Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern Sie den API-Zugriff mit IAM-Richtlinien
Aktualisieren von IAM-Richtlinien auf IPv6
AWS CloudHSM Kunden verwenden IAM-Richtlinien, um den Zugriff auf AWS CloudHSM APIs zu kontrollieren und zu verhindern, dass IP-Adressen außerhalb des konfigurierten Bereichs auf APIs zugreifen können. AWS CloudHSM
Die Cloudhsmv2. <region>.api.aws Dual-Stack-Endpunkt, auf dem AWS CloudHSM APIs gehostet werden, unterstützt zusätzlich zu IPv4 auch IPv6.
Kunden, die sowohl IPv4 als auch IPv6 unterstützen müssen, müssen ihre Richtlinien zur IP-Adressfilterung aktualisieren, um IPv6-Adressen zu verarbeiten. Andernfalls wird sich dies auf ihre Fähigkeit auswirken, Verbindungen über IPv6 herzustellen. AWS CloudHSM
Wer sollte ein Upgrade durchführen?
Kunden, die duale Adressierung mit Richtlinien verwenden, die aws:sourceIP enthalten, sind von diesem Upgrade betroffen. Duale Adressierung bedeutet, dass das Netzwerk sowohl IPv4 als auch IPv6 unterstützt.
Wenn Sie die duale Adressierung verwenden, müssen Sie Ihre IAM-Richtlinien, die derzeit mit Adressen im IPv4-Format konfiguriert sind, so aktualisieren, dass sie Adressen im IPv6-Format enthalten.
Wenn Sie Hilfe bei Zugriffsproblemen benötigen, wenden Sie sich an Support
Anmerkung
Die folgenden Kunden sind von diesem Upgrade nicht betroffen:
-
Kunden, die nur IPv4-Netzwerke nutzen.
Was ist IPv6?
IPv6 ist der IP-Standard der nächsten Generation, der IPv4 irgendwann ersetzen soll. Die vorherige Version, IPv4, verwendet ein 32-Bit-Adressierungsschema zur Unterstützung von 4,3 Milliarden Geräten. IPv6 verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen (oder 2 bis 128) Geräte zu unterstützen.
Weitere Informationen finden Sie auf der VPC IPv6-Webseite
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
Aktualisierung einer IAM-Richtlinie für IPv6
IAM-Richtlinien werden derzeit verwendet, um mithilfe des Filters einen zulässigen Bereich von IP-Adressen festzulegen. aws:SourceIp
Die duale Adressierung unterstützt sowohl IPv4- als auch IPv6-Verkehr. Wenn Ihr Netzwerk duale Adressierung verwendet, müssen Sie alle IAM-Richtlinien, die für die IP-Adressfilterung verwendet werden, so aktualisieren, dass sie IPv6-Adressbereiche enthalten.
In der folgenden Richtlinie werden beispielsweise die zulässigen IPv4-Adressbereiche 192.0.2.0.* und 203.0.113.0.* das Element identifiziert. Condition
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Um diese Richtlinie zu aktualisieren, ändern Sie das Condition Element so, dass es die IPv6-Adressbereiche 2001:DB8:1234:5678::/64 und enthält. 2001:cdba:3257:8593::/64
Anmerkung
ENTFERNEN SIE NICHT die vorhandenen IPv4-Adressen, da sie aus Gründen der Abwärtskompatibilität benötigt werden.
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Stellen Sie sicher, dass Ihr Client IPv6 unterstützt
Kunden, die Cloudhsmv2 verwenden. Es wird empfohlen, den Endpunkt {region} .api.aws zu überprüfen, ob sie eine Verbindung zu diesem Endpunkt herstellen können. In den folgenden Schritten wird beschrieben, wie die Überprüfung durchgeführt wird.
Dieses Beispiel verwendet Linux und Curl Version 8.6.0 und verwendet die AWS CloudHSM Service-Endpunkte, deren IPv6-fähige Endpunkte sich am api.aws-Endpunkt befinden.
Anmerkung
Wechseln Sie zu derselben Region AWS-Region , in der sich der Client befindet. In diesem Beispiel verwenden wir den Endpunkt us-east-1 in USA Ost (Nord-Virginia).
-
Stellen Sie mit dem folgenden
digBefehl fest, ob der Endpunkt mit einer IPv6-Adresse aufgelöst wird.dig +short AAAA cloudhsmv2.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 -
Ermitteln Sie mit dem folgenden Befehl, ob das Client-Netzwerk eine IPv6-Verbindung herstellen kann.
curlEin 404-Antwortcode bedeutet, dass die Verbindung erfolgreich war, während ein 0-Antwortcode bedeutet, dass die Verbindung fehlgeschlagen ist.curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 response code: 404
Wenn eine Remote-IP identifiziert wurde und der Antwortcode nicht angegeben ist0, wurde mithilfe von IPv6 erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt. Die Remote-IP sollte eine IPv6-Adresse sein, da das Betriebssystem das für den Client gültige Protokoll auswählen sollte. Wenn es sich bei der Remote-IP nicht um eine IPv6-Adresse handelt, verwenden Sie den folgenden Befehl, um die Verwendung von IPv4 curl zu erzwingen.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
Wenn die Remote-IP leer ist oder der Antwortcode leer ist0, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt. IPv4-only Sie können diese Konfiguration mit dem folgenden curl Befehl überprüfen.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
