将 IAM 策略升级到 IPv6 - AWS Marketplace
受从升级 IPv4 到影响的客户 IPv6什么是 IPv6?更新的 IAM 政策 IPv6从更新 IPv4 到之后测试网络 IPv6

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将 IAM 策略升级到 IPv6

AWS Marketplace 客户使用 IAM 策略来设置允许的 IP 地址范围,并防止配置范围之外的任何 IP 地址能够访问 AWS Marketplace 资源。

AWS Marketplace 网站域名正在升级为该 IPv6 协议。

未更新以处理 IPv6 地址的 IP 地址筛选策略可能会导致客户端无法访问 AWS Marketplace 网站上的资源。

受从升级 IPv4 到影响的客户 IPv6

使用双寻址的客户会受到此次升级的影响。双寻址意味着网络同时支持 IPv4 和 IPv6。

如果您使用的是双地址,则必须更新当前配置了 IPv4 格式地址的 IAM 策略,使其包含 IPv6 格式地址。

有关访问问题的帮助,请联系 支持

注意

以下客户不受此次升级的影响:

  • 使用 IPv4 网络的客户。

  • 使用 IPv6 网络的客户。

什么是 IPv6?

IPv6 是旨在最终取代的下一代 IP 标准 IPv4。之前的版本使用 32 位寻址方案来支持 43 亿台设备。 IPv4 IPv6 而是使用 128 位寻址来支持大约 340 万亿亿亿美元(或第 128 功率的 2 倍)设备。

2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965

更新的 IAM 政策 IPv6

目前,IAM 策略用于使用 aws:SourceIp 筛选器设置允许的 IP 地址范围。

双寻址同时支持 IPv4 和 IPV6 流量。如果您的网络使用双寻址,则必须确保更新用于 IP 地址筛选的所有 IAM 策略以包含 IPv6 地址范围。

例如,此基于 IAM 身份的策略在条件元素中标识了允许 IPv4 的地址 CIDR 范围 192.0.2.0/24 和 203.0.113.0/24。

JSON

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

有关 IAM 基于身份的策略示例的更多信息,请参阅AWS Identity and Access Management 用户指南》中的AWS: AWS 根据源 IP 拒绝访问

为了更新此政策,策略的Condition元素已更新为包括 IPv6 地址范围2001:DB8:1234:5678::/642001:cdba:3257:8593::/64

注意

请勿删除现有 IPv4 地址,因为它们是向后兼容所必需的。

"Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24", <<DO NOT remove existing IPv4 address>>
                    "203.0.113.0/24", <<DO NOT remove existing IPv4 address>>
                    "2001:DB8:1234:5678::/64", <<New IPv6 IP address>>
                    "2001:cdba:3257:8593::/64" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }

有关使用 IAM 管理访问权限的更多信息,请参阅《AWS Identity and Access Management 用户指南》中的托管策略与内联策略

从更新 IPv4 到之后测试网络 IPv6

将 IAM 策略更新为该 IPv6 格式后,您可以测试您的网络是否正在访问 IPv6 终端节点和 AWS Marketplace 网站功能。

使用 Linux/Unix 或 Mac OS X 测试网络

如果您使用的是 Mac Linux/Unix OS X,则可以使用以下 curl 命令测试您的网络是否正在访问 IPv6 端点。

curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/

例如,如果您通过连接 IPv6,则连接的 IP 地址会显示以下信息。


* About to connect() to aws.amazon.com port 443 (#0)
*   Trying IPv6 address... connected
* Connected to aws.amazon.com (IPv6 address) port 443 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: aws.amazon.com

使用 Windows 7 或 Windows 10 测试网络

如果你使用的是 Windows 7 或 Windows 10,则可以测试你的网络是否可以通过 IPv6 或 IPv4访问双栈端点。使用以下示例中所示的 ping 命令。

ping aws.amazon.com

如果您通过访问终端节点,则此命令会返回 IPv6 地址 IPv6。

测试 AWS Marketplace 网站

更新后对 AWS Marketplace 网站功能的测试主要取决于您的政策的撰写方式和用途。通常,您应验证策略中指定的功能是否按预期运行。

以下场景可以帮助您开始测试 AWS Marketplace 网站功能。

作为 AWS Marketplace 网站上的买家,测试您是否可以完成以下任务:

  • 订阅 AWS Marketplace 产品。

  • 配置 AWS Marketplace 产品。

  • 发布或配送 AWS Marketplace 产品。

作为 AWS Marketplace 网站上的卖家,请测试您是否可以完成以下任务:

  • 管理您的现有 AWS Marketplace 产品。

  • 创建 AWS Marketplace 产品。