Was ist IPv6?Verwendung von Dual-Stack-Richtlinien Hinzufügen von IPv6 zu einer Richtlinie Überprüfen Sie, ob Ihr Client IPv6 unterstützt

Steuern Sie den API-Zugriff mit IAM-Richtlinien

Wenn Sie IAM-Richtlinien verwenden, um den Zugriff AWS-Services auf IP-Adressen zu steuern, müssen Sie Ihre Richtlinien möglicherweise aktualisieren, um IPv6-Adressbereiche einzubeziehen. In diesem Handbuch werden die Unterschiede zwischen IPv4 und IPv6 erklärt und beschrieben, wie Sie Ihre IAM-Richtlinien aktualisieren können, um beide Protokolle zu unterstützen. Die Implementierung dieser Änderungen hilft Ihnen dabei, den sicheren Zugriff auf Ihre AWS Ressourcen aufrechtzuerhalten und gleichzeitig IPv6 zu unterstützen.

Was ist IPv6?

IPv6 ist der IP-Standard der nächsten Generation, der IPv4 irgendwann ersetzen soll. Die vorherige Version, IPv4, verwendet ein 32-Bit-Adressierungsschema zur Unterstützung von 4,3 Milliarden Geräten. IPv6 verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen (oder 2 bis 128) Geräte zu unterstützen.

Weitere Informationen finden Sie auf der VPC IPv6-Webseite.

Dies sind Beispiele für IPv6-Adressen:


2001:cdba:0000:0000:0000:0000:3257:9652 # This is a full, unabbreviated IPv6 address.
2001:cdba:0:0:0:0:3257:9652             # The same address with leading zeros in each group omitted
2001:cdba::3257:965                     # A compressed version of the same address.

IAM-Dual-Stack-Richtlinien (IPv4 und IPv6)

Sie können IAM-Richtlinien verwenden, um den Zugriff auf Secrets Manager Manager-APIs zu kontrollieren und zu verhindern, dass IP-Adressen außerhalb des konfigurierten Bereichs auf Secrets Manager Manager-APIs zugreifen.

Der Secretsmanager. Der Dual-Stack-Endpunkt {region} .amazonaws.com für Secrets Manager Manager-APIs unterstützt sowohl IPv6 als auch IPv4.

Wenn Sie sowohl IPv4 als auch IPv6 unterstützen müssen, aktualisieren Sie Ihre IP-Adressfilterrichtlinien, sodass sie auch IPv6-Adressen verarbeiten können. Andernfalls können Sie möglicherweise keine Verbindung zu Secrets Manager über IPv6 herstellen.

Wer sollte diese Änderung vornehmen?

Diese Änderung wirkt sich auf Sie aus, wenn Sie die duale Adressierung mit Richtlinien verwenden, die Folgendes aws:sourceIp enthalten: Duale Adressierung bedeutet, dass das Netzwerk sowohl IPv4 als auch IPv6 unterstützt.

Wenn Sie duale Adressierung verwenden, aktualisieren Sie Ihre IAM-Richtlinien, die derzeit Adressen im IPv4-Format verwenden, sodass auch Adressen im IPv6-Format enthalten sind.

Wer sollte diese Änderung nicht vornehmen?

Diese Änderung hat keine Auswirkungen auf Sie, wenn Sie nur IPv4-Netzwerke verwenden.

Hinzufügen von IPv6 zu einer IAM-Richtlinie

IAM-Richtlinien verwenden den aws:SourceIp Bedingungsschlüssel, um den Zugriff von bestimmten IP-Adressen aus zu steuern. Wenn Ihr Netzwerk duale Adressierung (IPv4 und IPv6) verwendet, aktualisieren Sie Ihre IAM-Richtlinien so, dass sie IPv6-Adressbereiche enthalten.

Verwenden Sie im Condition Element Ihrer Richtlinien die NotIpAddress Operatoren IpAddress und für IP-Adressbedingungen. Verwenden Sie keine Zeichenkettenoperatoren, da diese die verschiedenen gültigen IPv6-Adressformate nicht verarbeiten können.

Diese Beispiele verwendenaws:SourceIp. Verwenden Sie für VPCs aws:VpcSourceIp stattdessen.

Im Folgenden finden Sie die Richtlinie Verweigert den Zugriff auf AWS basierend auf der Quell-IP-Referenz aus dem IAM-Benutzerhandbuch. NotIpAddressIm Condition Element to werden zwei IPv4-Adressbereiche 192.0.2.0/24 und203.0.113.0/24, denen der Zugriff auf die API verweigert wird, aufgeführt.

Um diese Richtlinie zu aktualisieren, ändern Sie das Condition Element so, dass es die IPv6-Adressbereiche 2001:DB8:1234:5678::/64 und enthält. 2001:cdba:3257:8593::/64

Anmerkung

Entfernen Sie die vorhandenen IPv4-Adressen nicht. Sie werden aus Gründen der Abwärtskompatibilität benötigt.


"Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "203.0.113.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "2001:DB8:1234:5678::/64", <<New IPv6 IP address>>
                        "2001:cdba:3257:8593::/64" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }

Um diese Richtlinie für eine VPC zu aktualisieren, verwenden Sie aws:VpcSourceIp stattaws:SourceIp:


"Condition": {
                "NotIpAddress": {
                    "aws:VpcSourceIp": [
                        "10.0.2.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "10.0.113.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "fc00:DB8:1234:5678::/64", <<New IPv6 IP address>>
                        "fc00:cdba:3257:8593::/64" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }

Überprüfen Sie, ob Ihr Client IPv6 unterstützt

Wenn Sie den Secretsmanager verwenden. Endpunkt {region} .amazonaws.com, stellen Sie sicher, dass Sie eine Verbindung zu ihm herstellen können. In den folgenden Schritten wird beschrieben, wie die Überprüfung durchgeführt wird.

In diesem Beispiel werden Linux und Curl Version 8.6.0 verwendet und der AWS Secrets Manager Dienst mit IPv6-fähigen Endpunkten verwendet, die sich am Endpunkt amazonaws.com befinden.

Anmerkung

Der Secretsmanager. {region} .amazonaws.com unterscheidet sich von der typischen Dual-Stack-Namenskonvention. Eine vollständige Liste der Secrets Manager Manager-Endpunkte finden Sie unterAWS Secrets Manager Endpunkte.

Wechseln Sie AWS-Region zu derselben Region, in der sich Ihr Service befindet. In diesem Beispiel verwenden wir den Endpunkt us-east-1 in USA Ost (Nord-Virginia).

Stellen Sie mit dem folgenden dig Befehl fest, ob der Endpunkt mit einer IPv6-Adresse aufgelöst wird.


$ dig +short AAAA secretsmanager.us-east-1.amazonaws.com 

> 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3

Ermitteln Sie mit dem folgenden Befehl, ob das Client-Netzwerk eine IPv6-Verbindung herstellen kann. curl Ein 404-Antwortcode bedeutet, dass die Verbindung erfolgreich war, während ein 0-Antwortcode bedeutet, dass die Verbindung fehlgeschlagen ist.
```
$ curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://secretsmanager.us-east-1.amazonaws.com 

> remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
> response code: 404
```

Wenn eine Remote-IP identifiziert wurde und der Antwortcode nicht angegeben ist0, wurde mithilfe von IPv6 erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt. Die Remote-IP sollte eine IPv6-Adresse sein, da das Betriebssystem das für den Client gültige Protokoll auswählen sollte.

Wenn die Remote-IP leer ist oder der Antwortcode leer ist0, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt. IPv4-only Sie können diese Konfiguration mit dem folgenden curl Befehl überprüfen.


$ curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://secretsmanager.us-east-1.amazonaws.com 

> remote ip: 3.123.154.250
> response code: 404

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

VPC-Endpunkte (AWS PrivateLink)

Ausfallsicherheit