Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mettez à niveau les politiques IAM vers IPv6
Les clients d'Internet Monitor utilisent les politiques IAM pour définir une plage d'adresses IP autorisée, afin d'empêcher les adresses IP situées en dehors de la plage configurée d'accéder à Internet Monitor APIs.
Le moniteur Internet. regionLe point de terminaison .api.aws, où vous accédez à Internet Monitor APIs, est en cours de mise à niveau pour prendre en charge le double stack (et). IPv4 IPv6
Les politiques de filtrage des adresses IP qui ne sont pas mises à jour pour gérer IPv6 les adresses peuvent empêcher les clients d'accéder à Internet Monitor APIs.
Les clients concernés par la mise à niveau incluent IPv6
Les clients qui utilisent Dual-Stack avec des politiques contenant le filtre AWS:SourceIP sont concernés par cette mise à niveau. La double pile signifie que le réseau prend en charge à la fois IPv4 et IPv6.
Si vous utilisez la technologie Dual-Stack, vous devez mettre à jour vos politiques IAM actuellement configurées avec des adresses de IPv4 format afin d'inclure les adresses de IPv6 format.
Ce qui suit récapitule les actions recommandées, en fonction de votre scénario. Pour confirmer le point de terminaison utilisé par votre SDK, voir Identifier le point de terminaison Internet Monitor utilisé par votre code.
| Point de terminaison | Vous utilisez la politique IAM avec aws:sourceIp condition ? |
Action recommandée |
|---|---|---|
|
|
Oui |
Pour restreindre l'accès IPv4 uniquement, n'effectuez aucune autre action. Ou, si vous pensez avoir besoin d' IPv6 assistance à l'avenir, vous pouvez prendre des mesures pour garantir la compatibilité avec les deux IPv4 et IPv6. Pour garantir la compatibilité future, à compter du 1er novembre 2024, mettez à jour votre SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en configurant. Si vous choisissez d'utiliser IPv4 les deux IPv6, vous devez également mettre à jour la condition de filtrage des adresses IP ( |
|
|
Non |
Pour restreindre l'accès IPv4 uniquement, n'effectuez aucune autre action. Ou, si vous pensez avoir besoin d' IPv6 assistance à l'avenir, vous pouvez prendre des mesures pour garantir la compatibilité avec les deux IPv4 et IPv6. Pour garantir la compatibilité future, à compter du 1er novembre 2024, mettez à jour votre SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en configurant. |
|
|
Oui |
Actuellement, ce point de terminaison ne prend en charge que IPV4. Le 1er novembre 2024, IPv6 sera activé sur ce point de terminaison. Pour garantir la compatibilité future avec les deux IPv4 et IPv6, à compter du 1er novembre 2024, mettez à jour votre SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en configurant. Lorsque vous modifiez l'option pour utiliser IPv4 les deux IPv6, vous devez également mettre à jour la condition de filtrage des adresses IP ( Si vous souhaitez plutôt restreindre l'accès IPv4 uniquement à, définissez |
|
|
Non |
Actuellement, ce point de terminaison ne prend en charge que IPV4. Le 1er novembre 2024, IPv6 sera activé sur ce point de terminaison. Pour garantir la compatibilité future avec les deux IPv4 et IPv6, à compter du 1er novembre 2024, mettez à jour votre SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en configurant. Si vous souhaitez plutôt restreindre l'accès IPv4 uniquement à, définissez |
Pour obtenir de l'aide concernant les problèmes d'accès, contactez Support
Qu'est-ce que c'est IPv6 ?
IPv6 est la norme IP de prochaine génération destinée à être remplacée à terme IPv4. IPv4 utilise un schéma d'adressage 32 bits, pour prendre en charge 4,3 milliards d'appareils. IPv6 utilise plutôt un adressage 128 bits, pour prendre en charge environ 340 billions de billions de milliards de milliards de milliards de dollars (soit 2 appareils à la 128e puissance).
Voici des exemples d' IPv6 adresses :
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
IPv6 offre un plus grand espace d'adressage, une efficacité de routage améliorée et une meilleure prise en charge des nouveaux services Internet. Grâce à la mise à jour vers le double stack et à la prise en charge IPv6, Internet Monitor améliore les performances et l'évolutivité. Suivez les étapes décrites dans cette section pour mettre à jour vos configurations et tirer parti de la prise en charge du double stack.
Identifiez le point de terminaison Internet Monitor utilisé par votre code
Si vous utilisez un SDK Internet Monitor, commencez par vérifier quel point de terminaison utilise votre code : le point de IPv4 terminaison ou le point de terminaison à double pile (IPv4 et IPv6). Si vous n'utilisez pas de SDK avec Internet Monitor, vous pouvez ignorer cette section.
Vous pouvez exécuter l'exemple de code suivant pour déterminer le point de terminaison Internet Monitor que vous utilisez. Dans cet exemple, nous utilisons le SDK Internet Monitor pour Go dans la région USA Est (Virginie du Nord).
package main import ( "fmt" "log" "github.com/aws/aws-sdk-go/aws" "github.com/aws/aws-sdk-go/aws/session" "github.com/aws/aws-sdk-go/service/internetmonitor" ) func main() { // Create a new session with the default configuration sess := session.Must(session.NewSession(&aws.Config{ Region: aws.String("us-east-1"), })) // Create a new Internet Monitor client internetMonitorClient := internetmonitor.New(sess) // Get the endpoint URL endpoint := internetMonitorClient.Endpoint fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint) }
Lorsque vous exécutez ce code, il renvoie le point de terminaison Internet Monitor. Si la réponse suivante s'affiche, cela signifie que vous utilisez le domaine Internet Monitor qui prend uniquement en charge IPv4. Vous pouvez le savoir car le format de l'URL du point de terminaison inclutamazonaws.com.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com
Si vous voyez plutôt la réponse suivante, cela signifie que vous utilisez le domaine en cours de mise à niveau pour prendre en charge la technologie Dual-Stack (IPv4 et IPv6). Ici, vous pouvez le savoir car l'URL du point de terminaison inclutapi.aws. Cependant, notez que jusqu'à ce que la mise à niveau soit terminée, ce point de terminaison ne prend en charge que IPv4.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws
Mettre à jour une politique IAM pour IPv6
Les politiques IAM utilisent le aws:SourceIp filtre pour définir une plage d'adresses IP autorisée.
La technologie Dual-Stack prend en charge les deux IPv4 et IPV6 le trafic. Si votre réseau utilise la technologie Dual-Stack, vous devez vous assurer que toutes les politiques IAM utilisées pour le filtrage des adresses IP sont mises à jour pour inclure les plages d' IPv6 adresses.
Par exemple, cette politique autorise les plages d' IPv4 adresses 192.0.2.0.* et203.0.113.0.*, identifiées dans l'Conditionélément.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Pour mettre à jour cette politique, nous allons modifier l'Conditionélément de la politique afin d'ajouter des plages d'IPv6 adresses, comme indiqué dans l'exemple suivant :
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*203.0.113.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Important
Ne supprimez pas les IPv4 adresses existantes dans la politique. Ils sont nécessaires pour assurer la rétrocompatibilité.
Pour plus d'informations sur la gestion des autorisations d'accès avec IAM, consultez la section Politiques gérées et politiques intégrées dans le Guide de l'AWS Identity and Access Management utilisateur.
Testez le réseau après avoir mis à jour les politiques
Après avoir mis à jour vos politiques IAM pour inclure la prise en charge IPv6 des adresses, nous vous recommandons de vérifier que votre réseau peut accéder à un IPv6 point de terminaison. Cette section fournit plusieurs exemples, en fonction du système d'exploitation que vous utilisez.
Tester le réseau avec Linux/Unix ou Mac OS X
Si vous utilisez Linux/Unix Mac OS X, vous pouvez vérifier que votre réseau peut accéder au point de IPv6 terminaison à l'aide de la commande curl suivante.
curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/
Si vous êtes connecté IPv6, l'adresse IP connectée affiche des informations similaires aux suivantes :
* About to connect() to aws.amazon.com port 443 (#0) * Trying IPv6 address... connected * Connected to aws.amazon.com (IPv6 address) port 443 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: aws.amazon.com
Testez le réseau avec Windows
Si vous utilisez Windows, vous pouvez vérifier que votre réseau peut accéder à un point de terminaison à double pile via IPv6 ou à IPv4 l'aide d'une ping commande, telle que la suivante :
ping aws.amazon.com
Si elle ping accède au point de terminaison via IPv6, la commande renvoie IPv6 des adresses.
Vérifiez que les clients peuvent soutenir IPv6
Nous vous recommandons de le faire avant de passer à l'utilisation du moniteur Internet. point de terminaison {region} .api.aws, dans lequel vous devez d'abord vérifier que vos clients peuvent accéder à d'autres Service AWS points de terminaison déjà activés. IPv6 Les étapes suivantes décrivent comment vérifier cela à l'aide d'un point de IPv6 terminaison existant.
Cet exemple utilise Linux et la version 8.6.0 de curl, ainsi que le service Amazon Athena, dont IPv6 les points de terminaison compatibles sont situés dans le domaine api.aws.
Note
Passez Région AWS à la même région que celle où se trouve le client. Dans cet exemple, nous utilisons le point de us-east-1 terminaison de l'est des États-Unis (Virginie du Nord).
Utilisez l'exemple suivant pour vérifier que vos clients peuvent accéder à un point de IPv6 AWS terminaison activé.
-
Vérifiez que le point de terminaison Athena est résolu avec une IPv6 adresse à l'aide de la commande suivante.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
Maintenant, déterminez si votre réseau client peut établir une connexion IPv6 en utilisant la commande suivante :
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404Si l'adresse IP distante a été identifiée mais que le code de réponse ne l'est pas
0, une connexion réseau a été établie avec succès avec le terminal à l'aide de IPv6.Si l'adresse IP distante est vide ou si le code de réponse l'est
0, le réseau client ou le chemin réseau vers le point de IPv4 terminaison est uniquement disponible. Vous pouvez le vérifier à l'aide de la commande curl suivante :curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404Si vous exécutez cette commande et qu'une adresse IP distante a été identifiée mais que le code de réponse ne l'est pas
0, une connexion réseau a été établie avec succès avec le terminal à l'aide de IPv4.
