將 IAM 政策升級至 IPv6 - AWS Marketplace
從 IPv4 升級到 IPv6 影響的客戶什麼是 IPv6?更新 IPv6 的 IAM 政策從 IPv4 更新至 IPv6 後測試網路

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將 IAM 政策升級至 IPv6

AWS Marketplace 客戶使用 IAM 政策來設定允許的 IP 地址範圍,並防止設定範圍以外的任何 IP 地址能夠存取 AWS Marketplace 資源。

AWS Marketplace 網站網域正在升級至 IPv6 通訊協定。

未更新以處理 IPv6 地址的 IP 地址篩選政策可能會導致用戶端無法存取 AWS Marketplace 網站上的資源。

從 IPv4 升級到 IPv6 影響的客戶

使用雙重定址的客戶會受到此升級的影響。雙重定址表示網路同時支援 IPv4 和 IPv6。

如果您使用雙定址,則必須更新目前設定 IPv4 格式地址的 IAM 政策,以包含 IPv6 格式地址。

如需存取問題的協助,請聯絡 支援

注意

下列客戶不受此升級影響:

  • 位於 IPv4 網路的客戶。

  • 位於 IPv6 網路的客戶。

什麼是 IPv6?

IPv6 是新一代 IP 標準,旨在最終取代 IPv4。舊版 IPv4 使用 32 位元定址機制來支援 43 億部裝置。IPv6 改為使用 128 位元定址,以支援大約 340 兆兆 (或 2 到第 128 個電源) 的裝置。

2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965

更新 IPv6 的 IAM 政策

IAM 政策目前用於使用aws:SourceIp篩選條件設定允許的 IP 地址範圍。

雙定址支援 IPv4 和 IPV6 流量。如果您的網路使用雙定址,您必須確保用於 IP 地址篩選的任何 IAM 政策都已更新,以包含 IPv6 地址範圍。

例如,此 IAM 身分型政策識別條件元素中允許的 IPv4 地址 CIDR 範圍 192.0.2.0/24 和 203.0.113.0/24。

JSON

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

如需 IAM 身分型政策範例的詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的AWS: AWS 根據來源 IP 拒絕對 的存取

若要更新此政策,政策的 Condition元素會更新為包含 IPv6 地址範圍2001:DB8:1234:5678::/642001:cdba:3257:8593::/64

注意

請勿移除現有的 IPv4 地址,因為需要它們才能回溯相容。

"Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24", <<DO NOT remove existing IPv4 address>>
                    "203.0.113.0/24", <<DO NOT remove existing IPv4 address>>
                    "2001:DB8:1234:5678::/64", <<New IPv6 IP address>>
                    "2001:cdba:3257:8593::/64" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }

如需使用 IAM 管理存取許可的詳細資訊,請參閱AWS Identity and Access Management 《 使用者指南》中的受管政策和內嵌政策

從 IPv4 更新至 IPv6 後測試網路

將 IAM 政策更新為 IPv6 格式後,您可以測試您的網路是否正在存取 IPv6 端點和 AWS Marketplace 網站功能。

使用 Linux/Unix 或 Mac OS X 測試網路

如果您使用的是 Linux/Unix 或 Mac OS X,您可以使用下列 curl 命令來測試您的網路是否正在存取 IPv6 端點。

curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/

例如,如果您透過 IPv6 連接,連接的 IP 地址會顯示以下資訊。


* About to connect() to aws.amazon.com port 443 (#0)
*   Trying IPv6 address... connected
* Connected to aws.amazon.com (IPv6 address) port 443 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: aws.amazon.com

使用 Windows 7 或 Windows 10 測試網路

如果您使用的是 Windows 7 或 Windows 10,您可以測試您的網路是否可以透過 IPv6 或 IPv4 存取雙堆疊端點。請使用 ping 指令,如下列範例所示。

ping aws.amazon.com

如果您透過 IPv6 存取端點,此命令會傳回 IPv6 地址。

測試 AWS Marketplace 網站

在更新後測試 AWS Marketplace 網站功能,主要取決於政策的撰寫方式及其用途。一般而言,您應該驗證政策中指定的功能是否如預期般運作。

下列案例可協助您開始測試 AWS Marketplace 網站功能。

身為 AWS Marketplace 網站上的買方,請測試您是否可以執行下列任務:

  • 訂閱 AWS Marketplace 產品。

  • 設定 AWS Marketplace 產品。

  • 啟動或履行 AWS Marketplace 產品。

身為 AWS Marketplace 網站上的賣方,請測試您是否可以執行下列任務:

  • 管理您的現有 AWS Marketplace 產品。

  • 建立 AWS Marketplace 產品。