Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Controlla l'accesso alle API con le policy IAM
## Aggiorna le politiche IAM a IPv6
AWS CloudHSM i clienti utilizzano le policy IAM per controllare l'accesso AWS CloudHSM APIs e impedire l'accesso a qualsiasi indirizzo IP al di fuori dell'intervallo configurato. AWS CloudHSM APIs
Il *cloudhsmv2. **L'endpoint dual-stack .api.aws* in cui sono ospitati supporta oltre a. AWS CloudHSM APIs IPv6 IPv4
I clienti che devono supportare entrambi IPv6 devono aggiornare IPv4 le politiche di filtraggio degli indirizzi IP per gestire IPv6 gli indirizzi, altrimenti ciò influirà sulla loro capacità di connettersi a over. AWS CloudHSM IPv6
### Chi deve effettuare l'upgrade?
I clienti che utilizzano il doppio indirizzamento con policy contenenti *AWS:SourceIP* sono interessati da questo aggiornamento. *Il doppio indirizzamento* significa che la rete supporta entrambi e. IPv4 IPv6
Se si utilizza il doppio indirizzamento, è necessario aggiornare le politiche IAM attualmente configurate con indirizzi di IPv4 formato per includere gli indirizzi di IPv6 formato.
Per ricevere assistenza in caso di problemi di accesso, contattare [Supporto](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**Nota**
I seguenti clienti *non* sono interessati da questo aggiornamento:
Clienti che utilizzano *solo* IPv4 reti.
### Che cos'è IPv6?
IPv6 è lo standard IP di nuova generazione destinato a sostituire alla fine IPv4. La versione precedente IPv4, utilizza uno schema di indirizzamento a 32 bit per supportare 4,3 miliardi di dispositivi. IPv6 utilizza invece l'indirizzamento a 128 bit per supportare circa 340 trilioni di trilioni di trilioni di dispositivi (ovvero da 2 alla 128a potenza).
Per maggiori dettagli, consulta la pagina [web VPC. IPv6 ](https://aws.amazon.com/vpc/ipv6/)
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
### Aggiornamento di una policy IAM per IPv6
Le politiche IAM vengono attualmente utilizzate per impostare un intervallo consentito di indirizzi IP utilizzando il `aws:SourceIp` filtro.
Il doppio indirizzamento supporta IPv4 sia il traffico che IPv6 il traffico. Se la rete utilizza il doppio indirizzamento, è necessario aggiornare tutte le policy IAM utilizzate per il filtraggio degli indirizzi IP in modo da includere gli intervalli di IPv6 indirizzi.
Ad esempio, la politica seguente identifica gli intervalli di IPv4 indirizzi consentiti `192.0.2.0.*` e `203.0.113.0.*` nell'elemento. `Condition`
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Per aggiornare questa politica, modifica l'`Condition`elemento in modo da includere gli intervalli di IPv6 indirizzi `2001:DB8:1234:5678::/64` e`2001:cdba:3257:8593::/64`.
**Nota**
NON RIMUOVERE gli IPv4 indirizzi esistenti perché sono necessari per la compatibilità con le versioni precedenti.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
### Verifica che il tuo client supporti IPv6
Clienti che utilizzano *cloudhsmv2. Si consiglia all'endpoint \$1region\$1 .api.aws* di verificare se è in grado di connettersi ad esso. I passaggi seguenti descrivono come eseguire la verifica.
*Questo esempio utilizza Linux e curl versione 8.6.0 e utilizza gli endpoint del [AWS CloudHSM servizio che hanno endpoint](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) IPv6 abilitati situati nell'endpoint api.aws.*
**Nota**
Passa alla stessa regione in cui Regione AWS si trova il client. In questo esempio, utilizziamo l'endpoint Stati Uniti orientali (Virginia settentrionale) - `us-east-1`.
1. Determina se l'endpoint si risolve con un IPv6 indirizzo utilizzando il seguente comando. `dig`
```
dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
1. Determina se la rete client può stabilire una IPv6 connessione utilizzando il seguente comando. `curl` Un codice di risposta 404 indica che la connessione è riuscita, mentre un codice di risposta 0 indica che la connessione non è riuscita.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404
```
Se è stato identificato un IP remoto **e** il codice di risposta no`0`, è stata stabilita correttamente una connessione di rete all'endpoint utilizzando. IPv6 L'IP remoto deve essere un IPv6 indirizzo perché il sistema operativo deve selezionare il protocollo valido per il client. Se l'IP remoto non è un IPv6 indirizzo, usa il seguente comando per `curl` forzare l'uso IPv4.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```
Se l'IP remoto è vuoto o il codice di risposta è`0`, la rete client o il percorso di rete verso l'endpoint è IPv4 -only. È possibile verificare questa configurazione con il seguente `curl` comando.
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```