Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Contrôlez l'accès aux API avec des politiques IAM
## Mettre à niveau les politiques IAM vers IPv6
AWS CloudHSM les clients utilisent des politiques IAM pour contrôler l'accès aux AWS CloudHSM API et empêcher les adresses IP situées en dehors de la plage configurée d'accéder aux AWS CloudHSM API.
Le *cloudhsmv2. {{}}Le point de terminaison à double pile .api.aws* où les AWS CloudHSM API sont hébergées prend en charge IPv6 en plus de l'IPv4.
Les clients qui doivent prendre en charge à la fois les protocoles IPv4 et IPv6 doivent mettre à jour leurs politiques de filtrage des adresses IP afin de gérer les adresses IPv6, faute de quoi cela aura un impact sur leur capacité à se connecter AWS CloudHSM via IPv6.
### Qui doit effectuer la mise à niveau ?
Les clients qui utilisent le double adressage avec des politiques contenant *AWS:SourceIP* sont concernés par cette mise à niveau. Le *double adressage* signifie que le réseau prend en charge à la fois les protocoles IPv4 et IPv6.
Si vous utilisez le double adressage, vous devez mettre à jour vos politiques IAM actuellement configurées avec des adresses au format IPv4 afin d'inclure les adresses au format IPv6.
Pour obtenir de l’aide en cas de problèmes d’accès, contactez [Support](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**Note**
Les clients suivants *ne sont pas* concernés par cette mise à niveau :
Les clients qui utilisent *uniquement* des réseaux IPv4.
### Qu’est-ce qu’IPv6 ?
IPv6 est la norme IP de nouvelle génération destinée à remplacer à terme IPv4. La version précédente, IPv4, utilise un schéma d'adressage 32 bits pour prendre en charge 4,3 milliards d'appareils. IPv6 utilise plutôt un adressage 128 bits pour prendre en charge environ 340 milliards de milliards de milliards de milliards de milliards de dollars (soit 2 appareils à la 128e puissance).
Pour plus de détails, consultez la [page Web VPC IPv6](https://aws.amazon.com/vpc/ipv6/).
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
### Mise à jour d'une politique IAM pour IPv6
Les politiques IAM sont actuellement utilisées pour définir une plage d'adresses IP autorisée à l'aide du `aws:SourceIp` filtre.
Le double adressage prend en charge le trafic IPv4 et IPv6. Si votre réseau utilise le double adressage, vous devez mettre à jour toutes les politiques IAM utilisées pour le filtrage des adresses IP afin d'inclure les plages d'adresses IPv6.
Par exemple, la politique ci-dessous identifie les plages d'adresses IPv4 autorisées `192.0.2.0.*` et `203.0.113.0.*` dans l'`Condition`élément.
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Pour mettre à jour cette politique, modifiez l'`Condition`élément afin d'inclure les plages d'adresses IPv6 `2001:DB8:1234:5678::/64` et`2001:cdba:3257:8593::/64`.
**Note**
NE SUPPRIMEZ PAS les adresses IPv4 existantes car elles sont nécessaires à des fins de rétrocompatibilité.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"{{*2001:DB8:1234:5678::/64*}}", <>
"{{*2001:cdba:3257:8593::/64*}}" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
### Vérifiez que votre client prend en charge le protocole IPv6
Les clients utilisant le *cloudhsmv2. Il est conseillé au point de terminaison {region} .api.aws* de vérifier s'il est capable de s'y connecter. Les étapes suivantes décrivent comment effectuer la vérification.
*Cet exemple utilise Linux et la version 8.6.0 de curl et utilise les points de terminaison de [AWS CloudHSM service dotés de points de terminaison](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) compatibles IPv6 situés sur le point de terminaison api.aws.*
**Note**
Passez Région AWS à la même région que celle où se trouve le client. Dans cet exemple, nous utilisons USA Est (Virginie du Nord) : le point de terminaison `us-east-1`.
1. Déterminez si le point de terminaison est résolu avec une adresse IPv6 à l'aide de la `dig` commande suivante.
```
dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
1. Déterminez si le réseau client peut établir une connexion IPv6 à l'aide de la `curl` commande suivante. Un code de réponse 404 signifie que la connexion a réussi, tandis qu'un code de réponse 0 signifie que la connexion a échoué.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404
```
Si une adresse IP distante a été identifiée **mais** que le code de réponse ne l'est pas`0`, une connexion réseau a été établie avec succès avec le protocole IPv6 avec le protocole IPv6. L'adresse IP distante doit être une adresse IPv6 car le système d'exploitation doit sélectionner le protocole valide pour le client. Si l'adresse IP distante n'est pas une adresse IPv6, utilisez la commande suivante pour forcer l'utilisation `curl` d'IPv4.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```
Si l'adresse IP distante est vide ou si le code de réponse l'est`0`, le réseau client ou le chemin réseau vers le point de terminaison l'est IPv4-only. Vous pouvez vérifier cette configuration à l'aide de la `curl` commande suivante.
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```