翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# IAM ポリシーによる API アクセスコントロール
## IAM ポリシーを IPv6 にアップグレードする
AWS CloudHSM のお客様は、IAM ポリシーを使用して AWS CloudHSM APIs、設定された範囲外の IP アドレスが AWS CloudHSM APIs にアクセスできないようにします。
AWS CloudHSM APIs がホストされている *cloudhsmv2.**.api.aws* デュアルスタックエンドポイントは、IPv4 に加えて IPv6 をサポートします。 IPv4
IPv4 と IPv6 の両方をサポートする必要があるお客様は、IPv6 アドレスを処理するために IP アドレスフィルタリングポリシーを更新する必要があります。更新しないと、IPv6 AWS CloudHSM 経由で に接続する機能に影響します。
### アップグレードすべきるユーザーとは?
*aws:sourceIp* を含むポリシーでデュアルアドレスを使用しているお客様は、このアップグレードの影響を受けます。*デュアルアドレス指定*とは、ネットワークが IPv4 と IPv6 の両方をサポートすることを意味します。
デュアルアドレス指定を使用している場合は、現在 IPv4 形式のアドレスで構成されている IAM ポリシーを、IPv6 形式のアドレスを含むように更新する必要があります。
アクセスに関する問題については、[サポート](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create) にお問い合わせください。
**注記**
次のお客様は、アップグレードの影響は受けません。**
IPv4 ネットワークのみを利用しているお客様。**
### IPv6 とは
IPv6 は、最終的に IPv4 を IPv6 に置き換えることを意図した次世代の IP 規格です。以前のバージョンの IPv4 は、32 ビットのアドレス指定方式を使用して 43 億台のデバイスをサポートしていました。IPv6 は代わりに 128 ビットのアドレス指定を使用して、約 340 兆 x1 兆倍 x1 兆倍 (つまり 2 の 128 乗) のデバイスをサポートします。
詳細については、[VPC IPv6 ウェブページ](https://aws.amazon.com/vpc/ipv6/) を参照してください。
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
### IPv6 用の IAM ポリシーを更新する
現在、IAM ポリシーは、`aws:SourceIp` フィルターを使用して IP アドレスの許容範囲を設定するために使用されています。
デュアルアドレス指定では、IPv4 と IPv6 の両方のトラフィックをサポートしています。ネットワークでデュアルアドレス指定を使用している場合、IPv6 アドレス範囲を含めるように、IP アドレスフィルタリングに使用される IAM ポリシーを更新する必要があります。
例えば、以下のポリシーは、`Condition` 要素で許可された IPv4 アドレス範囲の`192.0.2.0.*` と `203.0.113.0.*` を識別します。
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
このポリシーを更新するには、`Condition` 要素を変更して、IPv6 アドレス範囲 の `2001:DB8:1234:5678::/64` と `2001:cdba:3257:8593::/64` を含むように更新します。
**注記**
既存の IPv4 アドレスは下位互換性のために必要なため、削除しないでください。
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
### クライアントが IPv6 をサポートしていることを検証する
*cloudhsmv2.\$1region\$1.api.aws* エンドポイントを使用しているお客様は、接続できるかどうかを確認することをお勧めします。以下の手順では、検証を実行する方法について説明します。
この例では、Linux および curl バージョン 8.6.0 を使用し、api.aws [AWS CloudHSM エンドポイントにある IPv6 対応エンドポイントを持つサービス](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html)エンドポイントを使用します。 IPv6 **
**注記**
を、クライアントが配置されているのと同じリージョン AWS リージョン に切り替えます。この例では、米国東部 (バージニア北部) – `us-east-1` エンドポイントを使用します。
1. 次の `dig` コマンドを使用して、エンドポイントが IPv6 アドレスで解決されることを確認します。
```
dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
1. 次の `curl` コマンドを使用して、クライアント ネットワークが IPv6 接続を確立できるかどうかを確認します。レスポンスコードが 404 の場合は接続が成功したことを意味し、0 の場合は接続が失敗したことを意味します。
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404
```
リモート IP アドレスが特定され、**さらに**レスポンスコードが `0` でない場合は、IPv6 を使用してエンドポイントへのネットワーク接続が正常に確立されています。リモート IP は IPv6 アドレスである必要があります。これは、オペレーティングシステムがクライアントに有効なプロトコルを選択する必要があるからです。リモート IP が IPv6 アドレスでない場合は、次のコマンドを使用して、強制的に `curl` が IPv4 を使用するようにします。
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```
リモート IP が空白の場合、またはレスポンスコードが `0` の場合は、クライアントネットワークまたはエンドポイントへのネットワークパスは IPv4 専用です。これを確認するには、次の `curl` コマンドを使用します。
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```