Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlla l'accesso alle API con le policy IAM
Aggiornamento delle policy IAM a IPv6
AWS CloudHSM i clienti utilizzano le policy IAM per controllare l'accesso alle AWS CloudHSM API e impedire che qualsiasi indirizzo IP esterno all'intervallo configurato possa accedere alle API. AWS CloudHSM
Il cloudhsmv2. <region>L'endpoint dual-stack .api.aws in cui sono ospitate le API supporta IPv6 oltre a IPv4. AWS CloudHSM
I clienti che devono supportare sia IPv4 che IPv6 devono aggiornare le politiche di filtraggio degli indirizzi IP per gestire gli indirizzi IPv6, altrimenti ciò influirà sulla loro capacità di connettersi tramite IPv6. AWS CloudHSM
Chi deve effettuare l'aggiornamento?
I clienti che utilizzano il doppio indirizzamento con policy contenenti AWS:SourceIP sono interessati da questo aggiornamento. Il doppio indirizzamento significa che la rete supporta sia IPv4 che IPv6.
Se si utilizza il doppio indirizzamento, è necessario aggiornare le politiche IAM attualmente configurate con indirizzi in formato IPv4 per includere gli indirizzi in formato IPv6.
Per ricevere assistenza in caso di problemi di accesso, contattare Supporto
Nota
I seguenti clienti non sono interessati da questo aggiornamento:
-
Clienti che utilizzano solo reti IPv4.
Cos'è IPv6?
IPv6 è lo standard IP di nuova generazione destinato a sostituire eventualmente l'IPv4. La versione precedente, IPv4, utilizza uno schema di indirizzamento a 32 bit per supportare 4,3 miliardi di dispositivi. IPv6 utilizza invece l'indirizzamento a 128 bit per supportare circa 340 trilioni di trilioni di trilioni di dispositivi (ovvero 2 alla 128esima potenza).
Per maggiori dettagli, consulta la pagina web VPC IPv6
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
Aggiornamento di una policy IAM per IPv6
Le policy IAM vengono attualmente utilizzate per impostare un intervallo consentito di indirizzi IP utilizzando il aws:SourceIp filtro.
Il doppio indirizzamento supporta sia il traffico IPv4 che IPv6. Se la rete utilizza il doppio indirizzamento, è necessario aggiornare tutte le policy IAM utilizzate per il filtraggio degli indirizzi IP in modo da includere gli intervalli di indirizzi IPv6.
Ad esempio, la politica seguente identifica gli intervalli di indirizzi IPv4 consentiti e nell'elemento. 192.0.2.0.* 203.0.113.0.* Condition
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Per aggiornare questo criterio, modifica l'Conditionelemento in modo da includere gli intervalli di indirizzi IPv6 e. 2001:DB8:1234:5678::/64 2001:cdba:3257:8593::/64
Nota
NON RIMUOVERE gli indirizzi IPv4 esistenti perché sono necessari per la compatibilità con le versioni precedenti.
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Verifica che il tuo client supporti IPv6
Clienti che utilizzano cloudhsmv2. Si consiglia all'endpoint {region} .api.aws di verificare se è in grado di connettersi ad esso. I passaggi seguenti descrivono come eseguire la verifica.
Questo esempio utilizza Linux e curl versione 8.6.0 e utilizza gli endpoint del AWS CloudHSM servizio con endpoint abilitati per IPv6 situati nell'endpoint api.aws.
Nota
Passa alla stessa regione in cui si trova il client. Regione AWS In questo esempio, utilizziamo l'endpoint Stati Uniti orientali (Virginia settentrionale) - us-east-1.
-
Determina se l'endpoint si risolve con un indirizzo IPv6 utilizzando il seguente comando.
digdig +short AAAA cloudhsmv2.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 -
Determina se la rete client può stabilire una connessione IPv6 utilizzando il seguente comando.
curlUn codice di risposta 404 indica che la connessione è riuscita, mentre un codice di risposta 0 indica che la connessione non è riuscita.curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 response code: 404
Se è stato identificato un IP remoto e il codice di risposta non lo è0, è stata stabilita correttamente una connessione di rete all'endpoint utilizzando IPv6. L'IP remoto deve essere un indirizzo IPv6 perché il sistema operativo deve selezionare il protocollo valido per il client. Se l'IP remoto non è un indirizzo IPv6, usa il seguente comando per curl forzare l'uso di IPv4.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
Se l'IP remoto è vuoto o il codice di risposta lo è0, la rete client o il percorso di rete verso l'endpoint è. IPv4-only È possibile verificare questa configurazione con il seguente curl comando.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
