Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tingkatkan kebijakan IAM ke IPv6

Pelanggan Internet Monitor menggunakan kebijakan IAM untuk menetapkan rentang alamat IP yang diizinkan, untuk mencegah alamat IP apa pun di luar rentang yang dikonfigurasi agar tidak dapat mengakses Internet Monitor APIs.

Internetmonitor. regionTitik akhir .api.aws, tempat Anda mengakses Internet Monitor APIs, sedang ditingkatkan untuk mendukung dual-stack (and). IPv4 IPv6

Kebijakan penyaringan alamat IP yang tidak diperbarui untuk menangani IPv6 alamat dapat mengakibatkan klien kehilangan akses ke Internet Monitor APIs.

Pelanggan yang terkena dampak peningkatan untuk menyertakan IPv6

Pelanggan yang menggunakan dual-stack dengan kebijakan yang berisi filter AWS:sourceIP terpengaruh oleh peningkatan ini. Dual-stack berarti bahwa jaringan mendukung keduanya dan IPv4 . IPv6

Jika Anda menggunakan dual-stack, Anda harus memperbarui kebijakan IAM Anda yang saat ini dikonfigurasi dengan alamat IPv4 format untuk menyertakan IPv6 alamat format.

Berikut ini merangkum tindakan yang disarankan, tergantung pada skenario Anda. Untuk mengonfirmasi titik akhir yang digunakan SDK, lihat Mengidentifikasi titik akhir Monitor Internet yang digunakan oleh kode Anda.

Untuk bantuan terkait masalah akses, hubungi Dukungan.

Apa itu IPv6?

IPv6 adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikan IPv4. IPv4 menggunakan skema pengalamatan 32-bit, untuk mendukung 4,3 miliar perangkat. IPv6 Sebaliknya menggunakan pengalamatan 128-bit, untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.

Berikut ini adalah contoh IPv6 alamat:

2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965

IPv6 menawarkan ruang alamat yang lebih besar, peningkatan efisiensi perutean, dan dukungan yang lebih baik untuk layanan internet baru. Dengan memperbarui ke dual-stack dan mendukung IPv6, Internet Monitor memungkinkan peningkatan kinerja dan skalabilitas. Ikuti langkah-langkah di bagian ini untuk memperbarui konfigurasi Anda dan memanfaatkan dukungan dual-stack.

Identifikasi titik akhir Internet Monitor yang digunakan oleh kode Anda

Jika Anda menggunakan Internet Monitor SDK, mulailah dengan memverifikasi titik akhir mana yang digunakan kode Anda: titik akhir atau IPv4 titik akhir dual-stack (dan). IPv4 IPv6 Jika Anda tidak menggunakan SDK dengan Internet Monitor, Anda dapat melewati bagian ini.

Anda dapat menjalankan contoh kode berikut untuk menentukan titik akhir Internet Monitor yang Anda gunakan. Untuk contoh ini, kami menggunakan Internet Monitor SDK for Go di Wilayah AS Timur (Virginia N.).

package main

import (
    "fmt"
    "log"
    
    "github.com/aws/aws-sdk-go/aws"
    "github.com/aws/aws-sdk-go/aws/session"
    "github.com/aws/aws-sdk-go/service/internetmonitor"
)

func main() {
    // Create a new session with the default configuration
    sess := session.Must(session.NewSession(&aws.Config{
        Region: aws.String("us-east-1"),
    }))

    // Create a new Internet Monitor client
    internetMonitorClient := internetmonitor.New(sess)

    // Get the endpoint URL
    endpoint := internetMonitorClient.Endpoint

    fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint)
}

Ketika Anda menjalankan kode ini, ia mengembalikan titik akhir Internet Monitor. Jika Anda melihat respons berikut, Anda menggunakan domain Internet Monitor yang hanya mendukung IPv4. Anda bisa tahu karena format URL endpoint termasukamazonaws.com.

Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com

Jika Anda melihat respons berikut, maka Anda menggunakan domain yang sedang ditingkatkan untuk mendukung dual-stack (IPv4 and). IPv6 Di sini, Anda dapat mengetahui karena URL endpoint termasukapi.aws. Namun, perhatikan bahwa hingga pemutakhiran selesai, titik akhir ini hanya IPv4 mendukung.

Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws

Memperbarui kebijakan IAM untuk IPv6

Kebijakan IAM menggunakan aws:SourceIp filter untuk mengatur rentang alamat IP yang diizinkan.

Dual-stack mendukung keduanya IPv4 dan IPV6 lalu lintas. Jika jaringan Anda menggunakan dual-stack, Anda harus memastikan bahwa setiap kebijakan IAM yang digunakan untuk pemfilteran alamat IP diperbarui untuk menyertakan rentang alamat. IPv6

Misalnya, kebijakan ini memungkinkan rentang IPv4 alamat 192.0.2.0.* dan203.0.113.0.*, diidentifikasi dalam Condition elemen.

# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

Untuk memperbarui kebijakan ini, kami akan mengubah Condition elemen kebijakan untuk menambahkan rentang IPv6 alamat, seperti yang ditunjukkan pada contoh berikut:

"Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>>
                    "*203.0.113.0/24*", <<Existing IPv4 address  - DO NOT REMOVE>>
                    "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                    "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }

Untuk informasi selengkapnya tentang mengelola izin akses dengan IAM, lihat Kebijakan terkelola dan kebijakan sebaris di Panduan Pengguna.AWS Identity and Access Management

Uji jaringan setelah memperbarui kebijakan

Setelah memperbarui kebijakan IAM untuk menyertakan dukungan untuk IPv6 alamat, kami sarankan Anda menguji apakah jaringan Anda dapat mengakses titik IPv6 akhir. Bagian ini memberikan beberapa contoh, tergantung pada sistem operasi yang Anda gunakan.

Uji jaringan dengan Linux/Unix atau Mac OS X

Jika Anda menggunakan Linux/Unix atau Mac OS X, Anda dapat menguji apakah jaringan Anda dapat mengakses IPv6 titik akhir dengan menggunakan perintah curl berikut.

curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/

Jika Anda terhubung IPv6, alamat IP yang terhubung menampilkan informasi yang mirip dengan yang berikut ini:

* About to connect() to aws.amazon.com port 443 (#0)
*   Trying IPv6 address... connected
* Connected to aws.amazon.com (IPv6 address) port 443 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: aws.amazon.com

Uji jaringan dengan Windows

Jika Anda menggunakan Windows, Anda dapat menguji apakah jaringan Anda dapat mengakses titik akhir dual-stack melalui IPv6 atau IPv4 dengan menggunakan ping perintah, seperti berikut ini:

ping aws.amazon.com

Jika ping mengakses titik akhir di atas IPv6, perintah mengembalikan IPv6 alamat.

Verifikasi bahwa klien dapat mendukung IPv6

Sebaiknya sebelum Anda beralih menggunakan internetmonitor. Titik akhir {region} .api.aws, bahwa Anda terlebih dahulu memverifikasi bahwa klien Anda dapat mengakses Layanan AWS titik akhir lain yang sudah diaktifkan. IPv6 Langkah-langkah berikut menjelaskan cara memverifikasi ini dengan menggunakan IPv6 endpoint yang ada.

Contoh ini menggunakan Linux dan curl versi 8.6.0, dan menggunakan layanan Amazon Athena, yang memiliki titik akhir yang IPv6 diaktifkan yang terletak di domain api.aws.

Gunakan contoh berikut untuk memverifikasi bahwa klien Anda dapat mengakses titik AWS akhir IPv6 yang diaktifkan.