Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Steuern Sie den API-Zugriff mit IAM-Richtlinien
Wenn Sie IAM-Richtlinien verwenden, um den Zugriff AWS-Services auf IP-Adressen zu steuern, müssen Sie Ihre Richtlinien möglicherweise aktualisieren, um IPv6-Adressbereiche einzubeziehen. In diesem Handbuch werden die Unterschiede zwischen IPv4 und IPv6 erklärt und beschrieben, wie Sie Ihre IAM-Richtlinien aktualisieren können, um beide Protokolle zu unterstützen. Die Implementierung dieser Änderungen hilft Ihnen dabei, den sicheren Zugriff auf Ihre AWS Ressourcen aufrechtzuerhalten und gleichzeitig IPv6 zu unterstützen.
## Was ist IPv6?
IPv6 ist der IP-Standard der nächsten Generation, der IPv4 irgendwann ersetzen soll. Die vorherige Version, IPv4, verwendet ein 32-Bit-Adressierungsschema zur Unterstützung von 4,3 Milliarden Geräten. IPv6 verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen (oder 2 bis 128) Geräte zu unterstützen.
Weitere Informationen finden Sie auf der [VPC IPv6-Webseite](https://aws.amazon.com/vpc/ipv6/).
Dies sind Beispiele für IPv6-Adressen:
```
2001:cdba:0000:0000:0000:0000:3257:9652 # This is a full, unabbreviated IPv6 address.
2001:cdba:0:0:0:0:3257:9652 # The same address with leading zeros in each group omitted
2001:cdba::3257:965 # A compressed version of the same address.
```
## IAM-Dual-Stack-Richtlinien (IPv4 und IPv6)
Sie können IAM-Richtlinien verwenden, um den Zugriff auf Secrets Manager Manager-APIs zu kontrollieren und zu verhindern, dass IP-Adressen außerhalb des konfigurierten Bereichs auf Secrets Manager Manager-APIs zugreifen.
Der *Secretsmanager. Der Dual-Stack-Endpunkt {region} .amazonaws.com* für Secrets Manager Manager-APIs unterstützt sowohl IPv6 als auch IPv4.
Wenn Sie sowohl IPv4 als auch IPv6 unterstützen müssen, aktualisieren Sie Ihre IP-Adressfilterrichtlinien, sodass sie auch IPv6-Adressen verarbeiten können. Andernfalls können Sie möglicherweise keine Verbindung zu Secrets Manager über IPv6 herstellen.
### Wer sollte diese Änderung vornehmen?
Diese Änderung wirkt sich auf Sie aus, wenn Sie die duale Adressierung mit Richtlinien verwenden, die Folgendes `aws:sourceIp` enthalten: *Duale Adressierung* bedeutet, dass das Netzwerk sowohl IPv4 als auch IPv6 unterstützt.
Wenn Sie duale Adressierung verwenden, aktualisieren Sie Ihre IAM-Richtlinien, die derzeit Adressen im IPv4-Format verwenden, sodass auch Adressen im IPv6-Format enthalten sind.
### Wer sollte diese Änderung nicht vornehmen?
Diese Änderung hat keine Auswirkungen auf Sie, wenn Sie *nur* IPv4-Netzwerke verwenden.
## Hinzufügen von IPv6 zu einer IAM-Richtlinie
IAM-Richtlinien verwenden den `aws:SourceIp` Bedingungsschlüssel, um den Zugriff von bestimmten IP-Adressen aus zu steuern. Wenn Ihr Netzwerk duale Adressierung (IPv4 und IPv6) verwendet, aktualisieren Sie Ihre IAM-Richtlinien so, dass sie IPv6-Adressbereiche enthalten.
Verwenden Sie im `Condition` Element Ihrer Richtlinien die `NotIpAddress` Operatoren `IpAddress` und für IP-Adressbedingungen. Verwenden Sie keine Zeichenkettenoperatoren, da diese die verschiedenen gültigen IPv6-Adressformate nicht verarbeiten können.
Diese Beispiele verwenden`aws:SourceIp`. Verwenden Sie für VPCs `aws:VpcSourceIp` stattdessen.
Im Folgenden finden Sie die Richtlinie [Verweigert den Zugriff auf AWS basierend auf der Quell-IP-Referenz](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html) aus dem *IAM-Benutzerhandbuch*. `NotIpAddress`Im `Condition` Element to werden zwei IPv4-Adressbereiche `192.0.2.0/24` und`203.0.113.0/24`, denen der Zugriff auf die API verweigert wird, aufgeführt.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"{{192.0.2.0/24}}",
"{{203.0.113.0/24}}"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
------
Um diese Richtlinie zu aktualisieren, ändern Sie das `Condition` Element so, dass es die IPv6-Adressbereiche `2001:DB8:1234:5678::/64` und enthält. `2001:cdba:3257:8593::/64`
**Anmerkung**
Entfernen Sie die vorhandenen IPv4-Adressen nicht. Sie werden aus Gründen der Abwärtskompatibilität benötigt.
```
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24", <>
"203.0.113.0/24", <>
"2001:DB8:1234:5678::/64", <>
"2001:cdba:3257:8593::/64" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
Um diese Richtlinie für eine VPC zu aktualisieren, verwenden Sie `aws:VpcSourceIp` statt`aws:SourceIp`:
```
"Condition": {
"NotIpAddress": {
"aws:VpcSourceIp": [
"10.0.2.0/24", <>
"10.0.113.0/24", <>
"fc00:DB8:1234:5678::/64", <>
"fc00:cdba:3257:8593::/64" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
## Überprüfen Sie, ob Ihr Client IPv6 unterstützt
*Wenn Sie den Secretsmanager verwenden. Endpunkt {region} .amazonaws.com*, stellen Sie sicher, dass Sie eine Verbindung zu ihm herstellen können. In den folgenden Schritten wird beschrieben, wie die Überprüfung durchgeführt wird.
**In diesem Beispiel werden Linux und Curl Version 8.6.0 verwendet und der [AWS Secrets Manager Dienst](https://docs.aws.amazon.com/general/latest/gr/secretsmanager.html) mit IPv6-fähigen Endpunkten verwendet, die sich am Endpunkt amazonaws.com befinden.**
**Anmerkung**
**Der Secretsmanager. **[{region} .amazonaws.com unterscheidet sich von der typischen Dual-Stack-Namenskonvention.](https://docs.aws.amazon.com/general/latest/gr/rande.html#dual-stack-endpoints) Eine vollständige Liste der Secrets Manager Manager-Endpunkte finden Sie unter[AWS Secrets Manager Endpunkte](asm_access.md#endpoints).
Wechseln Sie AWS-Region zu derselben Region, in der sich Ihr Service befindet. In diesem Beispiel verwenden wir den Endpunkt `us-east-1` in USA Ost (Nord-Virginia).
1. Stellen Sie mit dem folgenden `dig` Befehl fest, ob der Endpunkt mit einer IPv6-Adresse aufgelöst wird.
```
$ dig +short AAAA secretsmanager.us-east-1.amazonaws.com
> 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
1. Ermitteln Sie mit dem folgenden Befehl, ob das Client-Netzwerk eine IPv6-Verbindung herstellen kann. `curl` Ein 404-Antwortcode bedeutet, dass die Verbindung erfolgreich war, während ein 0-Antwortcode bedeutet, dass die Verbindung fehlgeschlagen ist.
```
$ curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://secretsmanager.us-east-1.amazonaws.com
> remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
> response code: 404
```
Wenn eine Remote-IP identifiziert wurde **und** der Antwortcode nicht angegeben ist`0`, wurde mithilfe von IPv6 erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt. Die Remote-IP sollte eine IPv6-Adresse sein, da das Betriebssystem das für den Client gültige Protokoll auswählen sollte.
Wenn die Remote-IP leer ist oder der Antwortcode leer ist`0`, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt. IPv4-only Sie können diese Konfiguration mit dem folgenden `curl` Befehl überprüfen.
```
$ curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://secretsmanager.us-east-1.amazonaws.com
> remote ip: 3.123.154.250
> response code: 404
```