Controlar o acesso à API com políticas do IAM - AWS CloudHSM
Atualize as políticas do IAM para IPv6

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controlar o acesso à API com políticas do IAM

Atualize as políticas do IAM para IPv6

AWS CloudHSM os clientes usam políticas do IAM para controlar o acesso AWS CloudHSM APIs e impedir que qualquer endereço IP fora do intervalo configurado possa ser acessado AWS CloudHSM APIs.

O cloudhsmv2. regionEndpoint de pilha dupla .api.aws onde estão AWS CloudHSM APIs hospedados suportes, além de. IPv6 IPv4

Clientes que precisam oferecer suporte a ambos IPv4 e IPv6 precisam atualizar suas políticas de filtragem de endereços IP para lidar com IPv6 endereços, caso contrário, isso afetará sua capacidade AWS CloudHSM de IPv6 se conectar.

Quem deve fazer a atualização?

Os clientes que usam endereçamento duplo com políticas que contêm aws:sourceIp são afetados por essa atualização. O endereçamento duplo significa que a rede suporta IPv4 tanto IPv6 e.

Se você estiver usando endereçamento duplo, deverá atualizar suas políticas do IAM que estão atualmente configuradas com endereços de IPv4 formato para incluir endereços de IPv6 formato.

Para obter ajuda com problemas de acesso, entre em contato com Suporte.

nota

Os seguintes clientes não são afetados por essa atualização:

  • Clientes que estão apenas em IPv4 redes.

O que IPv6 é

IPv6 é o padrão IP de próxima geração destinado a ser substituído eventualmente IPv4. A versão anterior, IPv4, usa um esquema de endereçamento de 32 bits para suportar 4,3 bilhões de dispositivos. IPv6 em vez disso, usa endereçamento de 128 bits para suportar aproximadamente 340 trilhões de trilhões de trilhões (ou 2 até a 128ª potência) de dispositivos.

Para obter mais detalhes, consulte a página da Web da VPC IPv6 .

2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965

Atualização de uma política do IAM para IPv6

Atualmente, as políticas do IAM são usadas para definir um intervalo permitido de endereços IP usando o filtro aws:SourceIp.

O endereçamento duplo suporta tanto o IPv6 tráfego IPv4 quanto o tráfego. Se sua rede usa endereçamento duplo, você deve atualizar todas as políticas do IAM usadas para filtragem de endereços IP para incluir intervalos de IPv6 endereços.

Por exemplo, a política abaixo identifica os intervalos IPv4 de endereços permitidos 192.0.2.0.* e 203.0.113.0.* no Condition elemento. 

# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

Para atualizar essa política, altere o Condition elemento para incluir os intervalos de IPv6 endereços 2001:DB8:1234:5678::/64 2001:cdba:3257:8593::/64 e.

nota

NÃO REMOVA os IPv4 endereços existentes porque eles são necessários para compatibilidade com versões anteriores.

"Condition": {
                "NotIpAddress": {
                    "*aws:SourceIp*": [
                        "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                        "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }

Verifique se o seu cliente oferece suporte IPv6

É recomendável que os clientes que usam o endpoint cloudhsmv2.{region}.api.aws verifiquem se conseguem se conectar a ele. As etapas a seguir descrevem como realizar a verificação.

Este exemplo usa Linux e curl versão 8.6.0 e usa os endpoints de AWS CloudHSM serviço que IPv6 habilitaram endpoints localizados no endpoint api.aws.

nota

Mude Região da AWS para a mesma região em que o cliente está localizado. Neste exemplo, usamos o endpoint us-east-1, ou seja, Leste dos EUA (Norte da Virgínia).

  1. Determine se o endpoint é resolvido com um IPv6 endereço usando o comando a seguirdig. 

    dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3

  2. Determine se a rede cliente pode fazer uma IPv6 conexão usando o curl comando a seguir. Um código de resposta 404 significa uma conexão bem-sucedida, enquanto um código de resposta 0 significa falha da conexão.

    curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404

Se um IP remoto foi identificado e o código de resposta não0, uma conexão de rede foi estabelecida com sucesso com o endpoint usando IPv6. O IP remoto deve ser um IPv6 endereço porque o sistema operacional deve selecionar o protocolo válido para o cliente. Se o IP remoto não for um IPv6 endereço, use o comando a seguir para curl forçar o uso IPv4. 

curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404

Se o IP remoto estiver em branco ou o código de resposta estiver0, a rede do cliente ou o caminho da rede até o endpoint será somente IPv4 -. É possível verificar isso com o seguinte comando do curl: 

curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404