在 IAM 和 中使用 IPv6 地址 AWS 私有 CA - AWS 私有憑證授權單位

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 IAM 和 中使用 IPv6 地址 AWS 私有 CA

嘗試 AWS 私有憑證授權單位 透過 IPv6 存取 之前,請確定任何包含 IP 地址限制的 IAM 政策已更新為包含 IPv6 地址範圍。未更新以處理 IPv6 地址的 IP 型政策可能會導致用戶端在開始使用 IPv6 時錯誤遺失或取得存取權。若要進一步了解 AWS 私有 CA 和雙堆疊支援,請參閱 雙堆疊端點支援

重要

這些陳述式不允許任何動作。將這些陳述式與允許特定動作的其他陳述式結合使用。

下列陳述式明確拒絕存取來自 IPv4 地址192.0.2.*範圍之請求的所有 AWS 私有 CA 許可。任何超出此範圍的 IP 地址都不會明確拒絕 AWS 私有 CA 許可。由於所有 IPv6 地址都超出拒絕範圍,因此此陳述式不會明確拒絕任何 IPv6 地址的 AWS 私有 CA 許可。


{
    "Sid": "DenyPrivateCAPermissions",
    "Effect": "Deny",
    "Action": [
        "acm-pca:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [
                "192.0.2.0/24"
            ]
        }
    }
}

您可以修改 Condition元素以拒絕 IPv4 (192.0.2.0/24) 和 IPv6 (2001:db8::/32) 地址範圍,如下列範例所示:


{
    "Sid": "DenyPrivateCAPermissions",
    "Effect": "Deny",
    "Action": [
        "acm-pca:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [
                "192.0.2.0/24",
                "2001:db8::/32"
            ]
        }
    }
}