Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Aggiornamento delle policy IAM a IPv6
I clienti di Monitor Internet utilizzano le policy IAM per impostare un intervallo consentito di indirizzi IP, per impedire a qualsiasi indirizzo IP al di fuori dell'intervallo configurato di accedere alle API di Monitor Internet.
*Internet Monitor. {{region}}L'endpoint .api.aws*, da cui si accede alle API di Internet Monitor, viene aggiornato per supportare il dual-stack (IPv4 e IPv6).
Le policy di filtro degli indirizzi IP non aggiornate per gestire gli indirizzi IPv6 potrebbero comportare la perdita dell'accesso alle API di Monitor Internet.
## Clienti interessati dall'aggiornamento per l'inclusione di IPv6
*I clienti che utilizzano un dual-stack con policy che contengono il filtro AWS:SourceIP sono interessati da questo aggiornamento.* Dual-stack significa che la rete supporta sia IPv4 che IPv6.
Se si utilizza il dual-stack, è necessario aggiornare le policy IAM attualmente configurate con indirizzi in formato IPv4 per includere gli indirizzi in formato IPv6.
Di seguito sono riepilogate le azioni consigliate, a seconda dello scenario. Per confermare l'endpoint utilizzato dal tuo SDK, consulta [Identificazione dell'endpoint di Monitor Internet utilizzato dal proprio codice](#IMConfirmSDKEndpoint).
| Endpoint | Stai utilizzando la policy IAM con condizione `aws:sourceIp`? | Azione consigliata |
| --- | --- | --- |
| `internetmonitor.region.amazonaws.com` (non dual-stack) | Sì | Per limitare l'accesso solo a IPv4, non sono necessarie ulteriori azioni. In alternativa, se si prevede di avere bisogno del supporto IPv6 in futuro, è possibile intervenire per garantire la compatibilità sia con IPv4 che con IPv6.
Per garantire la compatibilità futura, a partire dal 1° novembre 2024, aggiorna l'SDK, quindi aggiorna l'applicazione per utilizzare l'endpoint dual-stack tramite l'impostazione `useDualstackEndpoint=true`. [Per ulteriori informazioni, consulta Dual-stack e FIPS endpoint.](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html)
Se si sceglie di utilizzare sia IPv4 che IPv6, è necessario anche aggiornare la condizione di filtro degli indirizzi IP (`aws:sourceIp`) nelle policy IAM per includere gli indirizzi IPv6. |
| `internetmonitor.region.amazonaws.com` (non dual-stack) | No | Per limitare l'accesso solo a IPv4, non sono necessarie ulteriori azioni. In alternativa, se si prevede di avere bisogno del supporto IPv6 in futuro, è possibile intervenire per garantire la compatibilità sia con IPv4 che con IPv6.
Per garantire la compatibilità futura, a partire dal 1° novembre 2024, aggiorna l'SDK, quindi aggiorna l'applicazione per utilizzare l'endpoint dual-stack tramite l'impostazione `useDualstackEndpoint=true`. Per ulteriori informazioni, vedere Endpoints [Dual-stack FIPS](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html). |
| `internetmonitor.region.api.aws` | Sì | Per garantire la compatibilità futura con IPv4 e IPv6, aggiorna l'SDK, quindi aggiorna l'applicazione per utilizzare l'endpoint dual-stack tramite l'impostazione `useDualstackEndpoint=true`. Per ulteriori informazioni, vedere Endpoints [Dual-stack FIPS](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html).
Quando si applica la modifica per utilizzare sia IPv4 che IPv6, è necessario anche aggiornare la condizione di filtro degli indirizzi IP (`aws:sourceIp`) nelle policy IAM per includere gli indirizzi IPv6.
Se invece si desidera limitare l'accesso solo a IPv4, impostare `useDualstackEndpoint=false`. Per ulteriori informazioni, vedere Endpoints [Dual-stack FIPS](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html). |
| `internetmonitor.region.api.aws` | No | Per garantire la compatibilità futura con IPv4 e IPv6, aggiorna l'SDK, quindi aggiorna l'applicazione per utilizzare l'endpoint dual-stack tramite l'impostazione `useDualstackEndpoint=true`. Per ulteriori informazioni, vedere Endpoints [Dual-stack FIPS](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html).
Se invece si desidera limitare l'accesso solo a IPv4, impostare `useDualstackEndpoint=false`. Per ulteriori informazioni, vedere Endpoints [Dual-stack FIPS](https://docs.aws.amazon.com/sdkref/latest/guide/feature-endpoints.html). |
Per ricevere assistenza in caso di problemi di accesso, contattare [Supporto](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
## Cos'è IPv6?
IPv6 è lo standard IP di nuova generazione destinato a sostituire eventualmente l'IPv4. IPv4 utilizza uno schema di indirizzamento a 32 bit per supportare 4,3 miliardi di dispositivi. IPv6 utilizza invece l'indirizzamento a 128 bit, per supportare circa 340 trilioni di trilioni di dispositivi (ossia due elevato alla centoventottesima potenza).
Di seguito sono riportati alcuni esempi di indirizzi IPv6:
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
IPv6 offre uno spazio di indirizzi più ampio, una maggiore efficienza di routing e un migliore supporto per i nuovi servizi Internet. Con l'aggiornamento al dual-stack e il supporto di IPv6, Monitor Internet consente prestazioni e scalabilità migliorate. Segui i passaggi in questa sezione per aggiornare le configurazioni e avvalerti del supporto dual-stack.
## Identificazione dell'endpoint di Monitor Internet utilizzato dal proprio codice
Se utilizzi un SDK Monitor Internet, inizia verificando quale endpoint viene utilizzato dal codice: l'endpoint IPv4 o l'endpoint dual-stack (IPv4 e IPv6). Se non utilizzi un SDK con Monitor Internet, puoi ignorare questa sezione.
Puoi eseguire il seguente esempio di codice per determinare l'endpoint Monitor Internet che stai utilizzando. Per questo esempio, stiamo utilizzando l'SDK Monitor Internet per Go nella regione Stati Uniti orientali (Virginia settentrionale).
```
package main
import (
"fmt"
"log"
"github.com/aws/aws-sdk-go/aws"
"github.com/aws/aws-sdk-go/aws/session"
"github.com/aws/aws-sdk-go/service/internetmonitor"
)
func main() {
// Create a new session with the default configuration
sess := session.Must(session.NewSession(&aws.Config{
Region: aws.String("us-east-1"),
}))
// Create a new Internet Monitor client
internetMonitorClient := internetmonitor.New(sess)
// Get the endpoint URL
endpoint := internetMonitorClient.Endpoint
fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint)
}
```
Quando esegui questo codice, ti restituisce l'endpoint Monitor Internet. Se vedi la seguente risposta, stai utilizzando il dominio Monitor Internet che supporta solo IPv4. Lo si capisce perché il formato dell'URL dell'endpoint include `amazonaws.com`.
```
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com
```
Se invece vedi la seguente risposta, allora stai utilizzando il dominio che viene aggiornato per supportare il dual-stack (IPv4 e IPv6). Qui lo puoi capire perché l'URL dell'endpoint include `api.aws`. Tuttavia, tieni presente che fino al completamento dell'aggiornamento, questo endpoint supporta solo IPv4.
```
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws
```
## Aggiornamento di una policy IAM per IPv6
Le policy IAM utilizzano il filtro `aws:SourceIp` per impostare un intervallo consentito di indirizzi IP.
Dual-stack supporta sia il traffico IPv4 che IPV6. Se la rete utilizza il dual-stack, è necessario assicurarsi che tutte le policy IAM utilizzate per il filtro degli indirizzi IP siano aggiornate per includere gli intervalli di indirizzi IPv6.
Ad esempio, questa policy consente gli intervalli di indirizzi IPv4 `192.0.2.0.*` e `203.0.113.0.*`, identificati nell'elemento `Condition`.
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Per aggiornare questa policy, ne modificheremo l'elemento `Condition` aggiungendo intervalli di indirizzi IPv6, come mostrato nell'esempio seguente:
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"{{*2001:DB8:1234:5678::/64*}}", <>
"{{*2001:cdba:3257:8593::/64*}}" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
**Importante**
Non rimuovere gli indirizzi IPv4 esistenti nella policy. Sono necessari per la compatibilità con le versioni precedenti.
Per ulteriori informazioni sulla gestione delle autorizzazioni di accesso con IAM, consulta la sezione [Policy gestite e policy inline](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) nella *Guida per l'utente di AWS Identity and Access Management *.
## Verifica della rete dopo l'aggiornamento delle policy
Dopo aver aggiornato le policy IAM includendo il supporto per gli indirizzi IPv6, ti consigliamo di verificare che la tua rete possa accedere a un endpoint IPv6. Questa sezione fornisce diversi esempi, a seconda del sistema operativo utilizzato.
### Prova la rete con Linux/Unix o Mac OS X
Se utilizzi Linux/Unix o Mac OS X, puoi verificare che la tua rete sia in grado di accedere all'endpoint IPv6 utilizzando il seguente comando curl.
`curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/`
Se la connessione è stata eseguita su IPv6, l'indirizzo IP connesso visualizza informazioni simili alle seguenti:
```
* About to connect() to aws.amazon.com port 443 (#0)
* Trying IPv6 address... connected
* Connected to aws.amazon.com (IPv6 address) port 443 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: aws.amazon.com
```
### Verifica della rete con Windows
Se utilizzi Windows, puoi verificare che la rete sia in grado di accedere a un endpoint dual-stack su IPv6 o IPv4 tramite un comando `ping`, come il seguente:
`ping aws.amazon.com`
Se `ping` accede all'endpoint tramite IPv6, il comando restituisce indirizzi IPv6.
## Verifica del supporto IPv6 da parte dei client
*Ti consigliamo di farlo prima di passare all'utilizzo di InternetMonitor. endpoint {region} .api.aws*, di verificare innanzitutto che i clienti possano accedere ad altri endpoint già esistenti. Servizio AWS IPv6-enabled La procedura seguente descrive come effettuare questa verifica mediante l'utilizzo di un endpoint IPv6 esistente.
*Questo esempio utilizza Linux e curl versione 8.6.0 e utilizza il [servizio Amazon](https://docs.aws.amazon.com/general/latest/gr/athena.html) Athena, che ha IPv6-enabled endpoint situati nel dominio api.aws.*
**Nota**
Passa alla stessa regione Regione AWS in cui si trova il client. In questo esempio, utilizziamo l'endpoint Stati Uniti orientali (Virginia settentrionale) - `us-east-1`.
Usa l'esempio seguente per verificare che i tuoi clienti possano accedere a un IPv6-enabled AWS endpoint.
1. Verifica che l'endpoint di Athena si risolva in un indirizzo IPv6 usando il seguente comando.
```
dig +short AAAA athena.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
```
1. Ora, stabilisci se la tua rete client può effettuare una connessione utilizzando IPv6 attraverso il seguente comando:
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
response code: 404
```
Se l'indirizzo IP remoto è stato identificato **e** il codice di risposta non è `0`, significa che è stata stabilita correttamente una connessione di rete all'endpoint tramite IPv6.
Se l'indirizzo IP remoto è vuoto o il codice di risposta è lo è`0`, la rete client o il percorso di rete verso l'endpoint è. IPv4-only Puoi verificarlo con il seguente comando curl:
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 3.210.103.49
response code: 404
```
Se esegui questo comando, e viene identificato un indirizzo IP remoto **e** il codice di risposta non è `0`, è stata stabilita correttamente una connessione di rete all'endpoint utilizzando IPv4.