本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 IAM 中使用 IPv6 地址和 AWS 私有 CA
<a name="using-ipv6-iam"></a>

在尝试 AWS 私有证书颁发机构 通过 IPv6 进行访问之前，请确保所有包含 IP 地址限制的 IAM 策略都已更新为包含 IPv6 地址范围。如果未将基于 IP 的策略更新为处理 IPv6 地址，则可能在开始使用 IPv6 时导致客户端错误地失去或获得访问权限。要了解有关 AWS 私有 CA 双栈支持的更多信息，请参阅[Dual-stack 端点支持](dual-stack-endpoint-support.md)。

**重要**  
这些语句并未允许任何操作。请将这些语句与允许特定操作的其他语句结合使用。

以下语句明确拒绝对来自 IPv4 地址`192.0.2.*`范围的请求访问所有 AWS 私有 CA 权限。任何超出此范围的 IP 地址都不会被明确拒绝 AWS 私有 CA 权限。由于所有 IPv6 地址都在拒绝范围之外，因此此语句并未明确拒绝任何 IPv6 地址的 AWS 私有 CA 权限。

```
{
    "Sid": "DenyPrivateCAPermissions",
    "Effect": "Deny",
    "Action": [
        "acm-pca:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [
                "192.0.2.0/24"
            ]
        }
    }
}
```

您可以修改`Condition`元素以拒绝 IPv4 (`192.0.2.0/24`) 和 IPv6 (`2001:db8::/32`) 地址范围，如以下示例所示：

```
{
    "Sid": "DenyPrivateCAPermissions",
    "Effect": "Deny",
    "Action": [
        "acm-pca:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [
                "192.0.2.0/24",
                "2001:db8::/32"
            ]
        }
    }
}
```