Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mettre à niveau les politiques IAM vers IPv6
Les clients du Moniteur Internet utilisent les politiques IAM pour définir une plage autorisée d’adresses IP afin d’empêcher toute adresse IP en dehors de la plage configurée de pouvoir accéder aux API du Moniteur Internet.
Le moniteur Internet. regionLe point de terminaison .api.aws, où vous accédez aux API Internet Monitor, est en cours de mise à niveau pour prendre en charge le double stack (IPv4 et IPv6).
Les politiques de filtrage d’adresses IP qui ne sont pas mises à jour pour gérer les adresses IPv6 peuvent entraîner la perte de l’accès des clients aux API du Moniteur Internet.
Clients mis à niveau pour inclure IPv6
Les clients qui utilisent Dual-Stack avec des politiques contenant le filtre AWS:SourceIP sont concernés par cette mise à niveau. Dual-stack signifie que le réseau supporte à la fois les protocoles IPv4 et IPv6.
Si vous utilisez la double pile, vous devez mettre à jour vos politiques IAM qui sont actuellement configurées avec des adresses au format IPv4 pour inclure des adresses au format IPv6.
Vous trouverez ci-dessous un résumé des actions recommandées, en fonction de votre scénario. Pour confirmer le point de terminaison que votre kit SDK utilise, consultez Identifier le point de terminaison du Moniteur Internet utilisé par votre code.
| Endpoint | Utilisation d’une politique IAM avec la condition aws:sourceIp ? |
Action recommandée |
|---|---|---|
|
|
Oui |
Pour restreindre l’accès à IPv4 uniquement, n’entreprenez aucune action supplémentaire. Ou, si vous prévoyez que vous aurez besoin de la prise en charge d’IPv6 à l’avenir, vous pouvez prendre des mesures pour assurer la compatibilité avec IPv4 et IPv6. Pour assurer la compatibilité future, à partir du 1er novembre 2024, mettez à jour votre kit SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en définissant Si vous choisissez d’utiliser à la fois IPv4 et IPv6, vous devez également mettre à jour la condition de filtrage des adresses IP ( |
|
|
Non |
Pour restreindre l’accès à IPv4 uniquement, n’entreprenez aucune action supplémentaire. Ou, si vous prévoyez que vous aurez besoin de la prise en charge d’IPv6 à l’avenir, vous pouvez prendre des mesures pour assurer la compatibilité avec IPv4 et IPv6. Pour assurer la compatibilité future, à partir du 1er novembre 2024, mettez à jour votre kit SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en définissant |
|
|
Oui |
Pour garantir la compatibilité future avec IPv4 et IPv6, mettez à jour votre kit SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en définissant Lorsque vous modifiez votre application pour utiliser à la fois IPv4 et IPv6, vous devez également mettre à jour la condition de filtrage des adresses IP ( Si vous voulez au contraire restreindre l’accès à IPv4 uniquement, définissez |
|
|
Non |
Pour garantir la compatibilité future avec IPv4 et IPv6, mettez à jour votre kit SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en définissant Si vous voulez au contraire restreindre l’accès à IPv4 uniquement, définissez |
Pour obtenir de l’aide en cas de problèmes d’accès, contactez Support
Qu’est-ce qu’IPv6 ?
IPv6 est la norme IP de nouvelle génération destinée à remplacer à terme IPv4. IPv4 utilise un système d’adressage de 32 bits pour prendre en charge 4,3 milliards d’appareils. L’IPv6 utilise un système d’adressage de 128 bits pour prendre en charge environ 340 sextillions (ou 2 à la 128e puissance).
Vous trouverez ci-dessous des exemples d’adresses IPv6 :
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
L’IPv6 offre un espace d’adressage plus vaste, un routage plus efficace et une meilleure prise en charge des nouveaux services internet. En mettant à jour vers la double pile et en prenant en charge l’IPv6, le Moniteur Internet permet d’améliorer les performances et la capacité de mise à l’échelle. Suivez les étapes de cette section pour mettre à jour vos configurations et profiter de la prise en charge de la double pile.
Identifier le point de terminaison du Moniteur Internet utilisé par votre code
Si vous utilisez un kit SDK du Moniteur Internet, commencez par vérifier quel point de terminaison votre code utilise : le point de terminaison IPv4 ou le point de terminaison à double pile (IPv4 et IPv6). Si vous n’utilisez pas de kit SDK avec le Moniteur Internet, vous pouvez sauter cette section.
Vous pouvez exécuter l’exemple de code suivant pour déterminer le point de terminaison du Moniteur Internet que vous utilisez. Pour cet exemple, nous utilisons le kit SDK du Moniteur Internet pour Go dans la région USA Est (Virginie du Nord).
package main import ( "fmt" "log" "github.com/aws/aws-sdk-go/aws" "github.com/aws/aws-sdk-go/aws/session" "github.com/aws/aws-sdk-go/service/internetmonitor" ) func main() { // Create a new session with the default configuration sess := session.Must(session.NewSession(&aws.Config{ Region: aws.String("us-east-1"), })) // Create a new Internet Monitor client internetMonitorClient := internetmonitor.New(sess) // Get the endpoint URL endpoint := internetMonitorClient.Endpoint fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint) }
Lorsque vous exécutez ce code, il renvoie le point de terminaison du Moniteur Internet. Si vous obtenez la réponse suivante, cela signifie que vous utilisez le domaine du Moniteur Internet qui ne prend en charge que l’IPv4. Vous pouvez le savoir parce que le format de l’URL du point de terminaison inclut amazonaws.com.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com
Si vous obtenez la réponse suivante, vous utilisez le domaine qui est en train d’être mis à niveau pour prendre en charge la double pile (IPv4 et IPv6). Ici, vous pouvez le constater parce que l’URL du point de terminaison comprend api.aws. Notez toutefois que jusqu’à ce que la mise à niveau soit terminée, ce point de terminaison ne prend en charge qu’IPv4.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws
Mettre à jour une politique IAM pour IPv6
Les politiques IAM utilisent le filtre aws:SourceIp pour définir une plage d’adresses IP autorisées.
Dual-stack prend en charge le trafic IPv4 et IPV6. Si votre réseau utilise la double pile, vous devez vous assurer que toutes les politiques IAM utilisées pour le filtrage des adresses IP sont mises à jour pour inclure les plages d’adresses IPv6.
Par exemple, cette politique autorise les plages d’adresses IPv4 192.0.2.0.* et 203.0.113.0.*, identifiées dans l’élément Condition.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Pour mettre à jour cette politique, nous allons modifier l’élément Condition de la politique afin d’ajouter les plages d’adresses IPv6, comme le montre l’exemple suivant :
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*203.0.113.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Important
Ne supprimez pas les adresses IPv4 existantes dans la politique. Elles sont nécessaires à des fins de compatibilité ascendante.
Pour plus d’informations sur la gestion des autorisations d’accès avec IAM, consultez Politiques gérées et politiques en ligne dans le Guide de l’utilisateur Gestion des identités et des accès AWS .
Tester le réseau après la mise à jour des règles
Après avoir mis à jour vos politiques IAM pour inclure la prise en charge des adresses IPv6, nous vous recommandons de tester que votre réseau peut accéder à un point de terminaison IPv6. Cette section fournit plusieurs exemples, en fonction du système d’exploitation que vous utilisez.
Tester le réseau avec Linux/Unix ou Mac OS X
Si vous utilisez Linux/Unix Mac OS X, vous pouvez vérifier que votre réseau peut accéder au point de terminaison IPv6 à l'aide de la commande curl suivante.
curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/
Si vous êtes connecté via IPv6, l’adresse IP connectée affiche des informations similaires à celles qui suivent :
* About to connect() to aws.amazon.com port 443 (#0) * Trying IPv6 address... connected * Connected to aws.amazon.com (IPv6 address) port 443 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: aws.amazon.com
Tester le réseau avec Windows
Si vous utilisez Windows, vous pouvez tester que votre réseau peut accéder à un point de terminaison à double pile sur IPv6 ou IPv4 en utilisant une commande ping, telle que la suivante :
ping aws.amazon.com
Si ping accède au point de terminaison sur IPv6, la commande renvoie les adresses IPv6.
Vérifier que les clients peuvent prendre en charge IPv6
Nous vous recommandons de le faire avant de passer à l'utilisation du moniteur Internet. point de terminaison {region} .api.aws, dans lequel vous devez d'abord vérifier que vos clients peuvent accéder à d'autres Service AWS points de terminaison qui le sont déjà. IPv6-enabled Les étapes suivantes décrivent comment vérifier cela en utilisant un point de terminaison IPv6 existant.
Cet exemple utilise Linux et la version 8.6.0 de curl, ainsi que le service Amazon Athena, dont les points de terminaison sont situés dans le IPv6-enabled domaine api.aws.
Note
Passez Région AWS à la même région que celle où se trouve le client. Dans cet exemple, nous utilisons USA Est (Virginie du Nord) : le point de terminaison us-east-1.
Utilisez l'exemple suivant pour vérifier que vos clients peuvent accéder à un IPv6-enabled AWS point de terminaison.
-
Vérifiez que le point de terminaison Athena se résout avec une adresse IPv6 à l’aide de la commande suivante.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
Déterminez maintenant si votre réseau de clients peut établir une connexion en utilisant IPv6 à l’aide de la commande suivante :
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404Si l’adresse IP distante a été identifiée et que le code de réponse n’est pas
0, une connexion réseau a été établie avec succès au point de terminaison à l’aide d’IPv6.Si l'adresse IP distante est vide ou si le code de réponse l'est
0, le réseau client ou le chemin réseau vers le point de terminaison l'est IPv4-only. Vous pouvez le vérifier à l’aide de la commande curl suivante :curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404Si vous exécutez cette commande, qu’une adresse IP distante a été identifiée et que le code de réponse n’est pas
0, une connexion réseau a été établie avec succès vers le point de terminaison en utilisant IPv4.
