Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Actualice IAM las políticas a IPv6
Explorador de recursos de AWS los clientes utilizan IAM políticas para establecer un rango permitido de direcciones IP e impedir que cualquier dirección IP que esté fuera del rango configurado pueda acceder a Resource ExplorerAPIs.
El explorador de recursos 2.regionEl dominio.api.aws en el que se aloja Resource Explorer APIs se está actualizando para admitir además de. IPv6 IPv4
Las políticas de filtrado de direcciones IP que no se actualizan para gestionar IPv6 las direcciones pueden provocar que los clientes pierdan el acceso a los recursos del dominio Resource Explorer. API
Los clientes se ven afectados por la actualización de IPv4 a IPv6
Los clientes que utilizan el doble direccionamiento con políticas que incluyen AWS: sourceIp se ven afectados por esta actualización. El direccionamiento doble significa que la red admite IPv4 tanto comoIPv6.
Si utiliza el direccionamiento dual, debe actualizar IAM las políticas que están configuradas actualmente con direcciones de IPv4 formato para incluir las direcciones de IPv6 formato.
Para obtener ayuda con los problemas de acceso, póngase en contacto con AWS Support
nota
Los siguientes clientes no se ven afectados por esta actualización:
-
Clientes que solo utilizan IPv4 redes.
-
Clientes que solo utilizan IPv6 redes.
¿Qué esIPv6?
IPv6es el estándar IP de próxima generación que se pretende reemplazar eventualmenteIPv4. La versión anterior,IPv4, utilizaba un esquema de direccionamiento de 32 bits para admitir 4.300 millones de dispositivos. IPv6en su lugar, utiliza un direccionamiento de 128 bits para admitir aproximadamente 340 billones de billones de billones de billones de dispositivos (o 2 a la 128ª potencia).
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
Actualización de una política para IAM IPv6
IAMLas políticas se utilizan actualmente para establecer un rango permitido de direcciones IP mediante el aws:SourceIp filtro.
El direccionamiento dual admite tanto IPv4 el tráfico como IPV6 el tráfico. Si su red utiliza el direccionamiento dual, debe asegurarse de que todas IAM las políticas que se utilizan para el filtrado de direcciones IP se actualicen para incluir los rangos de IPv6 direcciones.
Por ejemplo, esta política de bucket de Amazon S3 identifica los rangos de IPv4 direcciones permitidos 192.0.2.0.* y 203.0.113.0.* en el Condition elemento.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Para actualizar esta política, el Condition elemento de la política se actualiza para incluir los rangos de IPv6 direcciones 2001:DB8:1234:5678::/64 y2001:cdba:3257:8593::/64.
nota
Seleccione NOT REMOVE las IPv4 direcciones existentes porque son necesarias para la compatibilidad con versiones anteriores.
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Para obtener más información sobre cómo administrar los permisos de acceso conIAM, consulte las políticas administradas y las políticas integradas en la Guía del AWS Identity and Access Management usuario.
Compruebe que su cliente puede dar soporte IPv6
Clientes que utilizan el resource-explorer-2. Se recomienda al terminal {region} .api.aws que comprueben si sus clientes pueden acceder a otros puntos de enlace que ya estén habilitados. servicio de AWS IPv6 En los siguientes pasos se describe cómo verificar esos puntos finales.
Este ejemplo usa Linux y curl versión 8.6.0 y usa los puntos de enlace del servicio Amazon Athena, que IPv6 tiene puntos de enlace habilitados ubicados en el dominio api.aws.
nota
Cambie a la misma región en la Región de AWS que se encuentra el cliente. En este ejemplo, utilizamos el us-east-1 punto final EE.UU. Este (Norte de Virginia).
-
Determine si el punto final se resuelve con una IPv6 dirección mediante el siguiente comando curl.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
Determine si la red del cliente puede establecer una conexión IPv6 mediante el siguiente comando curl.
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404Si se identificó una IP remota y el código de respuesta no
0, significa que se estableció correctamente una conexión de red con el punto final medianteIPv6.
Si la IP remota está en blanco o el código de respuesta está en blanco0, la red del cliente o la ruta de red al punto final es IPv4 únicamente «-». Puede verificar esta configuración con el siguiente comando curl.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404
Si se identificó una IP remota y el código de respuesta no0, significa que se estableció correctamente una conexión de red al punto final medianteIPv4. La IP remota debe ser una IPv4 dirección porque el sistema operativo debe seleccionar el protocolo que sea válido para el cliente. Si la IP remota no es una IPv4 dirección, usa el siguiente comando para forzar a curl a usarlaIPv4.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 35.170.237.34 response code: 404
