Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# IAMRichtlinien aktualisieren auf IPv6
<a name="arex-security-ipv6-upgrade"></a>

AWS Resource Explorer Kunden verwenden IAM Richtlinien, um einen zulässigen Bereich von IP-Adressen festzulegen und zu verhindern, dass IP-Adressen außerhalb des konfigurierten Bereichs auf Resource Explorer zugreifen könnenAPIs.

Der * Resource-Explorer-2.*region**Die Domain .api.aws, in der Resource Explorer gehostet APIs werden, wird aktualisiert, sodass sie zusätzlich unterstützt wird. IPv6 IPv4 

Richtlinien zur IP-Adressfilterung, die nicht für den Umgang mit IPv6 Adressen aktualisiert wurden, können dazu führen, dass Clients den Zugriff auf die Ressourcen in der Resource Explorer-Domäne verlieren. API 

## Kunden, die vom Upgrade von IPv4 auf betroffen sind IPv6
<a name="customers-impacted"></a>

Kunden, die die duale Adressierung verwenden und deren Richtlinien *aws:* enthalten, sourceIp sind von diesem Upgrade betroffen. Duale Adressierung bedeutet, dass das Netzwerk IPv4 sowohl IPv6 als auch unterstützt. 

Wenn Sie die duale Adressierung verwenden, müssen Sie Ihre IAM Richtlinien, die derzeit mit IPv4 Formatadressen konfiguriert sind, so aktualisieren, dass sie auch IPv6 Formatadressen enthalten. 

Wenn Sie Hilfe bei Zugriffsproblemen benötigen, wenden Sie sich an [Support](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).

**Anmerkung**  
Die folgenden Kunden sind von diesem Upgrade *nicht* betroffen:  
Kunden, die *nur in IPv4 Netzwerken aktiv* sind.
Kunden, die *nur in IPv6 Netzwerken aktiv* sind.

## Was istIPv6?
<a name="what-is-ipv6"></a>

IPv6ist der IP-Standard der nächsten Generation, der irgendwann ersetzt IPv4 werden soll. Die vorherige Version verwendet ein 32-Bit-Adressierungsschema zur Unterstützung von 4,3 Milliarden Geräten. IPv4 IPv6verwendet stattdessen 128-Bit-Adressierung, um etwa 340 Billionen Billionen Billionen (oder 2 bis 128.) Geräte zu unterstützen. 

```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```

## Aktualisierung einer Richtlinie für IAM IPv6
<a name="updating-for-ipv6"></a>

IAMRichtlinien werden derzeit verwendet, um mithilfe des `aws:SourceIp` Filters einen zulässigen Bereich von IP-Adressen festzulegen. 

Die duale Adressierung unterstützt IPv4 sowohl den Datenverkehr als auch IPV6 den Datenverkehr. Wenn Ihr Netzwerk die duale Adressierung verwendet, müssen Sie sicherstellen, dass alle IAM Richtlinien, die für die IP-Adressfilterung verwendet werden, aktualisiert werden, sodass sie IPv6 Adressbereiche einbeziehen.

Diese Amazon S3 S3-Bucket-Richtlinie identifiziert beispielsweise zulässige IPv4 Adressbereiche `192.0.2.0.*` und `203.0.113.0.*` im `Condition` Element. 

```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}
```

Um diese Richtlinie zu aktualisieren, wird das `Condition` Element der Richtlinie aktualisiert und umfasst nun IPv6 Adressbereiche `2001:DB8:1234:5678::/64` und`2001:cdba:3257:8593::/64`.

**Anmerkung**  
Geben Sie NOT REMOVE die vorhandenen IPv4 Adressen ein, da sie aus Gründen der Abwärtskompatibilität benötigt werden.

```
"Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                    "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
```

Weitere Informationen zur Verwaltung von Zugriffsberechtigungen mit IAM finden Sie unter [Verwaltete Richtlinien und Inline-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) im *AWS Identity and Access Management Benutzerhandbuch*.

## Stellen Sie sicher, dass Ihr Kunde Folgendes unterstützt IPv6
<a name="testing-connection"></a>

Kunden, die den *Resource-Explorer-2 verwenden. Es wird empfohlen, den Endpunkt \$1region\$1 .api.aws* zu überprüfen, ob ihre Clients auf andere Endpoints zugreifen können, die bereits aktiviert sind. AWS-Service IPv6 In den folgenden Schritten wird beschrieben, wie Sie diese Endpunkte verifizieren können. 

*Dieses Beispiel verwendet Linux und Curl Version 8.6.0 und verwendet die [Amazon Athena-Servicendpunkte, für die Endpunkte](https://docs.aws.amazon.com/general/latest/gr/athena.html) IPv6 aktiviert sind, die sich in der api.aws-Domain befinden.* 

**Anmerkung**  
Wechseln Sie zu derselben Region AWS-Region , in der sich der Client befindet. In diesem Beispiel verwenden wir den `us-east-1` Endpunkt USA Ost (Nord-Virginia).

1. Ermitteln Sie mithilfe des folgenden curl-Befehls, ob der Endpunkt mit einer IPv6 Adresse aufgelöst wird. 

   ```
   dig +short AAAA athena.us-east-1.api.aws
   2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
   2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
   2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
   ```

1. Stellen Sie mithilfe IPv6 des folgenden curl-Befehls fest, ob das Client-Netzwerk eine Verbindung herstellen kann. 

   ```
   curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
   
   remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
   response code: 404
   ```

   Wenn eine Remote-IP identifiziert wurde **und** der Antwortcode nicht angegeben ist`0`, wurde mithilfe IPv6 von erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt.

Wenn die Remote-IP leer ist oder der Antwortcode leer ist`0`, ist das Client-Netzwerk oder der Netzwerkpfad zum Endpunkt IPv4 -only. Sie können diese Konfiguration mit dem folgenden curl-Befehl überprüfen. 

```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 3.210.103.49
response code: 404
```

Wenn eine Remote-IP identifiziert wurde **und** der Antwortcode nicht angegeben ist`0`, wurde mithilfe IPv4 von erfolgreich eine Netzwerkverbindung zum Endpunkt hergestellt. Die Remote-IP sollte eine IPv4 Adresse sein, da das Betriebssystem das für den Client gültige Protokoll auswählen sollte. Wenn es sich bei der Remote-IP nicht um eine IPv4 Adresse handelt, verwenden Sie den folgenden Befehl, um die Verwendung IPv4 von curl zu erzwingen. 

```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 35.170.237.34
response code: 404
```