IAMPolitiques de mise à niveau vers IPv6 - Explorateur de ressources AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMPolitiques de mise à niveau vers IPv6

Explorateur de ressources AWS les clients utilisent des IAM politiques pour définir une plage d'adresses IP autorisée et empêcher les adresses IP situées en dehors de la plage configurée d'accéder à Resource ExplorerAPIs.

L'explorateur de ressources-2.regionLe domaine .api.aws où APIs sont hébergés les explorateurs de ressources est en cours de mise à niveau pour être pris IPv6 en charge en plus de. IPv4

Les politiques de filtrage des adresses IP qui ne sont pas mises à jour pour gérer les IPv6 adresses peuvent empêcher les clients d'accéder aux ressources du API domaine Resource Explorer.

Clients concernés par la mise à niveau IPv4 de IPv6

Les clients qui utilisent le double adressage avec des politiques contenant aws : sourceIp sont concernés par cette mise à niveau. Le double adressage signifie que le réseau prend en charge à la fois IPv4 etIPv6.

Si vous utilisez le double adressage, vous devez mettre à jour vos IAM politiques actuellement configurées avec les adresses de IPv4 format afin d'inclure les adresses de IPv6 format.

Pour obtenir de l'aide concernant les problèmes d'accès, contactez AWS Support.

Note

Les clients suivants ne sont pas concernés par cette mise à niveau :

  • Les clients connectés uniquement IPv4 aux réseaux.

  • Les clients connectés uniquement IPv6 aux réseaux.

Qu'est-ce qu'IPv6 ?

IPv6est la norme IP de prochaine génération destinée à être remplacée à termeIPv4. La version précédente utilise un schéma d'adressage 32 bits pour prendre en charge 4,3 milliards d'appareils. IPv4 IPv6utilise plutôt un adressage 128 bits pour prendre en charge environ 340 billions de billions de milliards de milliards de milliards de dollars (soit 2 appareils à la 128e puissance).

2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965

Mettre à jour une IAM politique pour IPv6

IAMles politiques sont actuellement utilisées pour définir une plage d'adresses IP autorisée à l'aide du aws:SourceIp filtre.

Le double adressage prend en charge les deux IPv4 et IPV6 le trafic. Si votre réseau utilise le double adressage, vous devez vous assurer que toutes IAM les politiques utilisées pour le filtrage des adresses IP sont mises à jour pour inclure les plages d'IPv6adresses.

Par exemple, cette politique de compartiment Amazon S3 identifie les plages d'IPv4adresses autorisées 192.0.2.0.* et 203.0.113.0.* dans l'Conditionélément.

# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }

Pour mettre à jour cette politique, l'Conditionélément de la politique est mis à jour pour inclure les plages d'IPv6adresses 2001:DB8:1234:5678::/64 et2001:cdba:3257:8593::/64.

Note

UTILISEZ NOT REMOVE les IPv4 adresses existantes car elles sont nécessaires pour la rétrocompatibilité.

"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }

Pour plus d'informations sur la gestion des autorisations d'accès avecIAM, consultez la section Politiques gérées et politiques intégrées dans le Guide de l'AWS Identity and Access Management utilisateur.

Vérifiez que votre client peut vous aider IPv6

Clients utilisant le Resource-Explorer-2. Il est conseillé aux points de terminaison {region} .api.aws de vérifier si leurs clients peuvent accéder à d'autres Service AWS points de terminaison déjà activés. IPv6 Les étapes suivantes décrivent comment vérifier ces points de terminaison.

Cet exemple utilise Linux et la version 8.6.0 de curl et utilise les points de terminaison du service Amazon Athena qui ont activé les points de terminaison situés dans le IPv6 domaine api.aws.

Note

Basculez Région AWS vers la même région que celle où se trouve le client. Dans cet exemple, nous utilisons le point de us-east-1 terminaison de l'est des États-Unis (Virginie du Nord).

  1. Déterminez si le point de terminaison est résolu avec une IPv6 adresse à l'aide de la commande curl suivante.

    dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
  2. Déterminez si le réseau client peut établir une connexion à l'IPv6aide de la commande curl suivante.

    curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404

    Si une adresse IP distante a été identifiée mais que le code de réponse ne l'est pas0, une connexion réseau a été établie avec succès avec le terminal à l'aide deIPv6.

Si l'adresse IP distante est vide ou si le code de réponse l'est0, le réseau client ou le chemin réseau vers le point de IPv4 terminaison est uniquement disponible. Vous pouvez vérifier cette configuration à l'aide de la commande curl suivante.

curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404

Si une adresse IP distante a été identifiée mais que le code de réponse ne l'est pas0, une connexion réseau a été établie avec succès avec le terminal à l'aide deIPv4. L'adresse IP distante doit être une IPv4 adresse car le système d'exploitation doit sélectionner le protocole valide pour le client. Si l'adresse IP distante n'est pas une IPv4 adresse, utilisez la commande suivante pour forcer l'utilisation IPv4 de curl.

curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 35.170.237.34 response code: 404