本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将 IAM 策略升级到 IPv6
AWS Marketplace 客户使用 IAM 策略来设置允许的 IP 地址范围,并防止配置范围之外的任何 IP 地址能够访问 AWS Marketplace 资源。
AWS Marketplace 网站域名正在升级为该 IPv6 协议。
未更新以处理 IPv6 地址的 IP 地址筛选策略可能会导致客户端无法访问 AWS Marketplace 网站上的资源。
## 受从升级 IPv4 到影响的客户 IPv6
使用双寻址的客户会受到此次升级的影响。双寻址意味着网络同时支持 IPv4 和 IPv6。
如果您使用的是双地址,则必须更新当前配置了 IPv4 格式地址的 IAM 策略,使其包含 IPv6 格式地址。
有关访问问题的帮助,请联系 [支持](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create)。
**注意**
以下客户*不受*此次升级的影响:
*仅*使用 IPv4 网络的客户。
*仅*使用 IPv6 网络的客户。
## 什么是 IPv6?
IPv6 是旨在最终取代的下一代 IP 标准 IPv4。之前的版本使用 32 位寻址方案来支持 43 亿台设备。 IPv4 IPv6 而是使用 128 位寻址来支持大约 340 万亿亿亿美元(或第 128 功率的 2 倍)设备。
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
## 更新的 IAM 政策 IPv6
目前,IAM 策略用于使用 `aws:SourceIp` 筛选器设置允许的 IP 地址范围。
双寻址同时支持 IPv4 和 IPV6 流量。如果您的网络使用双寻址,则必须确保更新用于 IP 地址筛选的所有 IAM 策略以包含 IPv6 地址范围。
例如,此基于 IAM 身份的策略在条件元素中标识了允许 IPv4 的地址 CIDR 范围 192.0.2.0/24 和 203.0.113.0/24。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "aws-marketplace:*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
------
有关 IAM 基于身份的策略示例的更多信息,请参阅[《*AWS Identity and Access Management 用户*指南》中的AWS: AWS 根据源 IP 拒绝访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html)。
为了更新此政策,策略的`Condition`元素已更新为包括 IPv6 地址范围`2001:DB8:1234:5678::/64`和`2001:cdba:3257:8593::/64`。
**注意**
请勿删除现有 IPv4 地址,因为它们是向后兼容所必需的。
```
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"192.0.2.0/24", <>
"203.0.113.0/24", <>
"2001:DB8:1234:5678::/64", <>
"2001:cdba:3257:8593::/64" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
有关使用 IAM 管理访问权限的更多信息,请参阅《AWS Identity and Access Management 用户指南》**中的[托管策略与内联策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)。
## 从更新 IPv4 到之后测试网络 IPv6
将 IAM 策略更新为该 IPv6 格式后,您可以测试您的网络是否正在访问 IPv6 终端节点和 AWS Marketplace 网站功能。
**Topics**
+ [使用 Linux/Unix 或 Mac OS X 测试网络](#testing-linux)
+ [使用 Windows 7 或 Windows 10 测试网络](#testing-widows)
+ [测试 AWS Marketplace 网站](#testing-website)
### 使用 Linux/Unix 或 Mac OS X 测试网络
如果您使用的是 Mac Linux/Unix OS X,则可以使用以下 curl 命令测试您的网络是否正在访问 IPv6 端点。
```
curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/
```
例如,如果您通过连接 IPv6,则连接的 IP 地址会显示以下信息。
```
* About to connect() to aws.amazon.com port 443 (#0)
* Trying IPv6 address... connected
* Connected to aws.amazon.com (IPv6 address) port 443 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: aws.amazon.com
```
### 使用 Windows 7 或 Windows 10 测试网络
如果你使用的是 Windows 7 或 Windows 10,则可以测试你的网络是否可以通过 IPv6 或 IPv4访问双栈端点。使用以下示例中所示的 `ping` 命令。
```
ping aws.amazon.com
```
如果您通过访问终端节点,则此命令会返回 IPv6 地址 IPv6。
### 测试 AWS Marketplace 网站
更新后对 AWS Marketplace 网站功能的测试主要取决于您的政策的撰写方式和用途。通常,您应验证策略中指定的功能是否按预期运行。
以下场景可以帮助您开始测试 AWS Marketplace 网站功能。
作为 AWS Marketplace 网站上的买家,测试您是否可以完成以下任务:
+ 订阅 AWS Marketplace 产品。
+ 配置 AWS Marketplace 产品。
+ 发布或配送 AWS Marketplace 产品。
作为 AWS Marketplace 网站上的卖家,请测试您是否可以完成以下任务:
+ 管理您的现有 AWS Marketplace 产品。
+ 创建 AWS Marketplace 产品。