Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktualisieren Sie die IAM-Richtlinien auf IPv6
Internet Monitor-Kunden verwenden IAM-Richtlinien, um einen zulässigen Bereich von IP-Adressen festzulegen, um zu verhindern, dass IP-Adressen außerhalb des konfigurierten Bereichs auf Internet Monitor zugreifen können. APIs
Der Internetmonitor. regionDer Endpunkt .api.aws, über den Sie auf Internet Monitor zugreifen APIs, wird aktualisiert, sodass er Dual-Stack (und) unterstützt. IPv4 IPv6
Richtlinien zur IP-Adressfilterung, die nicht für den Umgang mit IPv6 Adressen aktualisiert wurden, können dazu führen, dass Clients den Zugriff auf Internet Monitor verlieren. APIs
Zu den Kunden, die von dem Upgrade betroffen sind, gehören IPv6
Kunden, die Dual-Stack mit Richtlinien verwenden, die den Filter aws:sourceIp enthalten, sind von dieser Aktualisierung betroffen. Dual-Stack bedeutet, dass das Netzwerk sowohl als auch IPv4 unterstützt. IPv6
Wenn Sie Dual-Stack verwenden, müssen Sie Ihre IAM-Richtlinien, die derzeit mit IPv4 Formatadressen konfiguriert sind, so aktualisieren, dass sie auch Formatadressen enthalten IPv6 .
Im Folgenden werden die empfohlenen Maßnahmen je nach Szenario zusammengefasst. Informationen dazu, wie Sie den Endpunkt Ihres SDKs bestätigen können, finden Sie unter Identifizieren des Internet-Monitor-Endpunkts, der von Ihrem Code verwendet wird.
| Endpoint | Verwenden Sie die IAM-Richtlinie mit der Bedingung aws:sourceIp? |
Empfohlene Aktion |
|---|---|---|
|
|
Ja |
Wenn Sie den Zugriff IPv4 nur auf beschränken möchten, ergreifen Sie keine weiteren Maßnahmen. Oder, wenn Sie davon ausgehen, dass Sie in future IPv6 Unterstützung benötigen, können Sie Maßnahmen ergreifen, um die Kompatibilität mit beiden IPv4 und IPv6 sicherzustellen. Um die zukünftige Kompatibilität zu gewährleisten, aktualisieren Sie am oder nach dem 1. November 2024 Ihr SDK und aktualisieren Sie dann Ihre Anwendung, sodass sie den Dual-Stack-Endpunkt verwendet. Legen Sie dafür Wenn Sie IPv4 sowohl als auch verwenden möchten IPv6, müssen Sie auch die Bedingung für die IP-Adressfilterung ( |
|
|
Nein |
Wenn Sie den Zugriff IPv4 nur auf beschränken möchten, ergreifen Sie keine weiteren Maßnahmen. Oder, wenn Sie davon ausgehen, dass Sie in future IPv6 Unterstützung benötigen, können Sie Maßnahmen ergreifen, um die Kompatibilität mit beiden IPv4 und IPv6 sicherzustellen. Um die zukünftige Kompatibilität zu gewährleisten, aktualisieren Sie am oder nach dem 1. November 2024 Ihr SDK und aktualisieren Sie dann Ihre Anwendung, sodass sie den Dual-Stack-Endpunkt verwendet. Legen Sie dafür |
|
|
Ja |
Um die future Kompatibilität mit beiden zu gewährleisten IPv6, aktualisieren Sie Ihr SDK IPv4 und aktualisieren Sie dann Ihre Anwendung so, dass sie den Dual-Stack-Endpunkt verwendet, indem Sie Einstellungen Wenn Sie die Änderung vornehmen IPv6, IPv4 sowohl als auch zu verwenden, müssen Sie auch die IP-Adressfilterbedingung ( Wenn Sie stattdessen den Zugriff auf IPv4 nur beschränken möchten, legen Sie fest |
|
|
Nein |
Um die future Kompatibilität mit beiden zu gewährleisten IPv6, aktualisieren Sie Ihr SDK IPv4 und aktualisieren Sie dann Ihre Anwendung so, dass sie den Dual-Stack-Endpunkt verwendet, indem Sie Einstellungen Wenn Sie stattdessen IPv4 nur den Zugriff einschränken möchten, legen Sie fest |
Wenn Sie Hilfe bei Zugriffsproblemen benötigen, wenden Sie sich an Support
Was ist IPv6?
IPv6 ist der IP-Standard der nächsten Generation, der irgendwann ersetzt IPv4 werden soll. IPv4 verwendet ein 32-Bit-Adressierungsschema, um 4,3 Milliarden Geräte zu unterstützen. IPv6 verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen (oder 2 bis 128) Geräte zu unterstützen.
Im Folgenden finden Sie Beispiele für Adressen: IPv6
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
IPv6 bietet einen größeren Adressraum, verbesserte Routing-Effizienz und bessere Unterstützung für neue Internetdienste. Durch die Aktualisierung auf Dual-Stack und Unterstützung IPv6 ermöglicht Internet Monitor eine verbesserte Leistung und Skalierbarkeit. Folgen Sie den Schritten in diesem Abschnitt, um Ihre Konfigurationen zu aktualisieren und die Vorteile der Dual-Stack-Unterstützung zu nutzen.
Identifizieren des Internet-Monitor-Endpunkts, der von Ihrem Code verwendet wird
Wenn Sie ein Internet Monitor-SDK verwenden, überprüfen Sie zunächst, welchen Endpunkt Ihr Code verwendet: den Endpunkt oder den IPv4 Dual-Stack-Endpunkt (IPv4 und IPv6). Wenn Sie kein SDK mit Internet Monitor verwenden, können Sie diesen Abschnitt überspringen.
Sie können das folgende Codebeispiel ausführen, um den Internet-Monitor-Endpunkt zu ermitteln, den Sie verwenden. In diesem Beispiel verwenden wir das Internet-Monitor-SDK für Go in der Region USA Ost (Nord-Virginia).
package main import ( "fmt" "log" "github.com/aws/aws-sdk-go/aws" "github.com/aws/aws-sdk-go/aws/session" "github.com/aws/aws-sdk-go/service/internetmonitor" ) func main() { // Create a new session with the default configuration sess := session.Must(session.NewSession(&aws.Config{ Region: aws.String("us-east-1"), })) // Create a new Internet Monitor client internetMonitorClient := internetmonitor.New(sess) // Get the endpoint URL endpoint := internetMonitorClient.Endpoint fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint) }
Wenn Sie diesen Code ausführen, wird der Internet-Monitor-Endpunkt zurückgegeben. Wenn Sie die folgende Antwort sehen, verwenden Sie die Internet Monitor-Domäne, die nur unterstützt. IPv4 Das können Sie daran erkennen, dass die Endpunkt-URL amazonaws.com enthält.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com
Wenn Sie stattdessen die folgende Antwort sehen, verwenden Sie die Domain, für die ein Upgrade zur Unterstützung von Dual-Stack (IPv4 und IPv6) durchgeführt wird. Das erkennen Sie daran, dass die Endpunkt-URL api.aws enthält. Beachten Sie jedoch, dass dieser Endpunkt bis zum Abschluss des Upgrades nur IPv4 unterstützt.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws
Aktualisieren Sie eine IAM-Richtlinie für IPv6
IAM-Richtlinien verwenden den Filter aws:SourceIp, um einen zulässigen Bereich von IP-Adressen festzulegen.
Dual-Stack unterstützt sowohl Traffic als IPv4 auch IPV6 . Wenn Ihr Netzwerk Dual-Stack verwendet, müssen Sie sicherstellen, dass alle IAM-Richtlinien, die für die IP-Adressfilterung verwendet werden, aktualisiert werden, sodass sie Adressbereiche enthalten. IPv6
Diese Richtlinie erlaubt beispielsweise IPv4 Adressbereiche 192.0.2.0.* und203.0.113.0.*, die im Element identifiziert wurden. Condition
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Um diese Richtlinie zu aktualisieren, ändern wir das Condition Element der Richtlinie und fügen IPv6 Adressbereiche hinzu, wie im folgenden Beispiel gezeigt:
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*203.0.113.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Wichtig
Entfernen Sie nicht die vorhandenen IPv4 Adressen in der Richtlinie. Sie sind für die Abwärtskompatibilität erforderlich.
Weitere Informationen zum Verwalten von Zugriffsberechtigungen mit IAM finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien im Benutzerhandbuch für AWS Identity and Access Management .
Testen des Netzwerks nach der Richtlinienaktualisierung
Nachdem Sie Ihre IAM-Richtlinien aktualisiert haben, sodass sie nun auch IPv6 Adressen unterstützen, empfehlen wir Ihnen, zu testen, ob Ihr Netzwerk auf einen IPv6 Endpunkt zugreifen kann. In diesem Abschnitt finden Sie Beispiele für verschiedene Betriebssysteme.
Testen Sie das Netzwerk mit Linux/Unix oder Mac OS X
Wenn Sie Linux/Unix oder Mac OS X verwenden, können Sie mit dem folgenden curl-Befehl testen, ob Ihr Netzwerk auf den IPv6 Endpunkt zugreifen kann.
curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/
Wenn Sie über eine Verbindung hergestellt sind IPv6, zeigt die verbundene IP-Adresse Informationen an, die den folgenden ähneln:
* About to connect() to aws.amazon.com port 443 (#0) * Trying IPv6 address... connected * Connected to aws.amazon.com (IPv6 address) port 443 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: aws.amazon.com
Testen des Netzwerks unter Windows
Wenn Sie Windows verwenden, können Sie testen, ob Ihr Netzwerk über IPv6 oder IPv4 mithilfe eines ping Befehls wie dem folgenden auf einen Dual-Stack-Endpunkt zugreifen kann:
ping aws.amazon.com
Wenn ping auf den Endpunkt über zugegriffen wird IPv6, gibt der Befehl Adressen zurück IPv6 .
Stellen Sie sicher, dass die Clients Folgendes unterstützen können IPv6
Wir empfehlen dies, bevor Sie zur Verwendung des Internetmonitors wechseln. {region} .api.aws-Endpunkt, überprüfen Sie zunächst, ob Ihre Clients auf andere AWS-Service Endpunkte zugreifen können, die bereits -aktiviert sind. IPv6 In den folgenden Schritten wird beschrieben, wie Sie dies mithilfe eines vorhandenen Endpunkts überprüfen können. IPv6
In diesem Beispiel werden Linux und curl Version 8.6.0 verwendet und der Amazon Athena Athena-Service verwendet, der über IPv6 -fähige Endpunkte verfügt, die sich in der api.aws-Domain befinden.
Anmerkung
Wechseln Sie AWS-Region zu derselben Region, in der sich der Kunde befindet. In diesem Beispiel verwenden wir den Endpunkt us-east-1 in USA Ost (Nord-Virginia).
Überprüfen Sie anhand des folgenden Beispiels, ob Ihre Clients auf einen AWS Endpunkt zugreifen können, für den die Option IPv6 -aktiviert ist.
-
Stellen Sie mithilfe des folgenden Befehls sicher, dass der Athena-Endpunkt mit einer IPv6 Adresse aufgelöst wird.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
Stellen Sie nun mithilfe IPv6 des folgenden Befehls fest, ob Ihr Client-Netzwerk eine Verbindung herstellen kann:
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404Wenn die Remote-IP-Adresse identifiziert wurde und der Antwortcode nicht angegeben ist
0, wurde erfolgreich eine Netzwerkverbindung zum Endpunkt mit IPv6.Wenn die Remote-IP-Adresse leer ist oder der Antwortcode leer ist
0, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt IPv4 -only. Führen Sie zur Überprüfung den folgenden curl-Befehl aus:curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404Wenn Sie diesen Befehl ausführen und eine Remote-IP-Adresse identifiziert wurde und der Antwortcode nicht angegeben ist
0, wurde erfolgreich eine Netzwerkverbindung mit dem Endpunkt hergestellt IPv4.
