Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktualisieren Sie die IAM-Richtlinien auf IPv6
Internet Monitor-Kunden verwenden IAM-Richtlinien, um einen zulässigen Bereich von IP-Adressen festzulegen, um zu verhindern, dass IP-Adressen außerhalb des konfigurierten Bereichs auf Internet Monitor zugreifen können. APIs
Der Internetmonitor. regionDer Endpunkt .api.aws, über den Sie auf Internet Monitor zugreifen APIs, wird aktualisiert, sodass er Dual-Stack (und) unterstützt. IPv4 IPv6
Richtlinien zur IP-Adressfilterung, die nicht für den Umgang mit IPv6 Adressen aktualisiert wurden, können dazu führen, dass Clients den Zugriff auf Internet Monitor verlieren. APIs
Zu den Kunden, die von dem Upgrade betroffen sind, gehören IPv6
Kunden, die Dual-Stack mit Richtlinien verwenden, die den aws:SourceIP-Filter enthalten, sind von diesem Upgrade betroffen. Dual-Stack bedeutet, dass das Netzwerk sowohl als auch unterstützt. IPv4 IPv6
Wenn Sie Dual-Stack verwenden, müssen Sie Ihre IAM-Richtlinien, die derzeit mit IPv4 Formatadressen konfiguriert sind, so aktualisieren, dass sie auch Formatadressen enthalten IPv6 .
Im Folgenden werden die empfohlenen Maßnahmen je nach Szenario zusammengefasst. Informationen zur Bestätigung des Endpunkts, den Ihr SDK verwendet, finden Sie unter Identifizieren des Internet Monitor-Endpunkts, der von Ihrem Code verwendet wird.
| Endpunkt | Verwenden Sie die IAM-Richtlinie mit aws:sourceIp Bedingung? |
Empfohlene Aktion |
|---|---|---|
|
|
Ja |
Wenn Sie den Zugriff IPv4 nur auf beschränken möchten, ergreifen Sie keine weiteren Maßnahmen. Oder, wenn Sie davon ausgehen, dass Sie in future IPv6 Unterstützung benötigen, können Sie Maßnahmen ergreifen, um die Kompatibilität mit beiden IPv4 und IPv6 sicherzustellen. Um die future Kompatibilität zu gewährleisten, aktualisieren Sie am oder nach dem 1. November 2024 Ihr SDK und aktualisieren Sie dann Ihre Anwendung so, dass sie den Dual-Stack-Endpunkt verwendet, indem Sie Einstellungen Wenn Sie sich dafür entscheiden IPv6, IPv4 sowohl als auch zu verwenden, müssen Sie auch die IP-Adressfilterbedingung ( |
|
|
Nein |
Wenn Sie den Zugriff IPv4 nur auf beschränken möchten, ergreifen Sie keine weiteren Maßnahmen. Oder, wenn Sie davon ausgehen, dass Sie in future IPv6 Unterstützung benötigen, können Sie Maßnahmen ergreifen, um die Kompatibilität mit beiden IPv4 und IPv6 sicherzustellen. Um die future Kompatibilität zu gewährleisten, aktualisieren Sie am oder nach dem 1. November 2024 Ihr SDK und aktualisieren Sie dann Ihre Anwendung so, dass sie den Dual-Stack-Endpunkt verwendet, indem Sie Einstellungen |
|
|
Ja |
Derzeit unterstützt dieser Endpunkt nur. IPV4 IPv6 Wird am 1. November 2024 auf diesem Endpunkt aktiviert. Um die future Kompatibilität mit beiden IPv4 und IPv6 am oder nach dem 1. November 2024 sicherzustellen, aktualisieren Sie Ihr SDK und aktualisieren Sie dann Ihre Anwendung so, dass sie den Dual-Stack-Endpunkt verwendet, indem Sie die Einstellungen Wenn Sie die Änderung vornehmen IPv6, IPv4 sowohl als auch zu verwenden, müssen Sie auch die IP-Adressfilterbedingung ( Wenn Sie stattdessen den Zugriff auf IPv4 nur beschränken möchten, legen Sie fest |
|
|
Nein |
Derzeit unterstützt dieser Endpunkt nur. IPV4 IPv6 Wird am 1. November 2024 auf diesem Endpunkt aktiviert. Um die future Kompatibilität mit beiden IPv4 und IPv6 am oder nach dem 1. November 2024 sicherzustellen, aktualisieren Sie Ihr SDK und aktualisieren Sie dann Ihre Anwendung so, dass sie den Dual-Stack-Endpunkt verwendet, indem Sie die Einstellungen Wenn Sie stattdessen IPv4 nur den Zugriff einschränken möchten, legen Sie fest. |
Wenn Sie Hilfe bei Zugriffsproblemen benötigen, wenden Sie sich an. Support
Was ist IPv6?
IPv6 ist der IP-Standard der nächsten Generation, der irgendwann ersetzt IPv4 werden soll. IPv4 verwendet ein 32-Bit-Adressierungsschema, um 4,3 Milliarden Geräte zu unterstützen. IPv6 verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen (oder 2 bis 128) Geräte zu unterstützen.
Im Folgenden finden Sie Beispiele für Adressen: IPv6
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
IPv6 bietet einen größeren Adressraum, verbesserte Routing-Effizienz und bessere Unterstützung für neue Internetdienste. Durch die Aktualisierung auf Dual-Stack und Unterstützung IPv6 ermöglicht Internet Monitor eine verbesserte Leistung und Skalierbarkeit. Folgen Sie den Schritten in diesem Abschnitt, um Ihre Konfigurationen zu aktualisieren und die Vorteile der Dual-Stack-Unterstützung zu nutzen.
Identifizieren Sie den Internet Monitor-Endpunkt, der von Ihrem Code verwendet wird
Wenn Sie ein Internet Monitor-SDK verwenden, überprüfen Sie zunächst, welchen Endpunkt Ihr Code verwendet: den IPv4 Endpunkt oder den Dual-Stack-Endpunkt (IPv4 und IPv6). Wenn Sie kein SDK mit Internet Monitor verwenden, können Sie diesen Abschnitt überspringen.
Sie können das folgende Codebeispiel ausführen, um den Internet Monitor-Endpunkt zu ermitteln, den Sie verwenden. In diesem Beispiel verwenden wir das Internet Monitor SDK for Go in der Region USA Ost (Nord-Virginia).
package main import ( "fmt" "log" "github.com/aws/aws-sdk-go/aws" "github.com/aws/aws-sdk-go/aws/session" "github.com/aws/aws-sdk-go/service/internetmonitor" ) func main() { // Create a new session with the default configuration sess := session.Must(session.NewSession(&aws.Config{ Region: aws.String("us-east-1"), })) // Create a new Internet Monitor client internetMonitorClient := internetmonitor.New(sess) // Get the endpoint URL endpoint := internetMonitorClient.Endpoint fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint) }
Wenn Sie diesen Code ausführen, gibt er den Internet Monitor-Endpunkt zurück. Wenn Sie die folgende Antwort sehen, verwenden Sie die Internet Monitor-Domäne, die nur unterstützt IPv4. Das können Sie daran erkennen, dass das Format der Endpunkt-URL Folgendes beinhaltetamazonaws.com:
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com
Wenn Sie stattdessen die folgende Antwort sehen, verwenden Sie die Domain, für die ein Upgrade zur Unterstützung von Dual-Stack (IPv4 und IPv6) durchgeführt wird. Das können Sie daran erkennen, dass die Endpunkt-URL Folgendes beinhaltet: api.aws Beachten Sie jedoch, dass dieser Endpunkt bis zum Abschluss des Upgrades nur unterstützt IPv4.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws
Aktualisieren Sie eine IAM-Richtlinie für IPv6
IAM-Richtlinien verwenden den aws:SourceIp Filter, um einen zulässigen Bereich von IP-Adressen festzulegen.
Dual-Stack unterstützt sowohl den als auch den IPv4 Datenverkehr IPV6 . Wenn Ihr Netzwerk Dual-Stack verwendet, müssen Sie sicherstellen, dass alle IAM-Richtlinien, die für die IP-Adressfilterung verwendet werden, aktualisiert werden, sodass sie Adressbereiche enthalten. IPv6
Diese Richtlinie erlaubt beispielsweise IPv4 Adressbereiche 192.0.2.0.* und203.0.113.0.*, die im Element identifiziert wurden. Condition
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Um diese Richtlinie zu aktualisieren, ändern wir das Condition Element der Richtlinie und fügen IPv6 Adressbereiche hinzu, wie im folgenden Beispiel gezeigt:
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*203.0.113.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Wichtig
Entfernen Sie nicht die vorhandenen IPv4 Adressen in der Richtlinie. Sie sind aus Gründen der Abwärtskompatibilität erforderlich.
Weitere Informationen zur Verwaltung von Zugriffsberechtigungen mit IAM finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im AWS Identity and Access Management Benutzerhandbuch.
Testen Sie das Netzwerk nach der Aktualisierung der Richtlinien
Nachdem Sie Ihre IAM-Richtlinien aktualisiert haben, sodass sie auch IPv6 Adressen unterstützen, empfehlen wir Ihnen, zu testen, ob Ihr Netzwerk auf einen IPv6 Endpunkt zugreifen kann. Dieser Abschnitt enthält mehrere Beispiele, je nachdem, welches Betriebssystem Sie verwenden.
Testen Sie das Netzwerk mit Linux/Unix oder Mac OS X
Wenn Sie Linux/Unix oder Mac OS X verwenden, können Sie mit dem folgenden curl-Befehl testen, ob Ihr Netzwerk auf den IPv6 Endpunkt zugreifen kann.
curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/
Wenn Sie über eine Verbindung hergestellt sind IPv6, zeigt die verbundene IP-Adresse Informationen an, die den folgenden ähneln:
* About to connect() to aws.amazon.com port 443 (#0) * Trying IPv6 address... connected * Connected to aws.amazon.com (IPv6 address) port 443 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: aws.amazon.com
Testen Sie das Netzwerk mit Windows
Wenn Sie Windows verwenden, können Sie testen, ob Ihr Netzwerk über IPv6 oder IPv4 mithilfe eines ping Befehls wie dem folgenden auf einen Dual-Stack-Endpunkt zugreifen kann:
ping aws.amazon.com
Wenn ping auf den Endpunkt über zugegriffen wird IPv6, gibt der Befehl Adressen zurück IPv6 .
Stellen Sie sicher, dass die Clients Folgendes unterstützen können IPv6
Wir empfehlen dies, bevor Sie zur Verwendung des Internetmonitors wechseln. {region} .api.aws-Endpunkt, überprüfen Sie zunächst, ob Ihre Clients auf andere AWS-Service Endpunkte zugreifen können, die bereits -aktiviert sind. IPv6 In den folgenden Schritten wird beschrieben, wie Sie dies mithilfe eines vorhandenen Endpunkts überprüfen können. IPv6
In diesem Beispiel werden Linux und curl Version 8.6.0 verwendet und der Amazon Athena Athena-Service verwendet, der über IPv6 -fähige Endpunkte verfügt, die sich in der api.aws-Domain befinden.
Anmerkung
Wechseln Sie AWS-Region zu derselben Region, in der sich der Kunde befindet. In diesem Beispiel verwenden wir den us-east-1 Endpunkt USA Ost (Nord-Virginia).
Verwenden Sie das folgende Beispiel, um zu überprüfen, ob Ihre Kunden auf einen AWS Endpunkt zugreifen können, für den die Option IPv6 -aktiviert ist.
-
Stellen Sie mithilfe des folgenden Befehls sicher, dass der Athena-Endpunkt mit einer IPv6 Adresse aufgelöst wird.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
Stellen Sie nun mithilfe IPv6 des folgenden Befehls fest, ob Ihr Client-Netzwerk eine Verbindung herstellen kann:
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404Wenn die Remote-IP-Adresse identifiziert wurde und der Antwortcode nicht angegeben ist
0, wurde erfolgreich eine Netzwerkverbindung zum Endpunkt mit IPv6.Wenn die Remote-IP-Adresse leer ist oder der Antwortcode leer ist
0, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt IPv4 -only. Sie können dies mit dem folgenden curl-Befehl überprüfen:curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404Wenn Sie diesen Befehl ausführen und eine Remote-IP-Adresse identifiziert wurde und der Antwortcode nicht angegeben ist
0, wurde mithilfe IPv4 von erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt.
