Controlar o acesso à API com políticas do IAM - AWS CloudHSM
Atualizar as políticas do IAM para IPv6

Controlar o acesso à API com políticas do IAM

Atualizar as políticas do IAM para IPv6

Os clientes do AWS CloudHSM usam políticas do IAM para controlar o acesso às APIs do AWS CloudHSM e impedir que qualquer endereço IP fora do intervalo configurado possa acessar as APIs do AWS CloudHSM.

O endpoint de pilha dupla cloudhsmv2.<region>.api.aws em que as APIs do AWS CloudHSM estão hospedadas oferece suporte a IPv6 e IPv4.

Os clientes que precisam oferecer suporte a IPv4 e IPv6 devem atualizar suas políticas de filtragem de endereços IP para gerenciar endereços IPv6, caso contrário, isso afetará sua capacidade de se conectar ao AWS CloudHSM por IPv6.

Quem deve fazer a atualização?

Os clientes que usam endereçamento duplo com políticas que contêm aws:sourceIp são afetados por essa atualização. O endereçamento duplo indica que a rede oferece suporte a IPv4 e IPv6.

Se você estiver usando endereçamento duplo, deverá atualizar as políticas do IAM que estão atualmente configuradas com endereços no formato IPv4 para incluir endereços no formato IPv6.

Para obter ajuda com problemas de acesso, entre em contato com Suporte.

nota

Os seguintes clientes não são afetados por essa atualização:

  • Clientes que estão somente em redes IPv4.

O que é IPv6?

IPv6 é o padrão IP de última geração destinado a substituir o IPv4. A versão anterior, IPv4, usa um esquema de endereçamento de 32 bits para suportar 4,3 bilhões de dispositivos. Em vez disso, o IPv6 usa endereçamento de 128 bits para suportar aproximadamente 340 trilhões de trilhões de trilhões (ou 2 vezes a 128ª potência) de dispositivos.

Para obter mais detalhes, consulte a página IPv6 da VPC.

2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965

Atualização de uma política do IAM para IPv6

Atualmente, as políticas do IAM são usadas para definir um intervalo permitido de endereços IP usando o filtro aws:SourceIp.

O endereçamento duplo oferece suporte ao tráfego IPv4 e IPV6. Se a sua rede usa endereçamento duplo, você precisa atualizar todas as políticas de IAM usadas para filtragem de endereços IP para incluir intervalos de endereços IPv6.

Por exemplo, a política abaixo identifica os intervalos de endereços IPv4 permitidos 192.0.2.0.* e 203.0.113.0.* no elemento Condition. 

# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

Para atualizar essa política, altere o elemento Condition para incluir os intervalos de endereços IPv6 2001:DB8:1234:5678::/64 e 2001:cdba:3257:8593::/64.

nota

NÃO REMOVA os endereços IPv4 existentes porque eles são necessários para a compatibilidade com versões anteriores.

"Condition": {
                "NotIpAddress": {
                    "*aws:SourceIp*": [
                        "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                        "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }

Verifique se seu cliente é compatível com IPv6

É recomendável que os clientes que usam o endpoint cloudhsmv2.{region}.api.aws verifiquem se conseguem se conectar a ele. As etapas a seguir descrevem como realizar a verificação.

Este exemplo usa Linux e curl versão 8.6.0 e usa os endpoints de serviço do AWS CloudHSM. Eles têm endpoints habilitados para IPv6 localizados no endpoint api.aws.

nota

Altere a Região da AWS para a mesma região em que o cliente está localizado. Neste exemplo, usamos o endpoint us-east-1, ou seja, Leste dos EUA (Norte da Virgínia).

  1. Determine se o endpoint é resolvido com um endereço IPv6 usando o comando dig a seguir. 

    dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3

  2. Determine se a rede do cliente pode fazer uma conexão IPv6 usando o comando curl a seguir. Um código de resposta 404 significa uma conexão bem-sucedida, enquanto um código de resposta 0 significa falha da conexão.

    curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404

Se um IP remoto foi identificado e o código de resposta não é 0, uma conexão de rede terá sido estabelecida com sucesso com o endpoint usando IPv6. O IP remoto deve ser um endereço IPv6 porque o sistema operacional deve selecionar o protocolo válido para o cliente. Se o IP remoto não for um endereço IPv6, use o comando a seguir para forçar o curl a usar o IPv4. 

curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404

Se o IP remoto estiver em branco ou o código de resposta for 0, a rede cliente ou o caminho da rede até o endpoint será somente IPv4. É possível verificar isso com o seguinte comando do curl: 

curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404