Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Mettez à niveau les politiques IAM vers IPv6
Les clients d'Internet Monitor utilisent les politiques IAM pour définir une plage d'adresses IP autorisée, afin d'empêcher les adresses IP situées en dehors de la plage configurée d'accéder à Internet Monitor APIs.
Le moniteur Internet. regionLe point de terminaison .api.aws, où vous accédez à Internet Monitor APIs, est en cours de mise à niveau pour prendre en charge le double stack (et). IPv4 IPv6
Les politiques de filtrage des adresses IP qui ne sont pas mises à jour pour gérer IPv6 les adresses peuvent entraîner la perte de l'accès des clients à Internet Monitor APIs.
Les clients concernés par la mise à niveau incluent IPv6
Les clients qui utilisent la double pile avec des politiques qui contiennent le filtre aws:sourceIp sont concernés par cette mise à niveau. La double pile signifie que le réseau prend en charge à la fois IPv4 et IPv6.
Si vous utilisez la technologie Dual-Stack, vous devez mettre à jour vos politiques IAM actuellement configurées avec des adresses de IPv4 format afin d'inclure les adresses de IPv6 format.
Vous trouverez ci-dessous un résumé des actions recommandées, en fonction de votre scénario. Pour confirmer le point de terminaison que votre kit SDK utilise, consultez Identifier le point de terminaison du Moniteur Internet utilisé par votre code.
| Endpoint | Utilisation d’une politique IAM avec la condition aws:sourceIp ? |
Action recommandée |
|---|---|---|
|
|
Oui |
Pour restreindre l'accès IPv4 uniquement, n'effectuez aucune autre action. Ou, si vous pensez avoir besoin d' IPv6 assistance à l'avenir, vous pouvez prendre des mesures pour garantir la compatibilité avec les deux IPv4 et IPv6. Pour assurer la compatibilité future, à partir du 1er novembre 2024, mettez à jour votre kit SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en définissant Si vous choisissez d'utiliser IPv4 les deux IPv6, vous devez également mettre à jour la condition de filtrage des adresses IP ( |
|
|
Non |
Pour restreindre l'accès IPv4 uniquement, n'effectuez aucune autre action. Ou, si vous pensez avoir besoin d' IPv6 assistance à l'avenir, vous pouvez prendre des mesures pour garantir la compatibilité avec les deux IPv4 et IPv6. Pour assurer la compatibilité future, à partir du 1er novembre 2024, mettez à jour votre kit SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en définissant |
|
|
Oui |
Pour garantir la compatibilité future avec les deux IPv4 IPv6, mettez à jour votre SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en configurant. Lorsque vous modifiez l'option pour utiliser IPv4 les deux IPv6, vous devez également mettre à jour la condition de filtrage des adresses IP ( Si vous souhaitez plutôt restreindre l'accès IPv4 uniquement à, définissez |
|
|
Non |
Pour garantir la compatibilité future avec les deux IPv4 IPv6, mettez à jour votre SDK, puis mettez à jour votre application pour utiliser le point de terminaison à double pile en configurant. Si vous souhaitez plutôt restreindre l'accès IPv4 uniquement à, définissez |
Pour obtenir de l’aide en cas de problèmes d’accès, contactez Support
Qu'est-ce que c'est IPv6 ?
IPv6 est la norme IP de prochaine génération destinée à être remplacée à terme IPv4. IPv4 utilise un schéma d'adressage 32 bits, pour prendre en charge 4,3 milliards d'appareils. IPv6 utilise plutôt un adressage 128 bits, pour prendre en charge environ 340 billions de billions de milliards de milliards de milliards de dollars (soit 2 appareils à la 128e puissance).
Voici des exemples d' IPv6 adresses :
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
IPv6 offre un plus grand espace d'adressage, une efficacité de routage améliorée et une meilleure prise en charge des nouveaux services Internet. Grâce à la mise à jour vers le double stack et à la prise en charge IPv6, Internet Monitor améliore les performances et l'évolutivité. Suivez les étapes de cette section pour mettre à jour vos configurations et profiter de la prise en charge de la double pile.
Identifier le point de terminaison du Moniteur Internet utilisé par votre code
Si vous utilisez un SDK Internet Monitor, commencez par vérifier quel point de terminaison utilise votre code : le point de IPv4 terminaison ou le point de terminaison à double pile (IPv4 et IPv6). Si vous n’utilisez pas de kit SDK avec le Moniteur Internet, vous pouvez sauter cette section.
Vous pouvez exécuter l’exemple de code suivant pour déterminer le point de terminaison du Moniteur Internet que vous utilisez. Pour cet exemple, nous utilisons le kit SDK du Moniteur Internet pour Go dans la région USA Est (Virginie du Nord).
package main import ( "fmt" "log" "github.com/aws/aws-sdk-go/aws" "github.com/aws/aws-sdk-go/aws/session" "github.com/aws/aws-sdk-go/service/internetmonitor" ) func main() { // Create a new session with the default configuration sess := session.Must(session.NewSession(&aws.Config{ Region: aws.String("us-east-1"), })) // Create a new Internet Monitor client internetMonitorClient := internetmonitor.New(sess) // Get the endpoint URL endpoint := internetMonitorClient.Endpoint fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint) }
Lorsque vous exécutez ce code, il renvoie le point de terminaison du Moniteur Internet. Si la réponse suivante s'affiche, cela signifie que vous utilisez le domaine Internet Monitor qui prend uniquement en charge IPv4. Vous pouvez le savoir parce que le format de l’URL du point de terminaison inclut amazonaws.com.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com
Si vous voyez plutôt la réponse suivante, cela signifie que vous utilisez le domaine en cours de mise à niveau pour prendre en charge la technologie Dual-Stack (IPv4 et IPv6). Ici, vous pouvez le constater parce que l’URL du point de terminaison comprend api.aws. Cependant, notez que jusqu'à ce que la mise à niveau soit terminée, ce point de terminaison ne prend en charge que IPv4.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws
Mettre à jour une politique IAM pour IPv6
Les politiques IAM utilisent le filtre aws:SourceIp pour définir une plage d’adresses IP autorisées.
La technologie Dual-Stack prend en charge les deux IPv4 et IPV6 le trafic. Si votre réseau utilise la technologie Dual-Stack, vous devez vous assurer que toutes les politiques IAM utilisées pour le filtrage des adresses IP sont mises à jour pour inclure les plages d' IPv6 adresses.
Par exemple, cette politique autorise les plages d' IPv4 adresses 192.0.2.0.* et203.0.113.0.*, identifiées dans l'Conditionélément.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Pour mettre à jour cette politique, nous allons modifier l'Conditionélément de la politique afin d'ajouter des plages d'IPv6 adresses, comme indiqué dans l'exemple suivant :
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*203.0.113.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Important
Ne supprimez pas les IPv4 adresses existantes dans la politique. Elles sont nécessaires à des fins de compatibilité ascendante.
Pour plus d’informations sur la gestion des autorisations d’accès avec IAM, consultez Politiques gérées et politiques en ligne dans le Guide de l’utilisateur Gestion des identités et des accès AWS .
Tester le réseau après la mise à jour des règles
Après avoir mis à jour vos politiques IAM pour inclure la prise en charge IPv6 des adresses, nous vous recommandons de vérifier que votre réseau peut accéder à un IPv6 point de terminaison. Cette section fournit plusieurs exemples, en fonction du système d’exploitation que vous utilisez.
Tester le réseau avec Linux/Unix ou Mac OS X
Si vous utilisez Linux/Unix Mac OS X, vous pouvez vérifier que votre réseau peut accéder au point de IPv6 terminaison à l'aide de la commande curl suivante.
curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/
Si vous êtes connecté IPv6, l'adresse IP connectée affiche des informations similaires aux suivantes :
* About to connect() to aws.amazon.com port 443 (#0) * Trying IPv6 address... connected * Connected to aws.amazon.com (IPv6 address) port 443 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: aws.amazon.com
Tester le réseau avec Windows
Si vous utilisez Windows, vous pouvez vérifier que votre réseau peut accéder à un point de terminaison à double pile via IPv6 ou à IPv4 l'aide d'une ping commande, telle que la suivante :
ping aws.amazon.com
Si elle ping accède au point de terminaison via IPv6, la commande renvoie IPv6 des adresses.
Vérifiez que les clients peuvent prendre en charge IPv6
Nous vous recommandons de le faire avant de passer à l'utilisation du moniteur Internet. point de terminaison {region} .api.aws, dans lequel vous devez d'abord vérifier que vos clients peuvent accéder à d'autres Service AWS points de terminaison déjà activés. IPv6 Les étapes suivantes décrivent comment vérifier cela à l'aide d'un point de IPv6 terminaison existant.
Cet exemple utilise Linux et la version 8.6.0 de curl, ainsi que le service Amazon Athena, dont IPv6 les points de terminaison compatibles sont situés dans le domaine api.aws.
Note
Passez Région AWS à la même région que celle où se trouve le client. Dans cet exemple, nous utilisons USA Est (Virginie du Nord) : le point de terminaison us-east-1.
Utilisez l'exemple suivant pour vérifier que vos clients peuvent accéder à un point de IPv6 AWS terminaison activé.
-
Vérifiez que le point de terminaison Athena est résolu avec une IPv6 adresse à l'aide de la commande suivante.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
Maintenant, déterminez si votre réseau client peut établir une connexion IPv6 en utilisant la commande suivante :
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404Si l'adresse IP distante a été identifiée mais que le code de réponse ne l'est pas
0, une connexion réseau a été établie avec succès avec le terminal à l'aide de IPv6.Si l'adresse IP distante est vide ou si le code de réponse l'est
0, le réseau client ou le chemin réseau vers le point de IPv4 terminaison est uniquement disponible. Vous pouvez le vérifier à l’aide de la commande curl suivante :curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404Si vous exécutez cette commande et qu'une adresse IP distante a été identifiée mais que le code de réponse ne l'est pas
0, une connexion réseau a été établie avec succès avec le terminal à l'aide de IPv4.
