Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tingkatkan kebijakan IAM ke IPv6
Pelanggan Internet Monitor menggunakan kebijakan IAM untuk menetapkan rentang alamat IP yang diizinkan, untuk mencegah alamat IP apa pun di luar rentang yang dikonfigurasi agar tidak dapat mengakses Internet Monitor APIs.
Internetmonitor. region
Titik akhir .api.aws, tempat Anda mengakses Internet Monitor APIs, sedang ditingkatkan untuk mendukung dual-stack (and). IPv4 IPv6
Kebijakan penyaringan alamat IP yang tidak diperbarui untuk menangani IPv6 alamat dapat mengakibatkan klien kehilangan akses ke Internet Monitor APIs.
Pelanggan yang terkena dampak peningkatan untuk menyertakan IPv6
Pelanggan yang menggunakan dual-stack dengan kebijakan yang berisi filter AWS:sourceIP terpengaruh oleh peningkatan ini. Dual-stack berarti bahwa jaringan mendukung keduanya dan IPv4 . IPv6
Jika Anda menggunakan dual-stack, Anda harus memperbarui kebijakan IAM Anda yang saat ini dikonfigurasi dengan alamat IPv4 format untuk menyertakan IPv6 alamat format.
Berikut ini merangkum tindakan yang disarankan, tergantung pada skenario Anda. Untuk mengonfirmasi titik akhir yang digunakan SDK, lihat Mengidentifikasi titik akhir Monitor Internet yang digunakan oleh kode Anda.
Titik Akhir | Menggunakan kebijakan IAM dengan aws:sourceIp kondisi? |
Tindakan yang disarankan |
---|---|---|
|
Ya |
Untuk membatasi akses IPv4 hanya, jangan mengambil tindakan lebih lanjut. Atau, jika Anda mengantisipasi bahwa Anda akan membutuhkan IPv6 dukungan di masa depan, Anda dapat mengambil tindakan untuk memastikan kompatibilitas dengan keduanya IPv4 dan IPv6. Untuk memastikan kompatibilitas future, pada atau setelah 1 November 2024, perbarui SDK Anda, lalu perbarui aplikasi Anda untuk menggunakan titik akhir dual-stack dengan menyetelnya. Jika Anda memilih untuk menggunakan keduanya IPv4 dan IPv6, Anda juga harus memperbarui kondisi pemfilteran alamat IP ( |
|
Tidak |
Untuk membatasi akses IPv4 hanya, jangan mengambil tindakan lebih lanjut. Atau, jika Anda mengantisipasi bahwa Anda akan membutuhkan IPv6 dukungan di masa depan, Anda dapat mengambil tindakan untuk memastikan kompatibilitas dengan keduanya IPv4 dan IPv6. Untuk memastikan kompatibilitas future, pada atau setelah 1 November 2024, perbarui SDK Anda, lalu perbarui aplikasi Anda untuk menggunakan titik akhir dual-stack dengan menyetelnya. |
|
Ya |
Saat ini, titik akhir ini hanya IPV4 mendukung. Pada 1 November 2024, IPv6 akan diaktifkan pada titik akhir ini. Untuk memastikan kompatibilitas future dengan keduanya IPv4 dan IPv6, pada atau setelah 1 November 2024, perbarui SDK Anda, lalu perbarui aplikasi Anda untuk menggunakan titik akhir tumpukan ganda dengan menyetelnya. Ketika Anda membuat perubahan untuk menggunakan keduanya IPv4 dan IPv6, Anda juga harus memperbarui kondisi pemfilteran alamat IP ( Jika Anda ingin membatasi akses IPv4 hanya, atur |
|
Tidak |
Saat ini, titik akhir ini hanya IPV4 mendukung. Pada 1 November 2024, IPv6 akan diaktifkan pada titik akhir ini. Untuk memastikan kompatibilitas future dengan keduanya IPv4 dan IPv6, pada atau setelah 1 November 2024, perbarui SDK Anda, lalu perbarui aplikasi Anda untuk menggunakan titik akhir tumpukan ganda dengan menyetelnya. Jika Anda ingin membatasi akses IPv4 hanya, atur |
Untuk bantuan terkait masalah akses, hubungi Dukungan
Apa itu IPv6?
IPv6 adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikan IPv4. IPv4 menggunakan skema pengalamatan 32-bit, untuk mendukung 4,3 miliar perangkat. IPv6 Sebaliknya menggunakan pengalamatan 128-bit, untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.
Berikut ini adalah contoh IPv6 alamat:
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
IPv6 menawarkan ruang alamat yang lebih besar, peningkatan efisiensi perutean, dan dukungan yang lebih baik untuk layanan internet baru. Dengan memperbarui ke dual-stack dan mendukung IPv6, Internet Monitor memungkinkan peningkatan kinerja dan skalabilitas. Ikuti langkah-langkah di bagian ini untuk memperbarui konfigurasi Anda dan memanfaatkan dukungan dual-stack.
Identifikasi titik akhir Internet Monitor yang digunakan oleh kode Anda
Jika Anda menggunakan Internet Monitor SDK, mulailah dengan memverifikasi titik akhir mana yang digunakan kode Anda: titik akhir atau IPv4 titik akhir dual-stack (dan). IPv4 IPv6 Jika Anda tidak menggunakan SDK dengan Internet Monitor, Anda dapat melewati bagian ini.
Anda dapat menjalankan contoh kode berikut untuk menentukan titik akhir Internet Monitor yang Anda gunakan. Untuk contoh ini, kami menggunakan Internet Monitor SDK for Go di Wilayah AS Timur (Virginia N.).
package main import ( "fmt" "log" "github.com/aws/aws-sdk-go/aws" "github.com/aws/aws-sdk-go/aws/session" "github.com/aws/aws-sdk-go/service/internetmonitor" ) func main() { // Create a new session with the default configuration sess := session.Must(session.NewSession(&aws.Config{ Region: aws.String("us-east-1"), })) // Create a new Internet Monitor client internetMonitorClient := internetmonitor.New(sess) // Get the endpoint URL endpoint := internetMonitorClient.Endpoint fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint) }
Ketika Anda menjalankan kode ini, ia mengembalikan titik akhir Internet Monitor. Jika Anda melihat respons berikut, Anda menggunakan domain Internet Monitor yang hanya mendukung IPv4. Anda bisa tahu karena format URL endpoint termasukamazonaws.com
.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com
Jika Anda melihat respons berikut, maka Anda menggunakan domain yang sedang ditingkatkan untuk mendukung dual-stack (IPv4 and). IPv6 Di sini, Anda dapat mengetahui karena URL endpoint termasukapi.aws
. Namun, perhatikan bahwa hingga pemutakhiran selesai, titik akhir ini hanya IPv4 mendukung.
Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws
Memperbarui kebijakan IAM untuk IPv6
Kebijakan IAM menggunakan aws:SourceIp
filter untuk mengatur rentang alamat IP yang diizinkan.
Dual-stack mendukung keduanya IPv4 dan IPV6 lalu lintas. Jika jaringan Anda menggunakan dual-stack, Anda harus memastikan bahwa setiap kebijakan IAM yang digunakan untuk pemfilteran alamat IP diperbarui untuk menyertakan rentang alamat. IPv6
Misalnya, kebijakan ini memungkinkan rentang IPv4 alamat 192.0.2.0.*
dan203.0.113.0.*
, diidentifikasi dalam Condition
elemen.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Untuk memperbarui kebijakan ini, kami akan mengubah Condition
elemen kebijakan untuk menambahkan rentang IPv6 alamat, seperti yang ditunjukkan pada contoh berikut:
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*203.0.113.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "
*2001:DB8:1234:5678::/64*
", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*
" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
penting
Jangan hapus IPv4 alamat yang ada dalam kebijakan. Mereka diperlukan untuk kompatibilitas mundur.
Untuk informasi selengkapnya tentang mengelola izin akses dengan IAM, lihat Kebijakan terkelola dan kebijakan sebaris di Panduan Pengguna.AWS Identity and Access Management
Uji jaringan setelah memperbarui kebijakan
Setelah memperbarui kebijakan IAM untuk menyertakan dukungan untuk IPv6 alamat, kami sarankan Anda menguji apakah jaringan Anda dapat mengakses titik IPv6 akhir. Bagian ini memberikan beberapa contoh, tergantung pada sistem operasi yang Anda gunakan.
Uji jaringan dengan Linux/Unix atau Mac OS X
Jika Anda menggunakan Linux/Unix atau Mac OS X, Anda dapat menguji apakah jaringan Anda dapat mengakses IPv6 titik akhir dengan menggunakan perintah curl berikut.
curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/
Jika Anda terhubung IPv6, alamat IP yang terhubung menampilkan informasi yang mirip dengan yang berikut ini:
* About to connect() to aws.amazon.com port 443 (#0) * Trying IPv6 address... connected * Connected to aws.amazon.com (IPv6 address) port 443 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: aws.amazon.com
Uji jaringan dengan Windows
Jika Anda menggunakan Windows, Anda dapat menguji apakah jaringan Anda dapat mengakses titik akhir dual-stack melalui IPv6 atau IPv4 dengan menggunakan ping
perintah, seperti berikut ini:
ping aws.amazon.com
Jika ping
mengakses titik akhir di atas IPv6, perintah mengembalikan IPv6 alamat.
Verifikasi bahwa klien dapat mendukung IPv6
Sebaiknya sebelum Anda beralih menggunakan internetmonitor. Titik akhir {region} .api.aws, bahwa Anda terlebih dahulu memverifikasi bahwa klien Anda dapat mengakses Layanan AWS titik akhir lain yang sudah diaktifkan. IPv6 Langkah-langkah berikut menjelaskan cara memverifikasi ini dengan menggunakan IPv6 endpoint yang ada.
Contoh ini menggunakan Linux dan curl versi 8.6.0, dan menggunakan layanan Amazon Athena, yang memiliki titik akhir yang IPv6 diaktifkan yang terletak di domain api.aws.
catatan
Alihkan Anda Wilayah AWS ke Wilayah yang sama di mana klien berada. Dalam contoh ini, kita menggunakan US East (N. Virginia) — us-east-1
endpoint.
Gunakan contoh berikut untuk memverifikasi bahwa klien Anda dapat mengakses titik AWS akhir IPv6 yang diaktifkan.
-
Verifikasi bahwa titik akhir Athena menyelesaikan dengan IPv6 alamat dengan menggunakan perintah berikut.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
-
Sekarang, tentukan apakah jaringan klien Anda dapat membuat koneksi menggunakan IPv6 dengan menggunakan perintah berikut:
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404
Jika alamat IP jarak jauh diidentifikasi dan kode respons tidak
0
, koneksi jaringan berhasil dibuat ke titik akhir menggunakan IPv6.Jika alamat IP jarak jauh kosong atau kode responsnya
0
, jaringan klien atau jalur jaringan ke titik akhir adalah IPv4 -only. Anda dapat memverifikasi ini dengan perintah curl berikut:curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404
Jika Anda menjalankan perintah ini, dan alamat IP jarak jauh diidentifikasi dan kode respons tidak
0
, koneksi jaringan berhasil dibuat ke titik akhir menggunakan IPv4.