Actualizar las políticas de IAM a IPv6 - Amazon CloudWatch

Actualizar las políticas de IAM a IPv6

Los clientes de Internet Monitor usan las políticas de IAM para establecer un rango permitido de direcciones IP, con el fin de evitar que cualquier dirección IP fuera del rango configurado pueda acceder a las API de Internet Monitor.

El punto de conexión internetmonitor.region.api.aws, desde el que se accede a las API de Internet Monitor, está en proceso de actualización para admitir direccionamiento dual (IPv4 e IPv6).

Es posible que si no se actualizan las políticas de filtrado de direcciones IP para gestionar direcciones IPv6, los clientes pierdan el acceso a las API de Internet Monitor.

Clientes afectados por la actualización para incluir IPv6

Los clientes que utilicen direccionamiento dual con políticas que contengan el filtro aws:sourceIp se verán afectados por esta actualización. Direccionamiento dual significa que la red admite tanto IPv4 como IPv6.

Si utiliza direccionamiento dual, debe actualizar las políticas de IAM que estén configuradas actualmente con direcciones en formato IPv4 para incluir direcciones en formato IPv6.

A continuación se resumen las acciones recomendadas, en función de la situación. Para confirmar el punto de conexión que el SDK utiliza, consulte Identificar el punto de conexión de Internet Monitor utilizado por el código.

Punto de conexión ¿Utiliza la política de IAM con alguna condición de aws:sourceIp? Acción recomendada

internetmonitor.region.amazonaws.com(sin direccionamiento dual)

Para restringir el acceso a IPv4 solamente, no realice ninguna otra acción. O, si prevé que necesitará compatibilidad con IPv6 en el futuro, puede tomar medidas para garantizar la compatibilidad tanto con IPv4 como con IPv6.

Para garantizar la compatibilidad en el futuro, a partir del 1 de noviembre de 2024, actualice el SDK y, a continuación, actualice la aplicación para utilizar el punto de conexión de direccionamiento dual. Para ello, configure useDualstackEndpoint=true. Para obtener más información, consulte Dual-stack and FIPS endpoints.

Si decide utilizar tanto IPv4 como IPv6, también debe actualizar la condición de filtrado de direcciones IP (aws:sourceIp) en las políticas de IAM de modo que se incluyan las direcciones IPv6.

internetmonitor.region.amazonaws.com(sin direccionamiento dual)

No

Para restringir el acceso a IPv4 solamente, no realice ninguna otra acción. O, si prevé que necesitará compatibilidad con IPv6 en el futuro, puede tomar medidas para garantizar la compatibilidad tanto con IPv4 como con IPv6.

Para garantizar la compatibilidad en el futuro, a partir del 1 de noviembre de 2024, actualice el SDK y, a continuación, actualice la aplicación para utilizar el punto de conexión de direccionamiento dual. Para ello, configure useDualstackEndpoint=true. Para obtener más información, consulte Puntos de conexión de direccionamiento dual y FIPS.

internetmonitor.region.api.aws

Actualmente, este punto de conexión solo admite IPV4. El 1 de noviembre de 2024, se habilitará IPv6 en este punto de conexión.

Para garantizar la compatibilidad futura tanto con IPv4 como con IPv6, a partir del 1 de noviembre de 2024, actualice el SDK y, a continuación, actualice la aplicación de modo que utilice el punto de conexión de direccionamiento dual. Para ello, configure useDualstackEndpoint=true. Para obtener más información, consulte Puntos de conexión de direccionamiento dual y FIPS.

Cuando realice el cambio para utilizar tanto IPv4 como IPv6, también deberá actualizar la condición de filtrado de direcciones IP (aws:sourceIp) en las políticas de IAM de modo que se incluyan las direcciones IPv6.

Si, por el contrario, desea restringir el acceso a IPv4 únicamente, configure useDualstackEndpoint=false. Para obtener más información, consulte Puntos de conexión de direccionamiento dual y FIPS.

internetmonitor.region.api.aws

No

Actualmente, este punto de conexión solo admite IPV4. El 1 de noviembre de 2024, se habilitará IPv6 en este punto de conexión.

Para garantizar la compatibilidad futura tanto con IPv4 como con IPv6, a partir del 1 de noviembre de 2024, actualice el SDK y, a continuación, actualice la aplicación de modo que utilice el punto de conexión de direccionamiento dual. Para ello, configure useDualstackEndpoint=true. Para obtener más información, consulte Puntos de conexión de direccionamiento dual y FIPS.

Si, por el contrario, desea restringir el acceso a IPv4 únicamente, configure useDualstackEndpoint=false. Para obtener más información, consulte Puntos de conexión de direccionamiento dual y FIPS.

Para obtener ayuda con los problemas de acceso, póngase en contacto con Soporte.

¿Qué es IPv6?

IPv6 es el estándar IP de próxima generación destinado a reemplazar eventualmente al IPv4. IPv4 utiliza un esquema de direccionamiento de 32 bits, para admitir 4300 millones de dispositivos. En cambio, IPv6 utiliza un direccionamiento de 128 bits, para admitir aproximadamente 340 billones de billones de billones (o 2 a la 128ª potencia) de dispositivos.

Los siguientes son ejemplos de direcciones IPv6:

2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965

IPv6 ofrece un espacio de direcciones más grande, mayor eficiencia de direccionamiento y mejor compatibilidad con nuevos servicios de Internet. Al actualizar a direccionamiento dual y admitir IPv6, Internet Monitor permite mejorar el rendimiento y la escalabilidad. Siga los pasos que se indican en esta sección para actualizar las configuraciones y aprovechar la compatibilidad con el direccionamiento dual.

Identifique el punto de conexión de Internet Monitor utilizado por el código

Si utiliza un SDK de Internet Monitor, comience por verificar qué punto de conexión utiliza el código: el punto de conexión IPv4 o el punto de conexión de direccionamiento dual (IPv4 e IPv6). Si no utiliza un SDK con Internet Monitor, puede omitir esta sección.

Puede ejecutar el siguiente ejemplo de código para determinar el punto de conexión de Internet Monitor que utiliza. Para este ejemplo, utilizamos el SDK de Internet Monitor para Go en la región Este de EE. UU. (Norte de Virginia).

package main import ( "fmt" "log" "github.com/aws/aws-sdk-go/aws" "github.com/aws/aws-sdk-go/aws/session" "github.com/aws/aws-sdk-go/service/internetmonitor" ) func main() { // Create a new session with the default configuration sess := session.Must(session.NewSession(&aws.Config{ Region: aws.String("us-east-1"), })) // Create a new Internet Monitor client internetMonitorClient := internetmonitor.New(sess) // Get the endpoint URL endpoint := internetMonitorClient.Endpoint fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint) }

Al ejecutar este código, devuelve el punto de conexión de Internet Monitor. Si ve la siguiente respuesta, significa que utiliza el dominio de Internet Monitor que admite IPv4 solamente. Se puede reconocer porque el formato de la URL del punto de conexión incluye amazonaws.com.

Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com

Si en lugar de eso ve la siguiente respuesta, significa que utiliza el dominio que está en proceso de actualización para admitir el direccionamiento dual (IPv4 e IPv6). En este caso, se puede distinguir porque la URL del punto de conexión incluye api.aws. Sin embargo, hasta que no se complete la actualización, este punto de conexión admite únicamente IPv4.

Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws

Actualizar una política IAM para IPv6

Las políticas de IAM utilizan el filtro aws:SourceIp para establecer un rango permitido de direcciones IP.

El direccionamiento dual admite tráfico IPv4 e IPV6. Si la red utiliza direccionamiento dual, es necesario actualizar las políticas de IAM que se utilizan para el filtrado de direcciones IP a fin de incluir los rangos de direcciones IPv6.

Por ejemplo, esta política permite rangos de direcciones IPv4 192.0.2.0.* y 203.0.113.0.*, identificados en el elemento Condition.

# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }

Para actualizar esta política, cambiaremos el elemento de la política Condition para agregar rangos de direcciones IPv6, como se muestra en el siguiente ejemplo:

"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*203.0.113.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
importante

No elimine las direcciones IPv4 que existan en la política. Se necesitan para la compatibilidad con versiones anteriores.

Para obtener más información sobre administración de permisos de acceso con IAM, consulte Políticas administradas y políticas insertadas en la Guía del usuario de IAM de AWS Identity and Access Management.

Pruebe la red después de actualizar las políticas

Después de actualizar las políticas de IAM para incluir la compatibilidad con direcciones IPv6, sugerimos que compruebe que la red puede acceder a un punto de conexión IPv6. Esta sección incluye varios ejemplos, en función del sistema operativo que utilice.

Pruebe la red con Linux/Unix o Mac OS X

Si utiliza Linux/Unix o Mac OS X, puede comprobar que la red puede acceder al punto de conexión IPv6 con el siguiente comando curl.

curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/

Si está conectado a través de IPv6, la dirección IP conectada muestra información similar a la siguiente:

* About to connect() to aws.amazon.com port 443 (#0) * Trying IPv6 address... connected * Connected to aws.amazon.com (IPv6 address) port 443 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: aws.amazon.com

Pruebe la red con Windows

Si utiliza Windows, puede comprobar que la red puede acceder a un punto de conexión de direccionamiento dual a través de IPv6 o IPv4 con un comando ping, como el siguiente:

ping aws.amazon.com

Si ping accede al punto de conexión a través de IPv6, el comando devuelve direcciones IPv6.

Verifique que los clientes admiten IPv6

Recomendamos que antes de pasar a utilizar el punto de conexión internetmonitor.{region}.api.aws, compruebe que los clientes pueden acceder a otros puntos de conexión Servicio de AWS ya habilitados para IPv6. Los siguientes pasos describen cómo comprobar esto a través de un punto de conexión IPv6 existente.

Este ejemplo utiliza Linux y la versión 8.6.0 de curl, así como el servicio Amazon Athena, que cuenta con puntos de conexión habilitados para IPv6 ubicados en el dominio api.aws.

nota

Cambie la Región de AWS a la misma región en la que se encuentra el cliente. En este ejemplo, utilizamos el punto de conexión us-east-1 del Este de EE. UU. (Norte de Virginia)

Utilice el siguiente ejemplo para verificar que los clientes pueden acceder a un punto de conexión de AWS habilitado para IPv6.

  1. Utilice el siguiente comando para verificar que el punto de conexión de Athena se resuelve con una dirección IPv6.

    dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
  2. Ahora, utilice el siguiente comando para determinar si la red de cliente puede establecer conexión mediante IPv6:

    curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404

    Si se identificó la dirección IP remota y el código de respuesta no es 0, se estableció correctamente una conexión de red con el punto de conexión mediante IPv6.

    Si la dirección IP remota está en blanco o el código de respuesta es 0, la red del cliente o la ruta de red al punto de conexión es únicamente IPv4. Puede verificarlo con el siguiente comando curl:

    curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404

    Si ejecuta este comando y se identifica una dirección IP remota y el código de respuesta no es 0, se estableció correctamente una conexión de red con el punto de conexión mediante IPv4.