Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Control de acceso a API mediante políticas de IAM
## Actualice las políticas de IAM a IPv6
AWS CloudHSM los clientes utilizan las políticas de IAM para controlar el acceso AWS CloudHSM APIs e impedir el acceso de cualquier dirección IP que se encuentre fuera del rango configurado. AWS CloudHSM APIs
La *nube hsmv2. **El punto final de doble pila .api.aws*, donde AWS CloudHSM APIs se alojan, admite además de. IPv6 IPv4
Los clientes que necesitan admitir ambas opciones IPv4 y IPv6 deben actualizar sus políticas de filtrado de direcciones IP para gestionar las IPv6 direcciones, ya que, de lo contrario, esto afectará a su capacidad de conexión. AWS CloudHSM IPv6
### ¿Quién debe realizar la actualización?
Los clientes que utilicen direccionamiento doble con políticas que contengan *aws:sourceIp* se verán afectados por esta actualización. *El direccionamiento dual* significa que la red es compatible con IPv4 y IPv6.
Si utiliza el direccionamiento dual, debe actualizar las políticas de IAM que están configuradas actualmente con direcciones de IPv4 formato para incluir las direcciones de IPv6 formato.
Para obtener ayuda con los problemas de acceso, póngase en contacto con [Soporte](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**nota**
Los siguientes clientes *no* se ven afectados por esta actualización:
Clientes que *solo* utilizan IPv4 redes.
### ¿Qué es IPv6?
IPv6 es el estándar IP de próxima generación que se pretende reemplazar eventualmente IPv4. La versión anterior, IPv4, utilizaba un esquema de direccionamiento de 32 bits para admitir 4.300 millones de dispositivos. IPv6 en su lugar, utiliza un direccionamiento de 128 bits para admitir aproximadamente 340 billones de billones de billones de billones de dispositivos (o 2 a la 128ª potencia).
Para obtener más información, consulte la página [web de VPC. IPv6 ](https://aws.amazon.com/vpc/ipv6/)
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
### Actualización de una política de IAM para IPv6
Las políticas de IAM se utilizan actualmente para establecer un rango permitido de direcciones IP mediante el filtro `aws:SourceIp`.
El direccionamiento dual admite tanto el tráfico como IPv4 el IPv6 tráfico. Si su red utiliza el direccionamiento dual, debe actualizar las políticas de IAM utilizadas para el filtrado de direcciones IP para incluir los rangos de IPv6 direcciones.
Por ejemplo, la siguiente política identifica los rangos de IPv4 direcciones permitidos `192.0.2.0.*` y `203.0.113.0.*` el `Condition` elemento.
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Para actualizar esta política, cambie el `Condition` elemento para incluir los rangos de IPv6 direcciones `2001:DB8:1234:5678::/64` y`2001:cdba:3257:8593::/64`.
**nota**
NO ELIMINE las IPv4 direcciones existentes porque son necesarias para la compatibilidad con versiones anteriores.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
### Compruebe que su cliente es compatible IPv6
Se recomienda a los clientes que usan el punto de conexión *cloudhsmv2.\$1region\$1.api.aws* que comprueben si pueden conectarse a él. En los siguientes pasos, se describe cómo realizar la verificación.
*Este ejemplo usa la versión 8.6.0 de Linux y curl y usa los puntos de [enlace del AWS CloudHSM servicio que tienen los puntos](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) de enlace IPv6 habilitados ubicados en el punto final de api.aws.*
**nota**
Cambie Región de AWS a la misma región en la que se encuentra el cliente. En este ejemplo, utilizamos el punto de conexión `us-east-1` del Este de EE. UU. (Norte de Virginia)
1. Determine si el punto final se resuelve con una IPv6 dirección mediante el siguiente `dig` comando.
```
dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
1. Determine si la red del cliente puede establecer una IPv6 conexión mediante el siguiente `curl` comando. Un código de respuesta 404 indica que la conexión se realizó correctamente, mientras que un código de respuesta 0 significa que la conexión falló.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404
```
Si se identificó una IP remota **y** el código de respuesta no`0`, significa que se estableció correctamente una conexión de red al punto final mediante IPv6. La IP remota debe ser una IPv6 dirección porque el sistema operativo debe seleccionar el protocolo que sea válido para el cliente. Si la IP remota no es una IPv6 dirección, utilice el siguiente comando `curl` para forzar su uso IPv4.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```
Si la IP remota está en blanco o el código de respuesta está en blanco`0`, la red del cliente o la ruta de red al punto final es IPv4 únicamente -. Puede verificar esta configuración con el siguiente comando de `curl`.
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```