As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controlar o acesso à API com políticas do IAM
## Atualize as políticas do IAM para IPv6
AWS CloudHSM os clientes usam políticas do IAM para controlar o acesso AWS CloudHSM APIs e impedir que qualquer endereço IP fora do intervalo configurado possa ser acessado AWS CloudHSM APIs.
O *cloudhsmv2. **Endpoint de pilha dupla .api.aws* onde estão AWS CloudHSM APIs hospedados suportes, além de. IPv6 IPv4
Clientes que precisam oferecer suporte a ambos IPv4 e IPv6 precisam atualizar suas políticas de filtragem de endereços IP para lidar com IPv6 endereços, caso contrário, isso afetará sua capacidade de se conectar a AWS CloudHSM mais IPv6.
### Quem deve fazer a atualização?
Os clientes que usam endereçamento duplo com políticas que contêm *aws:sourceIp* são afetados por essa atualização. *O endereçamento duplo* significa que a rede oferece suporte tanto para IPv4 quanto IPv6.
Se você estiver usando endereçamento duplo, deverá atualizar suas políticas do IAM que estão atualmente configuradas com endereços de IPv4 formato para incluir endereços de IPv6 formato.
Para obter ajuda com problemas de acesso, entre em contato com [Suporte](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**nota**
Os seguintes clientes *não* são afetados por essa atualização:
Clientes que estão *apenas* em IPv4 redes.
### O que é IPv6?
IPv6 é o padrão IP de próxima geração destinado a ser substituído eventualmente IPv4. A versão anterior, IPv4, usa um esquema de endereçamento de 32 bits para suportar 4,3 bilhões de dispositivos. IPv6 em vez disso, usa endereçamento de 128 bits para suportar aproximadamente 340 trilhões de trilhões de trilhões (ou 2 até a 128ª potência) de dispositivos.
Para obter mais detalhes, consulte a página da Web da [VPC IPv6 ](https://aws.amazon.com/vpc/ipv6/).
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
### Atualização de uma política do IAM para IPv6
Atualmente, as políticas do IAM são usadas para definir um intervalo permitido de endereços IP usando o filtro `aws:SourceIp`.
O endereçamento duplo suporta tanto o IPv6 tráfego IPv4 quanto o tráfego. Se sua rede usa endereçamento duplo, você deve atualizar todas as políticas do IAM usadas para filtragem de endereços IP para incluir intervalos de IPv6 endereços.
Por exemplo, a política abaixo identifica os intervalos IPv4 de endereços permitidos `192.0.2.0.*` e `203.0.113.0.*` no `Condition` elemento.
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Para atualizar essa política, altere o `Condition` elemento para incluir os intervalos de IPv6 endereços `2001:DB8:1234:5678::/64` `2001:cdba:3257:8593::/64` e.
**nota**
NÃO REMOVA os IPv4 endereços existentes porque eles são necessários para a compatibilidade com versões anteriores.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
### Verifique o suporte do seu cliente IPv6
É recomendável que os clientes que usam o endpoint *cloudhsmv2.\$1region\$1.api.aws* verifiquem se conseguem se conectar a ele. As etapas a seguir descrevem como realizar a verificação.
*Este exemplo usa Linux e curl versão 8.6.0 e usa os endpoints de [AWS CloudHSM serviço que IPv6 habilitaram endpoints](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) localizados no endpoint api.aws.*
**nota**
Mude Região da AWS para a mesma região em que o cliente está localizado. Neste exemplo, usamos o endpoint `us-east-1`, ou seja, Leste dos EUA (Norte da Virgínia).
1. Determine se o endpoint é resolvido com um IPv6 endereço usando o comando a seguir`dig`.
```
dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
1. Determine se a rede do cliente pode fazer uma IPv6 conexão usando o `curl` comando a seguir. Um código de resposta 404 significa uma conexão bem-sucedida, enquanto um código de resposta 0 significa falha da conexão.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404
```
Se um IP remoto foi identificado **e** o código de resposta não`0`, uma conexão de rede foi estabelecida com sucesso com o endpoint usando IPv6. O IP remoto deve ser um IPv6 endereço porque o sistema operacional deve selecionar o protocolo válido para o cliente. Se o IP remoto não for um IPv6 endereço, use o comando a seguir para `curl` forçar o uso IPv4.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```
Se o IP remoto estiver em branco ou o código de resposta estiver`0`, a rede do cliente ou o caminho da rede até o endpoint será somente IPv4 -. É possível verificar isso com o seguinte comando do `curl`:
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```