翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# IAM ポリシーを にアップグレードする IPv6
<a name="arex-security-ipv6-upgrade"></a>

AWS Resource Explorer のお客様は、IAMポリシーを使用して IP アドレスの許容範囲を設定し、設定された範囲外の IP アドレスが Resource Explorer にアクセスできないようにしますAPIs。

*resource-explorer-2。*region*Resource Explorer がホストされている .api.aws* ドメインAPIsは、 IPv6に加えて をサポートするようにアップグレードされていますIPv4。

アドレスを処理するように更新されていない IP IPv6 アドレスフィルタリングポリシーは、クライアントが Resource Explorer APIドメインのリソースにアクセスできなくなる可能性があります。

## から IPv4 へのアップグレードの影響を受けるお客様 IPv6
<a name="customers-impacted"></a>

*aws:sourceIp* を含むポリシーでデュアルアドレス指定を使用しているお客様は、このアップグレードの影響を受けます。デュアルアドレス指定は、ネットワークが IPv4と の両方をサポートしていることを意味しますIPv6。

デュアルアドレス指定を使用している場合は、現在IPv4フォーマットアドレスで設定されているIAMポリシーを更新して、IPv6フォーマットアドレスを含める必要があります。

アクセスに関する問題については、[サポート](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create) にお問い合わせください。

**注記**  
次のお客様は、アップグレードの影響は受けません。**  
IPv4 ネットワーク*のみ*を利用しているお客様。
IPv6 ネットワーク*のみ*を利用しているお客様。

## IPv6 とは?
<a name="what-is-ipv6"></a>

IPv6 は、最終的に を置き換えることを意図した次世代 IP 標準ですIPv4。以前のバージョン ではIPv4、32 ビットのアドレス指定スキームを使用して 43 億台のデバイスをサポートしています。IPv6 代わりに、 は 128 ビットアドレス指定を使用して、約 340 兆兆 (または 128 番目の電力に 2) デバイスをサポートします。

```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```

## の IAMポリシーの更新 IPv6
<a name="updating-for-ipv6"></a>

IAM ポリシーは現在、 `aws:SourceIp` フィルターを使用して IP アドレスの許容範囲を設定するために使用されます。

デュアルアドレス指定は、 IPv4および IPV6トラフィックの両方をサポートします。ネットワークでデュアルアドレス指定を使用している場合は、IP アドレスフィルタリングに使用されるIAMポリシーがIPv6アドレス範囲を含むように更新されていることを確認する必要があります。

例えば、この Amazon S3 バケットポリシーは、 `Condition`要素`203.0.113.0.*`で許可されたIPv4アドレス範囲 `192.0.2.0.*` と を識別します。

```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}
```

このポリシーを更新するには、ポリシーの `Condition`要素が更新され、IPv6アドレス範囲 `2001:DB8:1234:5678::/64`と が含まれます`2001:cdba:3257:8593::/64`。

**注記**  
下位互換性のために必要になるため、NOTREMOVE既存のIPv4アドレスを実行します。

```
"Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                    "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                    "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
```

によるアクセス許可の管理の詳細についてはIAM、「 ユーザーガイド」の[「 管理ポリシーとインラインポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)*AWS Identity and Access Management *」を参照してください。

## クライアントが をサポートできることを確認する IPv6
<a name="testing-connection"></a>

*resource-explorer-2.\$1region\$1.api.aws* エンドポイントを使用しているお客様は、クライアントが既にIPv6有効になっている他の AWS のサービス エンドポイントにアクセスできるかどうかを確認することをお勧めします。次の手順では、これらのエンドポイントを検証する方法について説明します。

この例では、Linux および curl バージョン 8.6.0 を使用し、*api.aws* [ドメイン にあるエンドポイントを有効にした Amazon Athena サービス](https://docs.aws.amazon.com/general/latest/gr/athena.html)エンドポイントを使用します。 IPv6

**注記**  
 AWS リージョン を、クライアントが配置されているのと同じリージョンに切り替えます。この例では、米国東部 (バージニア北部) – `us-east-1`エンドポイントを使用します。

1. 次の curl コマンドを使用して、エンドポイントがIPv6アドレスで解決されるかどうかを確認します。

   ```
   dig +short AAAA athena.us-east-1.api.aws
   2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
   2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
   2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
   ```

1. 次の curl コマンドIPv6を使用して、クライアントネットワークが接続を行えるかどうかを確認します。

   ```
   curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
   
   remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
   response code: 404
   ```

   リモート IP が特定され**、**レスポンスコードが でない場合`0`、 を使用してエンドポイントへのネットワーク接続が正常に行われましたIPv6。

リモート IP が空白の場合、またはレスポンスコードが の場合`0`、クライアントネットワークまたはエンドポイントへのネットワークパスは IPv4のみになります。この設定は、次の curl コマンドで確認できます。

```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 3.210.103.49
response code: 404
```

リモート IP が特定され**、**レスポンスコードが でない場合`0`、 を使用してエンドポイントへのネットワーク接続が正常に行われましたIPv4。オペレーティングシステムはクライアントに有効なプロトコルを選択する必要があるため、リモート IP は IPv4 アドレスである必要があります。リモート IP がIPv4アドレスでない場合は、次のコマンドを使用して curl に の使用を強制しますIPv4。

```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws

remote ip: 35.170.237.34
response code: 404
```