP-Standard der nächsten Generation, der irgendwann ersetzt IPv4 werden soll. Die vorherige Version verwendet ein 32-Bit-Adressierungsschema zur Unterstützung von 4,3 Milliarden Geräten. IPv4 IPv6verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen Billionen (oder 2 bis 128.) Geräte zu unterstützen. 

2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965

Aktualisierung einer Richtlinie für IAM IPv6

IAMRichtlinien werden derzeit verwendet, um mithilfe des aws:SourceIp Filters einen zulässigen Bereich von IP-Adressen festzulegen.

Die duale Adressierung unterstützt IPv4 sowohl den Datenverkehr als auch IPV6 den Datenverkehr. Wenn Ihr Netzwerk die duale Adressierung verwendet, müssen Sie sicherstellen, dass alle IAM Richtlinien, die für die IP-Adressfilterung verwendet werden, aktualisiert werden, sodass sie IPv6 Adressbereiche einbeziehen.

Diese Amazon S3 S3-Bucket-Richtlinie identifiziert beispielsweise zulässige IPv4 Adressbereiche 192.0.2.0.* und 203.0.113.0.* im Condition Element. 

# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

Um diese Richtlinie zu aktualisieren, wird das Condition Element der Richtlinie aktualisiert und umfasst nun IPv6 Adressbereiche 2001:DB8:1234:5678::/64 und2001:cdba:3257:8593::/64.

Anmerkung

Geben Sie NOT REMOVE die vorhandenen IPv4 Adressen ein, da sie aus Gründen der Abwärtskompatibilität benötigt werden.

"Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                    "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }

Weitere Informationen zur Verwaltung von Zugriffsberechtigungen mit IAM finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im AWS Identity and Access Management Benutzerhandbuch.

Stellen Sie sicher, dass Ihr Kunde Folgendes unterstützt IPv6

Kunden, die den Resource-Explorer-2 verwenden. Es wird empfohlen, den Endpunkt {region} .api.aws zu überprüfen, ob ihre Clients auf andere Endpoints zugreifen können, die bereits aktiviert sind. AWS-Service IPv6 In den folgenden Schritten wird beschrieben, wie Sie diese Endpunkte verifizieren können.

Dieses Beispiel verwendet Linux und Curl Version 8.6.0 und verwendet die Amazon Athena-Servicendpunkte, für die Endpunkte IPv6 aktiviert sind, die sich in der api.aws-Domain befinden.

Anmerkung

Wechseln Sie zu derselben Region AWS-Region , in der sich der Client befindet. In diesem Beispiel verwenden wir den us-east-1 Endpunkt USA Ost (Nord-Virginia).

  1. Ermitteln Sie mithilfe des folgenden curl-Befehls, ob der Endpunkt mit einer IPv6 Adresse aufgelöst wird. 

    dig +short AAAA athena.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79

  2. Stellen Sie mithilfe IPv6 des folgenden curl-Befehls fest, ob das Client-Netzwerk eine Verbindung herstellen kann. 

    curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
response code: 404

    Wenn eine Remote-IP identifiziert wurde und der Antwortcode nicht angegeben ist0, wurde mithilfe IPv6 von erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt.

Wenn die Remote-IP leer ist oder der Antwortcode leer ist0, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt IPv4 -only. Sie können diese Konfiguration mit dem folgenden curl-Befehl überprüfen. 

curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 3.210.103.49
response code: 404

Wenn eine Remote-IP identifiziert wurde und der Antwortcode nicht angegeben ist0, wurde mithilfe IPv4 von erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt. Die Remote-IP sollte eine IPv4 Adresse sein, da das Betriebssystem das für den Client gültige Protokoll auswählen sollte. Wenn es sich bei der Remote-IP nicht um eine IPv4 Adresse handelt, verwenden Sie den folgenden Befehl, um die Verwendung IPv4 von curl zu erzwingen. 

curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 35.170.237.34
response code: 404