本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 IAM 中使用 IPv6 地址和 Amazon 私有 CA


在尝试访问 Amazon 私有证书颁发机构 之前 IPv6，请确保所有包含 IP 地址限制的 IAM 策略都已更新为包含 IPv6 地址范围。未更新以处理 IPv6 地址的基于 IP 的策略可能会导致客户端在开始使用时错误地丢失或获得访问权限 IPv6。要了解有关 Amazon 私有 CA 双栈支持的更多信息，请参阅[双堆栈端点支持](dual-stack-endpoint-support.md)。

**重要**  
这些语句并未允许任何操作。请将这些语句与允许特定操作的其他语句结合使用。

以下语句明确拒绝来自 IPv4 地址`192.0.2.*`范围的请求访问所有 Amazon 私有 CA 权限。任何超出此范围的 IP 地址都不会被明确拒绝 Amazon 私有 CA 权限。由于所有 IPv6 地址都在被拒绝的范围之外，因此此语句并未明确拒绝任何 IPv6 地址的 Amazon 私有 CA 权限。

```
{
    "Sid": "DenyPrivateCAPermissions",
    "Effect": "Deny",
    "Action": [
        "acm-pca:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [
                "192.0.2.0/24"
            ]
        }
    }
}
```

您可以修改`Condition`元素以拒绝 IPv4 (`192.0.2.0/24`) 和 IPv6 (`2001:db8::/32`) 地址范围，如以下示例所示：

```
{
    "Sid": "DenyPrivateCAPermissions",
    "Effect": "Deny",
    "Action": [
        "acm-pca:*"
    ],
    "Resource": "*",
    "Condition": {
        "NotIpAddress": {
            "aws:SourceIp": [
                "192.0.2.0/24",
                "2001:db8::/32"
            ]
        }
    }
}
```