將 IAM 政策升級至 IPv6 - AWS Marketplace
受從 IPv4 升級到 IPv6 影響的客戶什麼是 IPv6?更新 IPv6 的 IAM 政策從 IPv4 更新至 IPv6 後測試網路

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 IAM 政策升級至 IPv6

AWS Marketplace 客戶使用 IAM 政策來設定允許範圍的 IP 地址,並防止設定範圍以外的任何 IP 地址能夠存取 AWS Marketplace 資源。

AWS Marketplace 網站網域正在升級至 IPv6 通訊協定。

未更新以處理 IPv6 地址的 IP 地址篩選政策可能會導致用戶端無法存取 AWS Marketplace 網站上的資源。

受從 IPv4 升級到 IPv6 影響的客戶

使用雙重定址的客戶會受到此升級的影響。雙定址表示網路同時支援 IPv4 和 IPv6。

如果您使用的是雙定址,則必須更新目前使用 IPv4 格式地址設定的 IAM 政策,以包含 IPv6 格式地址。

如需協助解決存取問題,請聯絡 支援

注意

下列客戶不受此升級影響:

  • 位於 IPv4 網路的客戶。

  • 位於 IPv6 網路的客戶。

什麼是 IPv6?

IPv6 是新一代 IP 標準,旨在最終取代 IPv4。舊版 IPv4 使用 32 位元定址機制來支援 43 億部裝置。IPv6 會改用 128 位元定址,以支援大約 340 兆兆 (或第 128 個電源的 2) 裝置。

2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965

更新 IPv6 的 IAM 政策

IAM 政策目前用於使用aws:SourceIp篩選條件設定允許的 IP 地址範圍。

雙定址支援 IPv4 和 IPV6 流量。如果您的網路使用雙定址,您必須確保用於 IP 地址篩選的任何 IAM 政策都已更新為包含 IPv6 地址範圍。

例如,此 IAM 身分型政策識別條件元素中允許的 IPv4 地址 CIDR 範圍 192.0.2.0/24 和 203.0.113.0/24。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "aws-marketplace:*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

如需 IAM 身分型政策範例的詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的AWS: AWS 根據來源 IP 拒絕對 的存取

若要更新此政策,政策的 Condition元素會更新為包含 IPv6 地址範圍2001:DB8:1234:5678::/642001:cdba:3257:8593::/64

注意

請勿移除現有的 IPv4 地址,因為需要它們才能回溯相容。

"Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24", <<DO NOT remove existing IPv4 address>>
                    "203.0.113.0/24", <<DO NOT remove existing IPv4 address>>
                    "2001:DB8:1234:5678::/64", <<New IPv6 IP address>>
                    "2001:cdba:3257:8593::/64" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }

如需利用 IAM 管理存取許可的詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》中的受管政策和內嵌政策

從 IPv4 更新至 IPv6 後測試網路

將 IAM 政策更新為 IPv6 格式後,您可以測試您的網路是否正在存取 IPv6 端點和 AWS Marketplace 網站功能。

使用 Linux/Unix 或 Mac OS X 測試網路

如果您使用的是 Linux/Unix 或 Mac OS X,您可以使用下列 curl 命令來測試您的網路是否正在存取 IPv6 端點。

curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/

例如,如果您透過 IPv6 連接,連接的 IP 地址會顯示以下資訊。


* About to connect() to aws.amazon.com port 443 (#0)
*   Trying IPv6 address... connected
* Connected to aws.amazon.com (IPv6 address) port 443 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: aws.amazon.com

使用 Windows 7 或 Windows 10 測試網路

如果您使用的是 Windows 7 或 Windows 10,您可以測試您的網路是否可以透過 IPv6 或 IPv4 存取雙堆疊端點。請使用 ping 指令,如下列範例所示。

ping aws.amazon.com

如果您透過 IPv6 存取端點,此命令會傳回 IPv6 地址。

測試 AWS Marketplace 網站

在更新後測試 AWS Marketplace 網站功能,主要取決於政策的撰寫方式及其用途。一般而言,您應該驗證政策中指定的功能是否如預期般運作。

下列案例可協助您開始測試 AWS Marketplace 網站功能。

身為 AWS Marketplace 網站上的買方,請測試您是否可以執行下列任務:

  • 訂閱 AWS Marketplace 產品。

  • 設定 AWS Marketplace 產品。

  • 啟動或履行 AWS Marketplace 產品。

身為 AWS Marketplace 網站上的賣方,測試您是否可以執行下列任務:

  • 管理您的現有 AWS Marketplace 產品。

  • 建立 AWS Marketplace 產品。