翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
IAM ポリシーによる API アクセスコントロール
IAM ポリシーを IPv6 にアップグレードする
AWS CloudHSM のお客様は、IAM ポリシーを使用して AWS CloudHSM APIs、設定された範囲外の IP アドレスが AWS CloudHSM APIs にアクセスできないようにします。
API がホストされている cloudhsmv2.region
.api.aws デュアルスタックエンドポイントは、IPv4 に加えて IPv6 もサポートしています。 AWS CloudHSM APIs IPv4
IPv4 と IPv6 の両方をサポートする必要があるお客様は、IPv6 アドレスを処理するように IP アドレスフィルタリングポリシーを更新する必要があります。更新しないと、IPv6 AWS CloudHSM 経由で に接続する機能に影響します。
アップグレードすべきるユーザーとは?
aws:sourceIp を含むポリシーでデュアルアドレスを使用しているお客様は、このアップグレードの影響を受けます。デュアルアドレス指定とは、ネットワークが IPv4 と IPv6 の両方をサポートすることを意味します。
デュアルアドレス指定を使用している場合は、現在 IPv4 形式のアドレスで構成されている IAM ポリシーを、IPv6 形式のアドレスを含むように更新する必要があります。
アクセスに関する問題については、サポート
注記
次のお客様は、アップグレードの影響は受けません。
-
IPv4 ネットワークのみを利用しているお客様。
IPv6 とは
IPv6 は、最終的に IPv4 を IPv6 に置き換えることを意図した次世代の IP 規格です。以前のバージョンの IPv4 は、32 ビットのアドレス指定方式を使用して 43 億台のデバイスをサポートしていました。IPv6 は代わりに 128 ビットのアドレス指定を使用して、約 340 兆 x1 兆倍 x1 兆倍 (つまり 2 の 128 乗) のデバイスをサポートします。
詳細については、VPC IPv6 ウェブページ
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
IPv6 用の IAM ポリシーを更新する
現在、IAM ポリシーは、aws:SourceIp
フィルターを使用して IP アドレスの許容範囲を設定するために使用されています。
デュアルアドレス指定では、IPv4 と IPv6 の両方のトラフィックをサポートしています。ネットワークでデュアルアドレス指定を使用している場合、IPv6 アドレス範囲を含めるように、IP アドレスフィルタリングに使用される IAM ポリシーを更新する必要があります。
例えば、以下のポリシーは、Condition
要素で許可された IPv4 アドレス範囲の192.0.2.0.*
と 203.0.113.0.*
を識別します。
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
このポリシーを更新するには、Condition
要素を変更して、IPv6 アドレス範囲 の 2001:DB8:1234:5678::/64
と 2001:cdba:3257:8593::/64
を含むように更新します。
注記
既存の IPv4 アドレスは下位互換性のために必要なため、削除しないでください。
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "
*2001:DB8:1234:5678::/64*
", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*
" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
クライアントが IPv6 をサポートしていることを検証する
cloudhsmv2.{region}.api.aws エンドポイントを使用しているお客様は、接続できるかどうかを確認することをお勧めします。以下の手順では、検証を実行する方法について説明します。
この例では、Linux および curl バージョン 8.6.0 を使用し、api.aws AWS CloudHSM エンドポイントに IPv6 対応エンドポイントがあるサービスエンドポイントを使用します。 IPv6
注記
を、クライアントが配置されているのと同じリージョン AWS リージョン に切り替えます。この例では、米国東部 (バージニア北部) – us-east-1
エンドポイントを使用します。
-
次の
dig
コマンドを使用して、エンドポイントが IPv6 アドレスで解決されることを確認します。dig +short AAAA cloudhsmv2.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
-
次の
curl
コマンドを使用して、クライアント ネットワークが IPv6 接続を確立できるかどうかを確認します。レスポンスコードが 404 の場合は接続が成功したことを意味し、0 の場合は接続が失敗したことを意味します。curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 response code: 404
リモート IP アドレスが特定され、さらにレスポンスコードが 0
でない場合は、IPv6 を使用してエンドポイントへのネットワーク接続が正常に確立されています。リモート IP は IPv6 アドレスである必要があります。これは、オペレーティングシステムがクライアントに有効なプロトコルを選択する必要があるからです。リモート IP が IPv6 アドレスでない場合は、次のコマンドを使用して、強制的に curl
が IPv4 を使用するようにします。
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
リモート IP が空白の場合、またはレスポンスコードが 0
の場合は、クライアントネットワークまたはエンドポイントへのネットワークパスは IPv4 専用です。これを確認するには、次の curl
コマンドを使用します。
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404