IAM ポリシーを にアップグレードする IPv6 - AWS Resource Explorer

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM ポリシーを にアップグレードする IPv6

AWS Resource Explorer のお客様は、IAMポリシーを使用して IP アドレスの許容範囲を設定し、設定された範囲外の IP アドレスが Resource Explorer にアクセスできないようにしますAPIs。

resource-explorer-2。regionResource Explorer がホストされている .api.aws ドメインAPIsは、 IPv6に加えて をサポートするようにアップグレードされていますIPv4。

アドレスを処理するように更新されていない IP IPv6 アドレスフィルタリングポリシーは、クライアントが Resource Explorer APIドメインのリソースにアクセスできなくなる可能性があります。

から IPv4 へのアップグレードの影響を受けるお客様 IPv6

aws:sourceIp を含むポリシーでデュアルアドレス指定を使用しているお客様は、このアップグレードの影響を受けます。デュアルアドレス指定は、ネットワークが IPv4と の両方をサポートしていることを意味しますIPv6。

デュアルアドレス指定を使用している場合は、現在IPv4フォーマットアドレスで設定されているIAMポリシーを更新して、IPv6フォーマットアドレスを含める必要があります。

アクセスに関する問題については、AWS Support にお問い合わせください。

注記

次のお客様は、アップグレードの影響は受けません。

  • IPv4 ネットワークのみを利用しているお客様。

  • IPv6 ネットワークのみを利用しているお客様。

IPv6 とは?

IPv6 は、最終的に を置き換えることを意図した次世代 IP 標準ですIPv4。以前のバージョン ではIPv4、32 ビットのアドレス指定スキームを使用して 43 億台のデバイスをサポートしています。IPv6 代わりに、 は 128 ビットアドレス指定を使用して、約 340 兆兆 (または 128 番目の電力に 2) デバイスをサポートします。

2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965

の IAMポリシーの更新 IPv6

IAM ポリシーは現在、 aws:SourceIp フィルターを使用して IP アドレスの許容範囲を設定するために使用されます。

デュアルアドレス指定は、 IPv4および IPV6トラフィックの両方をサポートします。ネットワークでデュアルアドレス指定を使用している場合は、IP アドレスフィルタリングに使用されるIAMポリシーがIPv6アドレス範囲を含むように更新されていることを確認する必要があります。

例えば、この Amazon S3 バケットポリシーは、 Condition要素203.0.113.0.*で許可されたIPv4アドレス範囲 192.0.2.0.* と を識別します。

# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }

このポリシーを更新するには、ポリシーの Condition要素が更新され、IPv6アドレス範囲 2001:DB8:1234:5678::/64と が含まれます2001:cdba:3257:8593::/64

注記

下位互換性のために必要になるため、NOTREMOVE既存のIPv4アドレスを実行します。

"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }

によるアクセス許可の管理の詳細についてはIAM、「 ユーザーガイド」の「 管理ポリシーとインラインポリシーAWS Identity and Access Management 」を参照してください。

クライアントが をサポートできることを確認する IPv6

resource-explorer-2.{region}.api.aws エンドポイントを使用しているお客様は、クライアントが既にIPv6有効になっている他の AWS のサービス エンドポイントにアクセスできるかどうかを確認することをお勧めします。次の手順では、これらのエンドポイントを検証する方法について説明します。

この例では、Linux および curl バージョン 8.6.0 を使用し、api.aws ドメイン にあるエンドポイントを有効にした Amazon Athena サービスエンドポイントを使用します。 IPv6

注記

AWS リージョン を、クライアントが配置されているのと同じリージョンに切り替えます。この例では、米国東部 (バージニア北部) – us-east-1エンドポイントを使用します。

  1. 次の curl コマンドを使用して、エンドポイントがIPv6アドレスで解決されるかどうかを確認します。

    dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
  2. 次の curl コマンドIPv6を使用して、クライアントネットワークが接続を行えるかどうかを確認します。

    curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404

    リモート IP が特定されレスポンスコードが でない場合0、 を使用してエンドポイントへのネットワーク接続が正常に行われましたIPv6。

リモート IP が空白の場合、またはレスポンスコードが の場合0、クライアントネットワークまたはエンドポイントへのネットワークパスは IPv4のみになります。この設定は、次の curl コマンドで確認できます。

curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404

リモート IP が特定されレスポンスコードが でない場合0、 を使用してエンドポイントへのネットワーク接続が正常に行われましたIPv4。オペレーティングシステムはクライアントに有効なプロトコルを選択する必要があるため、リモート IP は IPv4 アドレスである必要があります。リモート IP がIPv4アドレスでない場合は、次のコマンドを使用して curl に の使用を強制しますIPv4。

curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 35.170.237.34 response code: 404