Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Aggiorna IAM le politiche a IPv6
Esploratore di risorse AWS i clienti utilizzano IAM le policy per impostare un intervallo consentito di indirizzi IP e impedire a qualsiasi indirizzo IP al di fuori dell'intervallo configurato di accedere a Resource Explorer. APIs
Il resource-explorer-2.regionIl dominio.api.aws in cui APIs sono ospitati Resource Explorer è in fase di aggiornamento per supportare in aggiunta a. IPv6 IPv4
Le politiche di filtraggio degli indirizzi IP non aggiornate per gestire IPv6 gli indirizzi potrebbero comportare la perdita dell'accesso dei client alle risorse del dominio Resource Explorer. API
Clienti interessati dall'aggiornamento da a IPv4 IPv6
I clienti che utilizzano il doppio indirizzamento con policy contenenti aws: sourceIp sono interessati da questo aggiornamento. Il doppio indirizzamento significa che la rete supporta entrambi IPv4 eIPv6.
Se si utilizza il doppio indirizzamento, è necessario aggiornare le IAM politiche attualmente configurate con indirizzi di IPv4 formato per includere gli indirizzi di IPv6 formato.
Per assistenza con problemi di accesso, contatta AWS Support
Nota
I seguenti clienti non sono interessati da questo aggiornamento:
-
Clienti che utilizzano solo IPv4 reti.
-
Clienti che utilizzano solo IPv6 reti.
Che cos'èIPv6?
IPv6è lo standard IP di nuova generazione destinato a sostituire alla fineIPv4. La versione precedenteIPv4, utilizza uno schema di indirizzamento a 32 bit per supportare 4,3 miliardi di dispositivi. IPv6utilizza invece l'indirizzamento a 128 bit per supportare circa 340 trilioni di trilioni di trilioni di dispositivi (ovvero da 2 alla 128a potenza).
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
IAMAggiornamento di una politica per IPv6
IAMle politiche vengono attualmente utilizzate per impostare un intervallo consentito di indirizzi IP utilizzando il aws:SourceIp filtro.
Il doppio indirizzamento supporta IPv4 sia il traffico che IPV6 il traffico. Se la rete utilizza il doppio indirizzamento, è necessario assicurarsi che tutte le IAM policy utilizzate per il filtraggio degli indirizzi IP vengano aggiornate in modo da includere gli intervalli di IPv6 indirizzi.
Ad esempio, questa policy sui bucket di Amazon S3 identifica gli intervalli di IPv4 indirizzi consentiti 192.0.2.0.* e 203.0.113.0.* nell'elemento. Condition
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Per aggiornare questa policy, l'Conditionelemento della policy viene aggiornato per includere intervalli di IPv6 indirizzi e. 2001:DB8:1234:5678::/64 2001:cdba:3257:8593::/64
Nota
FAI NOT REMOVE gli IPv4 indirizzi esistenti perché sono necessari per la compatibilità con le versioni precedenti.
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso conIAM, consulta Politiche gestite e politiche in linea nella Guida per l'AWS Identity and Access Management utente.
Verifica che il tuo cliente sia in grado di fornire assistenza IPv6
Clienti che utilizzano resource-explorer-2. Si consiglia all'endpoint {region} .api.aws di verificare se i propri client possono accedere ad altri endpoint già abilitati. Servizio AWS IPv6 I passaggi seguenti descrivono come verificare tali endpoint.
Questo esempio utilizza Linux e curl versione 8.6.0 e utilizza gli endpoint del servizio Amazon Athena che hanno endpoint IPv6 abilitati situati nel dominio api.aws.
Nota
Passa alla stessa regione in cui Regione AWS si trova il client. In questo esempio, utilizziamo l'us-east-1endpoint degli Stati Uniti orientali (Virginia settentrionale).
-
Determina se l'endpoint si risolve con un IPv6 indirizzo utilizzando il seguente comando curl.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
Determina se la rete client può stabilire una connessione IPv6 utilizzando il seguente comando curl.
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404Se è stato identificato un IP remoto e il codice di risposta no
0, è stata stabilita correttamente una connessione di rete all'endpoint utilizzando. IPv6
Se l'IP remoto è vuoto o il codice di risposta lo è0, la rete client o il percorso di rete verso l'endpoint è IPv4 -only. È possibile verificare questa configurazione con il seguente comando curl.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404
Se è stato identificato un IP remoto e il codice di risposta no0, è stata stabilita correttamente una connessione di rete all'endpoint utilizzando. IPv4 L'IP remoto deve essere un IPv4 indirizzo perché il sistema operativo deve selezionare il protocollo valido per il client. Se l'IP remoto non è un IPv4 indirizzo, utilizzate il seguente comando per forzare l'uso IPv4 di curl.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 35.170.237.34 response code: 404
