

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Steuern Sie den API-Zugriff mit IAM-Richtlinien
<a name="ip-access"></a>

## Aktualisieren von IAM-Richtlinien auf IPv6
<a name="ipv6-access"></a>

AWS CloudHSMKunden verwenden IAM-Richtlinien, um den Zugriff auf AWS CloudHSM APIs zu kontrollieren und zu verhindern, dass IP-Adressen außerhalb des konfigurierten Bereichs auf APIs zugreifen können. AWS CloudHSM

Die *Cloudhsmv2. {{<region>}}.api.aws* Dual-Stack-Endpunkt, auf dem AWS CloudHSM APIs gehostet werden, unterstützt zusätzlich zu IPv4 auch IPv6. 

Kunden, die sowohl IPv4 als auch IPv6 unterstützen müssen, müssen ihre Richtlinien zur IP-Adressfilterung aktualisieren, um IPv6-Adressen zu verarbeiten. Andernfalls wird sich dies auf ihre Fähigkeit auswirken, Verbindungen über IPv6 herzustellen. AWS CloudHSM

### Wer sollte ein Upgrade durchführen?
<a name="customers-impacted"></a>

Kunden, die duale Adressierung mit Richtlinien verwenden, die *aws:sourceIP enthalten, sind von diesem* Upgrade betroffen. *Duale Adressierung* bedeutet, dass das Netzwerk sowohl IPv4 als auch IPv6 unterstützt. 

Wenn Sie die duale Adressierung verwenden, müssen Sie Ihre IAM-Richtlinien, die derzeit mit Adressen im IPv4-Format konfiguriert sind, so aktualisieren, dass sie Adressen im IPv6-Format enthalten. 

Wenn Sie Hilfe bei Zugriffsproblemen benötigen, wenden Sie sich an [Support](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).

**Anmerkung**  
Die folgenden Kunden sind von diesem *Upgrade nicht* betroffen:  
Kunden, die *nur* IPv4-Netzwerke nutzen.

### Was ist IPv6?
<a name="what-is-ipv6"></a>

IPv6 ist der IP-Standard der nächsten Generation, der IPv4 irgendwann ersetzen soll. Die vorherige Version, IPv4, verwendet ein 32-Bit-Adressierungsschema, um 4,3 Milliarden Geräte zu unterstützen. IPv6 verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen (oder 2 bis 128) Geräte zu unterstützen. 

Weitere Informationen finden Sie auf der [VPC IPv6-Webseite](https://aws.amazon.com/vpc/ipv6/).

```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```

### Aktualisierung einer IAM-Richtlinie für IPv6
<a name="updating-for-ipv6"></a>

IAM-Richtlinien werden derzeit verwendet, um mithilfe des Filters einen zulässigen Bereich von IP-Adressen festzulegen. `aws:SourceIp` 

Die duale Adressierung unterstützt sowohl IPv4- als auch IPv6-Verkehr. Wenn Ihr Netzwerk duale Adressierung verwendet, müssen Sie alle IAM-Richtlinien, die für die IP-Adressfilterung verwendet werden, so aktualisieren, dass sie IPv6-Adressbereiche enthalten.

Die folgende Richtlinie identifiziert beispielsweise die zulässigen IPv4-Adressbereiche `192.0.2.0.*` und `203.0.113.0.*` das Element. `Condition` 

```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}
```

Um diese Richtlinie zu aktualisieren, ändern Sie das `Condition` Element so, dass es die IPv6-Adressbereiche `2001:DB8:1234:5678::/64` und enthält. `2001:cdba:3257:8593::/64`

**Anmerkung**  
ENTFERNEN SIE NICHT die vorhandenen IPv4-Adressen, da sie aus Gründen der Abwärtskompatibilität benötigt werden.

```
"Condition": {
                "NotIpAddress": {
                    "*aws:SourceIp*": [
                        "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "{{*2001:DB8:1234:5678::/64*}}", <<New IPv6 IP address>>
                        "{{*2001:cdba:3257:8593::/64*}}" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }
```

### Stellen Sie sicher, dass Ihr Client IPv6 unterstützt
<a name="testing-connection"></a>

Kunden, die *Cloudhsmv2 verwenden. Es wird empfohlen, den Endpunkt {region} .api.aws* zu überprüfen, ob sie eine Verbindung zu diesem Endpunkt herstellen können. In den folgenden Schritten wird beschrieben, wie die Überprüfung durchgeführt wird. 

*Dieses Beispiel verwendet Linux und Curl Version 8.6.0 und verwendet die [AWS CloudHSMService-Endpunkte, deren IPv6-fähige Endpunkte](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) sich am api.aws-Endpunkt befinden.* 

**Anmerkung**  
Wechseln Sie zu derselben RegionAWS-Region, in der sich der Client befindet. In diesem Beispiel verwenden wir den Endpunkt `us-east-1` in USA Ost (Nord-Virginia).

1. Stellen Sie mit dem folgenden `dig` Befehl fest, ob der Endpunkt mit einer IPv6-Adresse aufgelöst wird. 

   ```
   dig +short AAAA cloudhsmv2.us-east-1.api.aws
   2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
   ```

1. Ermitteln Sie mit dem folgenden Befehl, ob das Client-Netzwerk eine IPv6-Verbindung herstellen kann. `curl` Ein 404-Antwortcode bedeutet, dass die Verbindung erfolgreich war, während ein 0-Antwortcode bedeutet, dass die Verbindung fehlgeschlagen ist.

   ```
   curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
   
   remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
   response code: 404
   ```

Wenn eine Remote-IP identifiziert wurde **und** der Antwortcode nicht angegeben ist`0`, wurde mithilfe von IPv6 erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt. Die Remote-IP sollte eine IPv6-Adresse sein, da das Betriebssystem das für den Client gültige Protokoll auswählen sollte. Wenn es sich bei der Remote-IP nicht um eine IPv6-Adresse handelt, verwenden Sie den folgenden Befehl, um die Verwendung von IPv4 `curl` zu erzwingen. 

```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404
```

Wenn die Remote-IP leer ist oder der Antwortcode leer ist`0`, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt. IPv4-only Sie können diese Konfiguration mit dem folgenden `curl` Befehl überprüfen. 

```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404
```