在 IAM 中使用 IPv6 地址和 Amazon 私有 CA - Amazon 私有证书颁发机构
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 IAM 中使用 IPv6 地址和 Amazon 私有 CA

在尝试访问 Amazon 私有证书颁发机构 之前 IPv6,请确保所有包含 IP 地址限制的 IAM 策略都已更新为包含 IPv6 地址范围。未更新以处理 IPv6 地址的基于 IP 的策略可能会导致客户端在开始使用时错误地丢失或获得访问权限 IPv6。要了解有关 Amazon 私有 CA 双栈支持的更多信息,请参阅双堆栈端点支持

重要

这些语句并未允许任何操作。请将这些语句与允许特定操作的其他语句结合使用。

以下语句明确拒绝来自 IPv4 地址192.0.2.*范围的请求访问所有 Amazon 私有 CA 权限。任何超出此范围的 IP 地址都不会被明确拒绝 Amazon 私有 CA 权限。由于所有 IPv6 地址都在被拒绝的范围之外,因此此语句并未明确拒绝任何 IPv6 地址的 Amazon 私有 CA 权限。


{
    "Sid": "DenyPrivateCAPermissions",
    "Effect": "Deny",
    "Action": [
        "acm-pca:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [
                "192.0.2.0/24"
            ]
        }
    }
}

您可以修改Condition元素以拒绝 IPv4 (192.0.2.0/24) 和 IPv6 (2001:db8::/32) 地址范围,如以下示例所示:


{
    "Sid": "DenyPrivateCAPermissions",
    "Effect": "Deny",
    "Action": [
        "acm-pca:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [
                "192.0.2.0/24",
                "2001:db8::/32"
            ]
        }
    }
}