Control de acceso a API mediante políticas de IAM - AWS Secrets Manager
¿Qué es IPv6?Uso de políticas de doble pilaAñadir IPv6 a una políticaVerificar el soporte de su cliente IPv6

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Control de acceso a API mediante políticas de IAM

Si utilizas políticas de IAM para controlar el acceso en Servicios de AWS función de las direcciones IP, es posible que tengas que actualizar tus políticas para incluir los rangos de IPv6 direcciones. En esta guía, se explican las diferencias entre IPv4 IPv6 y se describe cómo actualizar las políticas de IAM para que sean compatibles con ambos protocolos. La implementación de estos cambios le ayuda a mantener un acceso seguro a sus AWS recursos y, al mismo tiempo, le brinda soporte IPv6.

¿Qué es IPv6?

IPv6 es el estándar IP de próxima generación que se pretende reemplazar eventualmente IPv4. La versión anterior, IPv4, utilizaba un esquema de direccionamiento de 32 bits para admitir 4.300 millones de dispositivos. IPv6 en su lugar, utiliza un direccionamiento de 128 bits para admitir aproximadamente 340 billones de billones de billones de billones de dispositivos (o 2 a la 128ª potencia).

Para obtener más información, consulte la IPv6página web de la VPC.

Estos son ejemplos de IPv6 direcciones:

2001:cdba:0000:0000:0000:0000:3257:9652 # This is a full, unabbreviated IPv6 address.
2001:cdba:0:0:0:0:3257:9652             # The same address with leading zeros in each group omitted
2001:cdba::3257:965                     # A compressed version of the same address.

Políticas de IAM de doble pila (IPv4 and IPv6)

Puede utilizar las políticas de IAM para controlar el acceso a Secrets Manager APIs e impedir que las direcciones IP fuera del rango configurado accedan a Secrets Manager APIs.

El administrador de secretos. El punto de conexión de doble pila {region} .amazonaws.com para Secrets Manager admite tanto como. APIs IPv6 IPv4

Si necesitas admitir ambas opciones IPv6, actualiza tus políticas IPv4 de filtrado de direcciones IP para gestionar las direcciones. IPv6 De lo contrario, es posible que no puedas conectarte a Secrets Manager a través de IPv6.

¿Quién debe realizar este cambio?

Este cambio le afecta si utiliza el direccionamiento dual con políticas que lo contienenaws:sourceIp. El direccionamiento doble significa que la red admite IPv4 tanto como IPv6.

Si utiliza el direccionamiento dual, actualice las políticas de IAM que actualmente utilizan direcciones de IPv4 formato para incluir las direcciones de IPv6 formato.

¿Quién no debería realizar este cambio?

Este cambio no le afecta si solo usa IPv4 redes.

Añadir IPv6 a una política de IAM

Las políticas de IAM utilizan la clave de aws:SourceIp condición para controlar el acceso desde direcciones IP específicas. Si su red utiliza el direccionamiento dual (IPv4 y IPv6), actualice las políticas de IAM para incluir los rangos de IPv6 direcciones.

Como Condition elemento de sus políticas, utilice los NotIpAddress operadores IpAddress y para las condiciones de direcciones IP. No utilices operadores de cadenas, ya que no pueden gestionar los distintos formatos de IPv6 dirección válidos.

Estos ejemplos utilizanaws:SourceIp. Para VPCs, utilice aws:VpcSourceIp en su lugar.

La siguiente es la política de denegación del acceso a la IP de origen AWS según la política de referencia de la IP de origen de la Guía del usuario de IAM. NotIpAddressEn el Condition elemento para, se enumeran dos rangos de IPv4 direcciones 192.0.2.0/24 y 203.0.113.0/24 a cuáles se les denegará el acceso a la API.

JSON
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

Para actualizar esta política, cambie el Condition elemento para incluir los rangos de IPv6 direcciones 2001:DB8:1234:5678::/64 y2001:cdba:3257:8593::/64.

nota

No elimines las IPv4 direcciones existentes. Son necesarias para la compatibilidad con versiones anteriores.

"Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "203.0.113.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "2001:DB8:1234:5678::/64", <<New IPv6 IP address>>
                        "2001:cdba:3257:8593::/64" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }

Para actualizar esta política para una VPC, utilice aws:VpcSourceIp en lugar de: aws:SourceIp

"Condition": {
                "NotIpAddress": {
                    "aws:VpcSourceIp": [
                        "10.0.2.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "10.0.113.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "fc00:DB8:1234:5678::/64", <<New IPv6 IP address>>
                        "fc00:cdba:3257:8593::/64" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }

Verificar el soporte de su cliente IPv6

Si usa el administrador de secretos. Punto final {region} .amazonaws.com, comprueba que puedes conectarte a él. En los siguientes pasos, se describe cómo realizar la verificación.

Este ejemplo utiliza la versión 8.6.0 de Linux y curl y utiliza el AWS Secrets Manager servicio que ha IPv6 habilitado los puntos de conexión ubicados en el punto de conexión de amazonaws.com.

nota

El administrador de secretos. {region} .amazonaws.com difiere de la típica convención de nomenclatura de doble pila. Para obtener una lista completa de los puntos finales de Secrets Manager, consulteAWS Secrets Manager puntos finales.

Región de AWS Cámbielo a la misma región en la que se encuentra su servicio. En este ejemplo, utilizamos el punto de conexión us-east-1 del Este de EE. UU. (Norte de Virginia)

  1. Determine si el punto final se resuelve con una IPv6 dirección mediante el siguiente dig comando. 

    $ dig +short AAAA secretsmanager.us-east-1.amazonaws.com 

> 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3

  2. Determine si la red del cliente puede establecer una IPv6 conexión mediante el siguiente curl comando. Un código de respuesta 404 indica que la conexión se realizó correctamente, mientras que un código de respuesta 0 significa que la conexión falló.

    $ curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://secretsmanager.us-east-1.amazonaws.com 

> remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
> response code: 404

Si se identificó una IP remota y el código de respuesta no0, significa que se estableció correctamente una conexión de red al punto final mediante IPv6. La IP remota debe ser una IPv6 dirección porque el sistema operativo debe seleccionar el protocolo que sea válido para el cliente.

Si la IP remota está en blanco o el código de respuesta está en blanco0, la red del cliente o la ruta de red al punto final es IPv4 únicamente «-». Puede verificar esta configuración con el siguiente comando de curl. 

$ curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://secretsmanager.us-east-1.amazonaws.com 

> remote ip: 3.123.154.250
> response code: 404