Controlla l'accesso alle API con le policy IAM

Aggiorna le politiche IAM a IPv6

AWS CloudHSM i clienti utilizzano le policy IAM per controllare l'accesso AWS CloudHSM APIs e impedire l'accesso a qualsiasi indirizzo IP al di fuori dell'intervallo configurato. AWS CloudHSM APIs

Il cloudhsmv2. regionL'endpoint dual-stack .api.aws in cui sono ospitati supporta oltre a. AWS CloudHSM APIs IPv6 IPv4

I clienti che devono supportare entrambi IPv6 devono aggiornare IPv4 le politiche di filtraggio degli indirizzi IP per gestire IPv6 gli indirizzi, altrimenti ciò influirà sulla loro capacità di connettersi a over. AWS CloudHSM IPv6

Chi deve effettuare l'upgrade?

I clienti che utilizzano il doppio indirizzamento con policy contenenti AWS:SourceIP sono interessati da questo aggiornamento. Il doppio indirizzamento significa che la rete supporta entrambi e. IPv4 IPv6

Se utilizzi il doppio indirizzamento, devi aggiornare le politiche IAM attualmente configurate con indirizzi di IPv4 formato per includere gli indirizzi di IPv6 formato.

Per assistenza con problemi di accesso, contatta Supporto.

Nota

I seguenti clienti non sono interessati da questo aggiornamento:

Clienti che utilizzano solo IPv4 reti.

Che cos'è IPv6?

IPv6 è lo standard IP di nuova generazione destinato a sostituire alla fine IPv4. La versione precedente IPv4, utilizza uno schema di indirizzamento a 32 bit per supportare 4,3 miliardi di dispositivi. IPv6 utilizza invece l'indirizzamento a 128 bit per supportare circa 340 trilioni di trilioni di trilioni di dispositivi (ovvero da 2 alla 128a potenza).

Per maggiori dettagli, consulta la pagina web VPC. IPv6


2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965

Aggiornamento di una policy IAM per IPv6

Le politiche IAM vengono attualmente utilizzate per impostare un intervallo consentito di indirizzi IP utilizzando il aws:SourceIp filtro.

Il doppio indirizzamento supporta IPv4 sia il traffico che IPv6 il traffico. Se la rete utilizza il doppio indirizzamento, è necessario aggiornare tutte le policy IAM utilizzate per il filtraggio degli indirizzi IP in modo da includere gli intervalli di IPv6 indirizzi.

Ad esempio, la politica seguente identifica gli intervalli di IPv4 indirizzi consentiti 192.0.2.0.* e 203.0.113.0.* nell'elemento. Condition


# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

Per aggiornare questa politica, modifica l'Conditionelemento in modo da includere gli intervalli di IPv6 indirizzi 2001:DB8:1234:5678::/64 e2001:cdba:3257:8593::/64.

Nota

NON RIMUOVERE gli IPv4 indirizzi esistenti perché sono necessari per la compatibilità con le versioni precedenti.


"Condition": {
                "NotIpAddress": {
                    "*aws:SourceIp*": [
                        "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                        "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }

Verifica che il tuo client supporti IPv6

Clienti che utilizzano cloudhsmv2. Si consiglia all'endpoint {region} .api.aws di verificare se è in grado di connettersi ad esso. I passaggi seguenti descrivono come eseguire la verifica.

Questo esempio utilizza Linux e curl versione 8.6.0 e utilizza gli endpoint del AWS CloudHSM servizio che hanno endpoint IPv6 abilitati situati nell'endpoint api.aws.

Nota

Passa alla stessa regione in cui Regione AWS si trova il client. In questo esempio, utilizziamo l'us-east-1endpoint degli Stati Uniti orientali (Virginia settentrionale).

Determina se l'endpoint si risolve con un IPv6 indirizzo utilizzando il seguente comando. dig
```
dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
Determina se la rete client può stabilire una IPv6 connessione utilizzando il seguente comando. curl Un codice di risposta 404 indica che la connessione è riuscita, mentre un codice di risposta 0 indica che la connessione non è riuscita.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404
```

Se è stato identificato un IP remoto e il codice di risposta no0, è stata stabilita correttamente una connessione di rete all'endpoint utilizzando. IPv6 L'IP remoto deve essere un IPv6 indirizzo perché il sistema operativo deve selezionare il protocollo valido per il client. Se l'IP remoto non è un IPv6 indirizzo, usa il seguente comando per curl forzare l'uso IPv4.


curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404

Se l'IP remoto è vuoto o il codice di risposta è0, la rete client o il percorso di rete verso l'endpoint è IPv4 -only. È possibile verificare questa configurazione con il seguente curl comando.


curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza

Protezione dei dati