As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Atualize IAM as políticas para IPv6
Explorador de recursos da AWS os clientes usam IAM políticas para definir um intervalo permitido de endereços IP e impedir que qualquer endereço IP fora do intervalo configurado possa acessar o Resource ExplorerAPIs.
O explorador de recursos-2.regionO domínio.api.aws em que o Resource Explorer APIs está hospedado está sendo atualizado para oferecer suporteIPv6, além do. IPv4
As políticas de filtragem de endereços IP que não são atualizadas para lidar com IPv6 endereços podem fazer com que os clientes percam o acesso aos recursos no API domínio do Resource Explorer.
Clientes afetados pela atualização de IPv4 para IPv6
Clientes que estão usando endereçamento duplo com políticas contendo aws: sourceIp são afetados por essa atualização. O endereçamento duplo significa que a rede suporta IPv4 tanto IPv6 e.
Se você estiver usando endereçamento duplo, deverá atualizar suas IAM políticas atualmente configuradas com endereços de IPv4 formato para incluir endereços de IPv6 formato.
Para obter ajuda com problemas de acesso, entre em contato com AWS Support
nota
Os seguintes clientes não são afetados por essa atualização:
-
Clientes que estão apenas em IPv4 redes.
-
Clientes que estão apenas em IPv6 redes.
O que éIPv6?
IPv6é o padrão IP de próxima geração destinado a ser substituído eventualmenteIPv4. A versão anterior,IPv4, usa um esquema de endereçamento de 32 bits para suportar 4,3 bilhões de dispositivos. IPv6em vez disso, usa endereçamento de 128 bits para suportar aproximadamente 340 trilhões de trilhões de trilhões (ou 2 até a 128ª potência) de dispositivos.
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
Atualizando uma IAM política para IPv6
IAMas políticas são usadas atualmente para definir um intervalo permitido de endereços IP usando o aws:SourceIp filtro.
O endereçamento duplo suporta tanto o IPV6 tráfego IPv4 quanto o tráfego. Se sua rede usa endereçamento duplo, você deve garantir que todas as IAM políticas usadas para filtragem de endereços IP sejam atualizadas para incluir intervalos de IPv6 endereços.
Por exemplo, essa política de bucket do Amazon S3 identifica os intervalos de IPv4 endereços permitidos 192.0.2.0.* e 203.0.113.0.* no elemento. Condition
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Para atualizar essa política, o Condition elemento da política é atualizado para incluir intervalos de IPv6 endereços 2001:DB8:1234:5678::/64 2001:cdba:3257:8593::/64 e.
nota
FAÇA NOT REMOVE os IPv4 endereços existentes porque eles são necessários para compatibilidade com versões anteriores.
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Para obter mais informações sobre como gerenciar permissões de acesso comIAM, consulte Políticas gerenciadas e políticas embutidas no Guia do AWS Identity and Access Management usuário.
Verifique se seu cliente pode oferecer suporte IPv6
Clientes usando o resource-explorer-2. Recomenda-se que o endpoint {region} .api.aws verifique se seus clientes podem acessar outros AWS service (Serviço da AWS) endpoints que já estão habilitados. IPv6 As etapas a seguir descrevem como verificar esses endpoints.
Este exemplo usa Linux e curl versão 8.6.0 e usa os endpoints de serviço Amazon Athena, que IPv6 habilitaram endpoints localizados no domínio api.aws.
nota
Mude Região da AWS para a mesma região em que o cliente está localizado. Neste exemplo, usamos o us-east-1 endpoint Leste dos EUA (Norte da Virgínia).
-
Determine se o endpoint é resolvido com um IPv6 endereço usando o comando curl a seguir.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
Determine se a rede cliente pode fazer uma conexão IPv6 usando o seguinte comando curl.
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404Se um IP remoto foi identificado e o código de resposta não
0, uma conexão de rede foi estabelecida com sucesso com o endpoint usandoIPv6.
Se o IP remoto estiver em branco ou o código de resposta estiver0, a rede do cliente ou o caminho da rede até o endpoint será somente IPv4 -. Você pode verificar essa configuração com o seguinte comando curl.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404
Se um IP remoto foi identificado e o código de resposta não0, uma conexão de rede foi estabelecida com sucesso com o endpoint usandoIPv4. O IP remoto deve ser um IPv4 endereço porque o sistema operacional deve selecionar o protocolo válido para o cliente. Se o IP remoto não for um IPv4 endereço, use o comando a seguir para forçar o uso IPv4 do curl.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 35.170.237.34 response code: 404
