Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôlez l'accès aux API avec des politiques IAM
Mettre à niveau les politiques IAM vers IPv6
AWS CloudHSM les clients utilisent des politiques IAM pour contrôler l'accès aux AWS CloudHSM API et empêcher les adresses IP situées en dehors de la plage configurée d'accéder aux AWS CloudHSM API.
Le cloudhsmv2. <region>Le point de terminaison à double pile .api.aws où les AWS CloudHSM API sont hébergées prend en charge IPv6 en plus de l'IPv4.
Les clients qui doivent prendre en charge à la fois les protocoles IPv4 et IPv6 doivent mettre à jour leurs politiques de filtrage des adresses IP afin de gérer les adresses IPv6, faute de quoi cela aura un impact sur leur capacité à se connecter AWS CloudHSM via IPv6.
Qui doit effectuer la mise à niveau ?
Les clients qui utilisent le double adressage avec des politiques contenant AWS:SourceIP sont concernés par cette mise à niveau. Le double adressage signifie que le réseau prend en charge à la fois les protocoles IPv4 et IPv6.
Si vous utilisez le double adressage, vous devez mettre à jour vos politiques IAM actuellement configurées avec des adresses au format IPv4 afin d'inclure les adresses au format IPv6.
Pour obtenir de l’aide en cas de problèmes d’accès, contactez Support
Note
Les clients suivants ne sont pas concernés par cette mise à niveau :
-
Les clients qui utilisent uniquement des réseaux IPv4.
Qu’est-ce qu’IPv6 ?
IPv6 est la norme IP de nouvelle génération destinée à remplacer à terme IPv4. La version précédente, IPv4, utilise un schéma d'adressage 32 bits pour prendre en charge 4,3 milliards d'appareils. IPv6 utilise plutôt un adressage 128 bits pour prendre en charge environ 340 milliards de milliards de milliards de milliards de milliards de dollars (soit 2 appareils à la 128e puissance).
Pour plus de détails, consultez la page Web VPC IPv6
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
Mise à jour d'une politique IAM pour IPv6
Les politiques IAM sont actuellement utilisées pour définir une plage d'adresses IP autorisée à l'aide du aws:SourceIp filtre.
Le double adressage prend en charge le trafic IPv4 et IPv6. Si votre réseau utilise le double adressage, vous devez mettre à jour toutes les politiques IAM utilisées pour le filtrage des adresses IP afin d'inclure les plages d'adresses IPv6.
Par exemple, la politique ci-dessous identifie les plages d'adresses IPv4 autorisées 192.0.2.0.* et 203.0.113.0.* dans l'Conditionélément.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Pour mettre à jour cette politique, modifiez l'Conditionélément afin d'inclure les plages d'adresses IPv6 2001:DB8:1234:5678::/64 et2001:cdba:3257:8593::/64.
Note
NE SUPPRIMEZ PAS les adresses IPv4 existantes car elles sont nécessaires à des fins de rétrocompatibilité.
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Vérifiez que votre client prend en charge le protocole IPv6
Les clients utilisant le cloudhsmv2. Il est conseillé au point de terminaison {region} .api.aws de vérifier s'il est capable de s'y connecter. Les étapes suivantes décrivent comment effectuer la vérification.
Cet exemple utilise Linux et la version 8.6.0 de curl et utilise les points de terminaison de AWS CloudHSM service dotés de points de terminaison compatibles IPv6 situés sur le point de terminaison api.aws.
Note
Passez Région AWS à la même région que celle où se trouve le client. Dans cet exemple, nous utilisons USA Est (Virginie du Nord) : le point de terminaison us-east-1.
-
Déterminez si le point de terminaison est résolu avec une adresse IPv6 à l'aide de la
digcommande suivante.dig +short AAAA cloudhsmv2.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 -
Déterminez si le réseau client peut établir une connexion IPv6 à l'aide de la
curlcommande suivante. Un code de réponse 404 signifie que la connexion a réussi, tandis qu'un code de réponse 0 signifie que la connexion a échoué.curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 response code: 404
Si une adresse IP distante a été identifiée mais que le code de réponse ne l'est pas0, une connexion réseau a été établie avec succès avec le protocole IPv6 avec le protocole IPv6. L'adresse IP distante doit être une adresse IPv6 car le système d'exploitation doit sélectionner le protocole valide pour le client. Si l'adresse IP distante n'est pas une adresse IPv6, utilisez la commande suivante pour forcer l'utilisation curl d'IPv4.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
Si l'adresse IP distante est vide ou si le code de réponse l'est0, le réseau client ou le chemin réseau vers le point de terminaison l'est IPv4-only. Vous pouvez vérifier cette configuration à l'aide de la curl commande suivante.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
