Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Aktualisieren von IAM-Richtlinien auf IPv6
Internet-Monitor-Kunden verwenden IAM-Richtlinien, um einen zulässigen IP-Adressbereich festzulegen und damit zu verhindern, dass IP-Adressen außerhalb des konfigurierten Bereichs auf Internet-Monitor-APIs zugreifen können.
Der Internetmonitor. regionDer Endpunkt .api.aws, über den Sie auf Internet Monitor-APIs zugreifen, wird zur Unterstützung von Dual-Stack (IPv4 und IPv6) aktualisiert.
Wenn Richtlinien für die IP-Adressfilterung nicht für die Verarbeitung von IPv6-Adressen aktualisiert wurden, können Clients den Zugriff auf Internet-Monitor-APIs verlieren.
Kunden, die von der Aktualisierung auf IPv6 betroffen sind
Kunden, die Dual-Stack mit Richtlinien verwenden, die den aws:SourceIP-Filter enthalten, sind von diesem Upgrade betroffen. Dual-stack bedeutet, dass das Netzwerk sowohl IPv4 als auch IPv6 unterstützt.
Wenn Sie Dual-Stack verwenden, müssen Sie Ihre IAM-Richtlinien, die derzeit mit Adressen im IPv4-Format konfiguriert sind, so aktualisieren, dass sie auch Adressen im IPv6-Format enthalten.
Im Folgenden werden die empfohlenen Maßnahmen je nach Szenario zusammengefasst. Informationen dazu, wie Sie den Endpunkt Ihres SDKs bestätigen können, finden Sie unter Identifizieren des Internet-Monitor-Endpunkts, der von Ihrem Code verwendet wird.
| Endpoint | Verwenden Sie die IAM-Richtlinie mit der Bedingung aws:sourceIp? |
Empfohlene Aktion |
|---|---|---|
|
|
Ja |
Um den Zugriff auf IPv4 zu beschränken, müssen Sie nichts unternehmen. Aber wenn Sie davon ausgehen, dass Sie in Zukunft IPv6-Unterstützung benötigen, können Sie handeln, um die Kompatibilität mit IPv4 und IPv6 sicherzustellen. Um die zukünftige Kompatibilität zu gewährleisten, aktualisieren Sie am oder nach dem 1. November 2024 Ihr SDK und aktualisieren Sie dann Ihre Anwendung, sodass sie den Dual-Stack-Endpunkt verwendet. Legen Sie dafür Wenn Sie IPv4 und IPv6 verwenden, müssen Sie auch die Bedingung für die IP-Adressfilterung ( |
|
|
Nein |
Um den Zugriff auf IPv4 zu beschränken, müssen Sie nichts unternehmen. Aber wenn Sie davon ausgehen, dass Sie in Zukunft IPv6-Unterstützung benötigen, können Sie handeln, um die Kompatibilität mit IPv4 und IPv6 sicherzustellen. Um die zukünftige Kompatibilität zu gewährleisten, aktualisieren Sie am oder nach dem 1. November 2024 Ihr SDK und aktualisieren Sie dann Ihre Anwendung, sodass sie den Dual-Stack-Endpunkt verwendet. Legen Sie dafür |
|
|
Ja |
Um die zukünftige Kompatibilität mit IPv4 und IPv6 zu gewährleisten, aktualisieren Sie Ihr SDK und aktualisieren Sie dann Ihre Anwendung, sodass sie den Dual-Stack-Endpunkt verwendet. Legen Sie dafür Wenn Sie die Änderung vornehmen, um IPv4 und IPv6 zu verwenden, müssen Sie auch die Bedingung für die IP-Adressfilterung ( Wenn Sie den Zugriff stattdessen auf IPv4 beschränken möchten, legen Sie |
|
|
Nein |
Um die zukünftige Kompatibilität mit IPv4 und IPv6 zu gewährleisten, aktualisieren Sie Ihr SDK und aktualisieren Sie dann Ihre Anwendung, sodass sie den Dual-Stack-Endpunkt verwendet. Legen Sie dafür Wenn Sie den Zugriff stattdessen auf IPv4 beschränken möchten, legen Sie |
Wenn Sie Hilfe bei Zugriffsproblemen benötigen, wenden Sie sich an Support
Was ist IPv6?
IPv6 ist der IP-Standard der nächsten Generation, der IPv4 irgendwann ersetzen soll. IPv4 verwendet ein 32-Bit-Adressierungsschema, das 4,3 Milliarden Geräte unterstützt. IPv6 hingegen verwendet eine 128-Bit-Adressierung und unterstützt damit etwa 340 Sextillionen (oder 2 hoch 128) Geräte.
Hier einige Beispiele für IPv6-Adressen:
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
IPv6 bietet einen größeren Adressbereich, eine verbesserte Routing-Effizienz und eine bessere Unterstützung für neue Internetservices. Durch die Aktualisierung auf Dual-Stack und die Unterstützung von IPv6 ermöglicht Internet Monitor eine bessere Leistung und Skalierbarkeit. Folgen Sie den Schritten in diesem Abschnitt, um Ihre Konfigurationen zu aktualisieren und die Vorteile der Dual-Stack-Unterstützung zu nutzen.
Identifizieren des Internet-Monitor-Endpunkts, der von Ihrem Code verwendet wird
Wenn Sie ein Internet-Monitor-SDK verwenden, überprüfen Sie zunächst, welchen Endpunkt Ihr Code verwendet: den IPv4-Endpunkt oder den Dual-Stack-Endpunkt (IPv4 und IPv6). Wenn Sie kein SDK mit Internet Monitor verwenden, können Sie diesen Abschnitt überspringen.
Sie können das folgende Codebeispiel ausführen, um den Internet-Monitor-Endpunkt zu ermitteln, den Sie verwenden. In diesem Beispiel verwenden wir das Internet-Monitor-SDK für Go in der Region USA Ost (Nord-Virginia).
package main import ( "fmt" "log" "github.com/aws/aws-sdk-go/aws" "github.com/aws/aws-sdk-go/aws/session" "github.com/aws/aws-sdk-go/service/internetmonitor" ) func main() { // Create a new session with the default configuration sess := session.Must(session.NewSession(&aws.Config{ Region: aws.String("us-east-1"), })) // Create a new Internet Monitor client internetMonitorClient := internetmonitor.New(sess) // Get the endpoint URL endpoint := internetMonitorClient.Endpoint fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint) }
Wenn Sie diesen Code ausführen, wird der Internet-Monitor-Endpunkt zurückgegeben. Falls Sie die folgende Antwort sehen, verwenden Sie die Internet-Monitor-Domain, die nur IPv4 unterstützt. Das können Sie daran erkennen, dass die Endpunkt-URL amazonaws.com enthält.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com
Wenn Sie die folgende Antwort sehen, verwenden Sie die Domain, die aktualisiert wird, um Dual-Stack (IPv4 und IPv6) zu unterstützen. Das erkennen Sie daran, dass die Endpunkt-URL api.aws enthält. Beachten Sie jedoch, dass dieser Endpunkt bis zum Abschluss der Aktualisierung nur IPv4 unterstützt.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws
Aktualisieren einer IAM-Richtlinie für IPv6
IAM-Richtlinien verwenden den Filter aws:SourceIp, um einen zulässigen Bereich von IP-Adressen festzulegen.
Dual-stack unterstützt sowohl IPv4- als auch IPV6-Verkehr. Wenn Ihr Netzwerk Dual-Stack verwendet, müssen Sie alle IAM-Richtlinien, die für die IP-Adressfilterung verwendet werden, aktualisieren, sodass sie IPv6-Adressbereiche beinhalten.
Beispiel: Diese Richtlinie lässt die IPv4-Adressbereiche 192.0.2.0.* und 203.0.113.0.* zu, die im Condition-Element identifiziert werden.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Um diese Richtlinie zu aktualisieren, fügen wir im Condition-Element der Richtlinie IPv6-Adressbereiche hinzu, wie im folgenden Beispiel gezeigt:
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*203.0.113.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Wichtig
Achten Sie darauf, die vorhandenen IPv4-Adressen in der Richtlinie nicht zu entfernen. Sie sind für die Abwärtskompatibilität erforderlich.
Weitere Informationen zum Verwalten von Zugriffsberechtigungen mit IAM finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien im Benutzerhandbuch für AWS Identity and Access Management .
Testen des Netzwerks nach der Richtlinienaktualisierung
Nachdem Sie Ihre IAM-Richtlinien aktualisiert haben, sodass sie Unterstützung für IPv6-Adressen bieten, sollten Sie testen, ob Ihr Netzwerk Zugriff auf einen IPv6-Endpunkt hat. In diesem Abschnitt finden Sie Beispiele für verschiedene Betriebssysteme.
Testen Sie das Netzwerk mit Linux/Unix oder Mac OS X
Wenn Sie Linux/Unix oder Mac OS X verwenden, können Sie mit dem folgenden curl-Befehl testen, ob Ihr Netzwerk auf den IPv6-Endpunkt zugreifen kann.
curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/
Wenn Sie über IPv6 verbunden sind, zeigt die verbundene IP-Adresse Informationen an, die in etwa so aussehen:
* About to connect() to aws.amazon.com port 443 (#0) * Trying IPv6 address... connected * Connected to aws.amazon.com (IPv6 address) port 443 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: aws.amazon.com
Testen des Netzwerks unter Windows
Wenn Sie Windows verwenden, können Sie mit einem ping-Befehl testen, ob Ihr Netzwerk über IPv6 oder IPv4 auf einen Dual-Stack-Endpunkt zugreifen kann. Beispielbefehl:
ping aws.amazon.com
Wenn ping über IPv6 auf den Endpunkt zugreift, gibt der Befehl IPv6-Adressen zurück.
Überprüfen, ob Clients IPv6 unterstützen können
Wir empfehlen dies, bevor Sie zur Verwendung des Internetmonitors wechseln. {region} .api.aws-Endpunkt, überprüfen Sie zunächst, ob Ihre Clients auf andere AWS-Service Endpunkte zugreifen können, die bereits vorhanden sind. IPv6-enabled In den folgenden Schritten wird beschrieben, wie Sie dies mit einem vorhandenen IPv6-Endpunkt überprüfen.
In diesem Beispiel werden Linux und curl Version 8.6.0 verwendet und der Amazon Athena Athena-Service verwendet, dessen IPv6-enabled Endpunkte sich in der api.aws-Domain befinden.
Anmerkung
Wechseln Sie AWS-Region zu derselben Region, in der sich der Kunde befindet. In diesem Beispiel verwenden wir den Endpunkt us-east-1 in USA Ost (Nord-Virginia).
Überprüfen Sie anhand des folgenden Beispiels, ob Ihre Kunden auf einen IPv6-enabled AWS Endpunkt zugreifen können.
-
Führen Sie den folgenden Befehl aus, um zu bestätigen, dass der Athena-Endpunkt mit einer IPv6-Adresse aufgelöst wird.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
Prüfen Sie jetzt mithilfe des folgenden Befehls, ob Ihr Client-Netzwerk eine Verbindung über IPv6 herstellen kann:
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404Wenn die Remote-IP-Adresse identifiziert wurde und der Antwortcode nicht
0ist, wurde eine Netzwerkverbindung zum Endpunkt über IPv6 hergestellt.Wenn die Remote-IP-Adresse leer ist oder der Antwortcode leer ist
0, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt IPv4-only. Führen Sie zur Überprüfung den folgenden curl-Befehl aus:curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404Wenn Sie diesen Befehl ausführen und eine Remote-IP-Adresse identifiziert wurde und der Antwortcode nicht
0ist, wurde eine Netzwerkverbindung zum Endpunkt über IPv4 hergestellt.
