本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 IAM 中使用 IPv6 地址和 AWS 私有 CA
在尝试 AWS 私有证书颁发机构 通过 IPv6 进行访问之前,请确保所有包含 IP 地址限制的 IAM 策略都已更新为包含 IPv6 地址范围。如果未将基于 IP 的策略更新为处理 IPv6 地址,则可能在开始使用 IPv6 时导致客户端错误地失去或获得访问权限。要了解有关 AWS 私有 CA 双栈支持的更多信息,请参阅Dual-stack 端点支持。
重要
这些语句并未允许任何操作。请将这些语句与允许特定操作的其他语句结合使用。
以下语句明确拒绝对来自 IPv4 地址192.0.2.*范围的请求访问所有 AWS 私有 CA 权限。任何超出此范围的 IP 地址都不会被明确拒绝 AWS 私有 CA 权限。由于所有 IPv6 地址都在拒绝范围之外,因此此语句并未明确拒绝任何 IPv6 地址的 AWS 私有 CA 权限。
{ "Sid": "DenyPrivateCAPermissions", "Effect": "Deny", "Action": [ "acm-pca:*" ], "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24" ] } } }
您可以修改Condition元素以拒绝 IPv4 (192.0.2.0/24) 和 IPv6 (2001:db8::/32) 地址范围,如以下示例所示:
{ "Sid": "DenyPrivateCAPermissions", "Effect": "Deny", "Action": [ "acm-pca:*" ], "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "192.0.2.0/24", "2001:db8::/32" ] } } }
