Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôlez l'accès aux API avec des politiques IAM
## Mettez à niveau les politiques IAM vers IPv6
AWS CloudHSM les clients utilisent des politiques IAM pour contrôler l'accès AWS CloudHSM APIs aux adresses IP situées en dehors de la plage configurée et empêcher leur accès AWS CloudHSM APIs.
Le *cloudhsmv2. **Point de terminaison à double pile .api.aws* où AWS CloudHSM APIs sont hébergés des supports en IPv6 plus de. IPv4
Les clients IPv6 doivent prendre en charge les deux IPv4 et mettre à jour leurs politiques de filtrage des adresses IP pour gérer IPv6 les adresses, sinon cela aura un impact AWS CloudHSM sur leur capacité à se connecter IPv6.
### Qui doit effectuer la mise à niveau ?
Les clients qui utilisent le double adressage avec des politiques contenant *AWS:SourceIP* sont concernés par cette mise à niveau. *Le double adressage* signifie que le réseau prend en charge à la fois IPv4 et IPv6.
Si vous utilisez le double adressage, vous devez mettre à jour vos politiques IAM actuellement configurées avec des adresses de IPv4 format afin d'inclure les adresses de IPv6 format.
Pour obtenir de l’aide en cas de problèmes d’accès, contactez [Support](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**Note**
Les clients suivants *ne sont pas* concernés par cette mise à niveau :
Clients connectés *uniquement* aux IPv4 réseaux.
### Qu'est-ce que c'est IPv6 ?
IPv6 est la norme IP de prochaine génération destinée à être remplacée à terme IPv4. La version précédente utilise un schéma d'adressage 32 bits pour prendre en charge 4,3 milliards d'appareils. IPv4 IPv6 utilise plutôt un adressage 128 bits pour prendre en charge environ 340 billions de billions de milliards de milliards de milliards de dollars (soit 2 appareils à la 128e puissance).
Pour plus de détails, consultez la page [Web VPC. IPv6 ](https://aws.amazon.com/vpc/ipv6/)
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
### Mettre à jour une politique IAM pour IPv6
Les politiques IAM sont actuellement utilisées pour définir une plage d'adresses IP autorisée à l'aide du `aws:SourceIp` filtre.
Le double adressage prend en charge les deux IPv4 et IPv6 le trafic. Si votre réseau utilise le double adressage, vous devez mettre à jour toutes les politiques IAM utilisées pour le filtrage des adresses IP afin d'inclure les plages d' IPv6 adresses.
Par exemple, la politique ci-dessous identifie les plages d' IPv4 adresses autorisées `192.0.2.0.*` et `203.0.113.0.*` dans l'`Condition`élément.
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Pour mettre à jour cette politique, modifiez l'`Condition`élément afin d'inclure les plages d' IPv6 adresses `2001:DB8:1234:5678::/64` et`2001:cdba:3257:8593::/64`.
**Note**
NE SUPPRIMEZ PAS les IPv4 adresses existantes car elles sont nécessaires à des fins de rétrocompatibilité.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
### Vérifiez le support de votre client IPv6
Clients utilisant le *cloudhsmv2. Il est conseillé au point de terminaison \$1region\$1 .api.aws* de vérifier s'il est capable de s'y connecter. Les étapes suivantes décrivent comment effectuer la vérification.
*Cet exemple utilise Linux et la version 8.6.0 de curl et utilise les points de terminaison de [AWS CloudHSM service qui IPv6 ont activé les points de terminaison](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) situés sur le point de terminaison api.aws.*
**Note**
Basculez Région AWS vers la même région que celle où se trouve le client. Dans cet exemple, nous utilisons USA Est (Virginie du Nord) : le point de terminaison `us-east-1`.
1. Déterminez si le point de terminaison est résolu avec une IPv6 adresse à l'aide de la `dig` commande suivante.
```
dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
1. Déterminez si le réseau client peut établir une IPv6 connexion à l'aide de la `curl` commande suivante. Un code de réponse 404 signifie que la connexion a réussi, tandis qu'un code de réponse 0 signifie que la connexion a échoué.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404
```
Si une adresse IP distante a été identifiée **mais** que le code de réponse ne l'est pas`0`, une connexion réseau a été établie avec succès avec le terminal à l'aide de IPv6. L'adresse IP distante doit être une IPv6 adresse car le système d'exploitation doit sélectionner le protocole valide pour le client. Si l'adresse IP distante n'est pas une IPv6 adresse, utilisez la commande suivante pour `curl` forcer l'utilisation IPv4.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```
Si l'adresse IP distante est vide ou si le code de réponse l'est`0`, le réseau client ou le chemin réseau vers le point de IPv4 terminaison est uniquement disponible. Vous pouvez vérifier cette configuration à l'aide de la `curl` commande suivante.
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```