As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Controlar o acesso à API com políticas do IAM
## Atualizar as políticas do IAM para IPv6
AWS CloudHSM os clientes usam políticas do IAM para controlar o acesso às AWS CloudHSM APIs e impedir que qualquer endereço IP fora do intervalo configurado possa acessar as AWS CloudHSM APIs.
O *cloudhsmv2. {{}}O endpoint dual-stack .api.aws* em que as AWS CloudHSM APIs estão hospedadas oferece suporte a IPv6, além de IPv4.
Os clientes que precisam oferecer suporte a IPv4 e IPv6 devem atualizar suas políticas de filtragem de endereços IP para lidar com endereços IPv6, caso contrário, isso afetará sua capacidade de se conectar via IPv6. AWS CloudHSM
### Quem deve fazer a atualização?
Os clientes que usam endereçamento duplo com políticas que contêm *aws:sourceIp* são afetados por essa atualização. O *endereçamento duplo* indica que a rede oferece suporte a IPv4 e IPv6.
Se você estiver usando endereçamento duplo, deverá atualizar as políticas do IAM que estão atualmente configuradas com endereços no formato IPv4 para incluir endereços no formato IPv6.
Para obter ajuda com problemas de acesso, entre em contato com [Suporte](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**nota**
Os seguintes clientes *não* são afetados por essa atualização:
Clientes que estão *somente* em redes IPv4.
### O que é IPv6?
IPv6 é o padrão IP de última geração destinado a substituir o IPv4. A versão anterior, IPv4, usa um esquema de endereçamento de 32 bits para suportar 4,3 bilhões de dispositivos. Em vez disso, o IPv6 usa endereçamento de 128 bits para suportar aproximadamente 340 trilhões de trilhões de trilhões (ou 2 vezes a 128ª potência) de dispositivos.
Para obter mais detalhes, consulte a [página IPv6 da VPC](https://aws.amazon.com/vpc/ipv6/).
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
### Atualização de uma política do IAM para IPv6
Atualmente, as políticas do IAM são usadas para definir um intervalo permitido de endereços IP usando o filtro `aws:SourceIp`.
O endereçamento duplo oferece suporte ao tráfego IPv4 e IPV6. Se a sua rede usa endereçamento duplo, você precisa atualizar todas as políticas de IAM usadas para filtragem de endereços IP para incluir intervalos de endereços IPv6.
Por exemplo, a política abaixo identifica os intervalos de endereços IPv4 permitidos `192.0.2.0.*` e `203.0.113.0.*` no elemento `Condition`.
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Para atualizar essa política, altere o elemento `Condition` para incluir os intervalos de endereços IPv6 `2001:DB8:1234:5678::/64` e `2001:cdba:3257:8593::/64`.
**nota**
NÃO REMOVA os endereços IPv4 existentes porque eles são necessários para a compatibilidade com versões anteriores.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"{{*2001:DB8:1234:5678::/64*}}", <>
"{{*2001:cdba:3257:8593::/64*}}" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
### Verifique se seu cliente é compatível com IPv6
É recomendável que os clientes que usam o endpoint *cloudhsmv2.{region}.api.aws* verifiquem se conseguem se conectar a ele. As etapas a seguir descrevem como realizar a verificação.
Este exemplo usa Linux e curl versão 8.6.0 e usa os [endpoints de serviço do AWS CloudHSM](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html). Eles têm endpoints habilitados para IPv6 localizados no *endpoint api.aws*.
**nota**
Mude Região da AWS para a mesma região em que o cliente está localizado. Neste exemplo, usamos o endpoint `us-east-1`, ou seja, Leste dos EUA (Norte da Virgínia).
1. Determine se o endpoint é resolvido com um endereço IPv6 usando o comando `dig` a seguir.
```
dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
1. Determine se a rede do cliente pode fazer uma conexão IPv6 usando o comando `curl` a seguir. Um código de resposta 404 significa uma conexão bem-sucedida, enquanto um código de resposta 0 significa falha da conexão.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404
```
Se um IP remoto foi identificado **e** o código de resposta não é `0`, uma conexão de rede terá sido estabelecida com sucesso com o endpoint usando IPv6. O IP remoto deve ser um endereço IPv6 porque o sistema operacional deve selecionar o protocolo válido para o cliente. Se o IP remoto não for um endereço IPv6, use o comando a seguir para forçar o `curl` a usar o IPv4.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```
Se o IP remoto estiver em branco ou o código de resposta estiver`0`, a rede do cliente ou o caminho da rede até o endpoint estará. IPv4-only É possível verificar isso com o seguinte comando do `curl`:
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```