기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
IAM정책을 다음으로 업그레이드 IPv6
AWS 리소스 탐색기 고객은 IAM 정책을 사용하여 허용되는 IP 주소 범위를 설정하고 구성된 범위를 벗어나는 IP 주소가 Resource APIs Explorer에 액세스할 수 없도록 합니다.
리소스 탐색기-2.region리소스 탐색기가 호스팅되는.api.aws 도메인은 추가로 지원하도록 업그레이드 APIs 중입니다. IPv6 IPv4
IPv6주소를 처리하도록 IP 주소 필터링 정책을 업데이트하지 않으면 클라이언트가 Resource Explorer 도메인의 리소스에 대한 액세스 권한을 상실할 수 있습니다. API
에서 IPv4 로 업그레이드하여 영향을 받는 고객 IPv6
aws:가 포함된 정책과 함께 이중 주소 지정을 사용하는 고객은 이번 sourceIp 업그레이드의 영향을 받습니다. 이중 주소 지정은 네트워크가 및 를 모두 지원함을 의미합니다. IPv4 IPv6
이중 주소 지정을 사용하는 경우 현재 형식 주소로 구성된 IAM 정책을 업데이트하여 IPv4 형식 주소를 IPv6 포함해야 합니다.
액세스 문제에 대한 도움이 필요하면 AWS Support
참고
다음 고객은 이번 업그레이드의 영향을 받지 않습니다.
-
IPv4네트워크에만 있는 고객.
-
IPv6네트워크에만 있는 고객.
이게 IPv6 뭐죠?
IPv6차세대 IP 표준은 결국 대체될 예정입니다IPv4. 이전 IPv4 버전에서는 32비트 주소 지정 체계를 사용하여 43억 개의 장치를 지원합니다. IPv6대신 128비트 주소 지정을 사용하여 약 340조 조 (또는 2에서 128번째 전력) 의 장치를 지원합니다.
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
IAM에 대한 정책 업데이트 IPv6
IAM정책은 현재 aws:SourceIp 필터를 사용하여 허용되는 IP 주소 범위를 설정하는 데 사용됩니다.
이중 주소 지정은 AND IPV6 트래픽을 IPv4 모두 지원합니다. 네트워크에서 이중 주소 IAM 지정을 사용하는 경우 IP 주소 필터링에 사용되는 모든 정책이 주소 범위를 IPv6 포함하도록 업데이트되었는지 확인해야 합니다.
예를 들어, 이 Amazon S3 버킷 정책은 허용된 IPv4 주소 192.0.2.0.* 범위와 203.0.113.0.* Condition 요소에서 식별합니다.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
이 정책을 업데이트하려면 정책 Condition 요소가 IPv6 주소 범위 2001:DB8:1234:5678::/64 및 2001:cdba:3257:8593::/64 를 포함하도록 업데이트됩니다.
참고
기존 IPv4 주소는 이전 버전과의 호환성을 위해 필요하므로 그대로 사용하십시오. NOT REMOVE
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
를 사용하여 IAM 액세스 권한을 관리하는 방법에 대한 자세한 내용은 사용 AWS Identity and Access Management 설명서의 관리형 정책 및 인라인 정책을 참조하십시오.
클라이언트가 지원할 수 있는지 확인하세요. IPv6
리소스 탐색기-2를 사용하는 고객. {region} .api.aws 엔드포인트는 해당 클라이언트가 이미 활성화된 다른 엔드포인트에 액세스할 수 있는지 확인하는 것이 좋습니다. AWS 서비스 IPv6 다음 단계는 이러한 엔드포인트를 확인하는 방법을 설명합니다.
이 예시에서는 Linux 및 curl 버전 8.6.0을 사용하고 api.aws 도메인에 있는 엔드포인트를 IPv6 활성화한 Amazon Athena 서비스 엔드포인트를 사용합니다.
참고
클라이언트가 위치한 동일한 지역으로 AWS 리전 전환하십시오. 이 예에서는 미국 동부 (버지니아 북부) — us-east-1 엔드포인트를 사용합니다.
-
다음 curl 명령을 사용하여 엔드포인트가 IPv6 주소로 확인되는지 확인합니다.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
다음 curl 명령을 IPv6 사용하여 클라이언트 네트워크를 연결할 수 있는지 확인합니다.
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404원격 IP가 식별되었지만 응답 코드가 확인되지 않은
0경우 를 사용하여 IPv6 엔드포인트에 성공적으로 네트워크가 연결되었습니다.
원격 IP가 비어 있거나 응답 코드가 비어 있는 경우 클라이언트 네트워크 또는 엔드포인트에 대한 네트워크 경로는 IPv4 전용입니다. 0 다음 curl 명령으로 이 구성을 확인할 수 있습니다.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404
원격 IP가 식별되었지만 응답 코드가 없는 0 경우 를 사용하여 IPv4 엔드포인트에 성공적으로 네트워크 연결이 이루어진 것입니다. 운영 체제는 클라이언트에 유효한 프로토콜을 선택해야 하므로 원격 IP는 IPv4 주소여야 합니다. 원격 IP가 IPv4 주소가 아닌 경우 다음 명령을 사용하여 curl을 강제로 사용하십시오IPv4.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 35.170.237.34 response code: 404
