Control de acceso a API mediante políticas de IAM
Actualizar las políticas de IAM a IPv6
Los clientes de AWS CloudHSM usan las políticas de IAM para controlar el acceso a las API de AWS CloudHSM e impedir que cualquier dirección IP que esté fuera del rango configurado pueda acceder a las API de AWS CloudHSM.
El punto de conexión de doble pila cloudhsmv2.region.api.aws donde se alojan las API de AWS CloudHSM admite IPv6 además de IPv4.
Los clientes que necesiten admitir tanto IPv4 como IPv6 deben actualizar sus políticas de filtrado de direcciones IP para gestionar las direcciones IPv6; de lo contrario, esto afectará a su capacidad de conectarse a AWS CloudHSM por una IPv6.
¿Quién debe realizar la actualización?
Los clientes que utilicen direccionamiento doble con políticas que contengan aws:sourceIp se verán afectados por esta actualización. El direccionamiento doble significa que la red admite IPv4 e IPv6.
Si utiliza el direccionamiento dual, debe actualizar las políticas de IAM que están configuradas actualmente con direcciones de formato IPv4 para incluir las direcciones de formato IPv6.
Para obtener ayuda con los problemas de acceso, póngase en contacto con AWS Support
nota
Los siguientes clientes no se ven afectados por esta actualización:
-
Clientes que utilizan únicamente redes IPv4.
¿Qué es IPv6?
IPv6 es el estándar IP de próxima generación destinado a reemplazar eventualmente al IPv4. La versión anterior, IPv4, utilizaba un esquema de direccionamiento de 32 bits para admitir 4300 millones de dispositivos. En cambio, IPv6 utiliza un direccionamiento de 128 bits para admitir aproximadamente 340 billones de billones de billones de billones (es decir, 2 a la 128.ª potencia) de dispositivos.
Para obtener más información, consulte la página web IPv6 de la VPC
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
Actualización de una política de IAM para IPv6
Las políticas de IAM se utilizan actualmente para establecer un rango permitido de direcciones IP mediante el filtro aws:SourceIp.
El direccionamiento doble admite el tráfico IPv4 e IPv6. Si su red utiliza direccionamiento doble, debe actualizar cualquier política de IAM que se use para el filtrado de direcciones IP para incluir los rangos de direcciones IPv6.
Por ejemplo, la siguiente política identifica los rangos de direcciones IPv4 permitidos 192.0.2.0.* y 203.0.113.0.* en el elemento de Condition.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Para actualizar esta política, cambie el elemento de Condition para incluir los rangos de direcciones IPv6 2001:DB8:1234:5678::/64 y 2001:cdba:3257:8593::/64.
nota
NO ELIMINE las direcciones IPv4 existentes porque son necesarias para la compatibilidad con versiones anteriores.
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Verificar que el cliente admita IPv6
Se recomienda a los clientes que usan el punto de conexión cloudhsmv2.{region}.api.aws que comprueben si pueden conectarse a él. En los siguientes pasos, se describe cómo realizar la verificación.
Este ejemplo usa Linux y la versión 8.6.0 de curl, así como los puntos de conexión del servicio de AWS CloudHSM, que cuenta con puntos de conexión habilitados para IPv6 ubicados en el punto de conexión api.aws.
nota
Cambie la Región de AWS a la misma región en la que se encuentra el cliente. En este ejemplo, utilizamos el punto de conexión us-east-1 del Este de EE. UU. (Norte de Virginia)
-
Utilice el siguiente comando
digpara determinar si el punto de conexión se resuelve con una dirección IPv6.dig +short AAAA cloudhsmv2.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 -
Utilice el siguiente comando
curlpara determinar si la red del cliente puede establecer una conexión de IPv6. Un código de respuesta 404 indica que la conexión se realizó correctamente, mientras que un código de respuesta 0 significa que la conexión falló.curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 response code: 404
Si se identificó una dirección IP remota y el código de respuesta no es 0, se estableció correctamente una conexión de red con el punto de conexión mediante IPv6. La IP remota debe ser una dirección IPv6 porque el sistema operativo debe seleccionar el protocolo válido para el cliente. Si la IP remota no es una dirección IPv6, use el siguiente comando para forzar a curl a usar la IPv4.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
Si la dirección IP remota está en blanco o el código de respuesta es 0, la red del cliente o la ruta de red al punto de conexión es únicamente IPv4. Puede verificar esta configuración con el siguiente comando de curl.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
