Tingkatkan kebijakan IAM ke IPv6 - Amazon CloudWatch

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tingkatkan kebijakan IAM ke IPv6

Pelanggan Internet Monitor menggunakan kebijakan IAM untuk menetapkan rentang alamat IP yang diizinkan, untuk mencegah alamat IP apa pun di luar rentang yang dikonfigurasi agar tidak dapat mengakses Internet Monitor APIs.

Internetmonitor. regionTitik akhir .api.aws, tempat Anda mengakses Internet Monitor APIs, sedang ditingkatkan untuk mendukung dual-stack (and). IPv4 IPv6

Kebijakan penyaringan alamat IP yang tidak diperbarui untuk menangani IPv6 alamat dapat mengakibatkan klien kehilangan akses ke Internet Monitor APIs.

Pelanggan yang terkena dampak peningkatan untuk menyertakan IPv6

Pelanggan yang menggunakan dual-stack dengan kebijakan yang berisi filter AWS:sourceIP terpengaruh oleh peningkatan ini. Dual-stack berarti bahwa jaringan mendukung keduanya dan IPv4 . IPv6

Jika Anda menggunakan dual-stack, Anda harus memperbarui kebijakan IAM Anda yang saat ini dikonfigurasi dengan alamat IPv4 format untuk menyertakan IPv6 alamat format.

Berikut ini merangkum tindakan yang disarankan, tergantung pada skenario Anda. Untuk mengonfirmasi titik akhir yang digunakan SDK, lihat Mengidentifikasi titik akhir Monitor Internet yang digunakan oleh kode Anda.

Titik Akhir Menggunakan kebijakan IAM dengan aws:sourceIp kondisi? Tindakan yang disarankan

internetmonitor.region.amazonaws.com(bukan tumpukan ganda)

Ya

Untuk membatasi akses IPv4 hanya, jangan mengambil tindakan lebih lanjut. Atau, jika Anda mengantisipasi bahwa Anda akan membutuhkan IPv6 dukungan di masa depan, Anda dapat mengambil tindakan untuk memastikan kompatibilitas dengan keduanya IPv4 dan IPv6.

Untuk memastikan kompatibilitas future, pada atau setelah 1 November 2024, perbarui SDK Anda, lalu perbarui aplikasi Anda untuk menggunakan titik akhir dual-stack dengan menyetelnya. useDualstackEndpoint=true Untuk informasi selengkapnya, lihat Dual-stack dan titik akhir FIPS.

Jika Anda memilih untuk menggunakan keduanya IPv4 dan IPv6, Anda juga harus memperbarui kondisi pemfilteran alamat IP (aws:sourceIp) dalam kebijakan IAM Anda untuk menyertakan IPv6 alamat.

internetmonitor.region.amazonaws.com(bukan tumpukan ganda)

Tidak

Untuk membatasi akses IPv4 hanya, jangan mengambil tindakan lebih lanjut. Atau, jika Anda mengantisipasi bahwa Anda akan membutuhkan IPv6 dukungan di masa depan, Anda dapat mengambil tindakan untuk memastikan kompatibilitas dengan keduanya IPv4 dan IPv6.

Untuk memastikan kompatibilitas future, pada atau setelah 1 November 2024, perbarui SDK Anda, lalu perbarui aplikasi Anda untuk menggunakan titik akhir dual-stack dengan menyetelnya. useDualstackEndpoint=true Untuk informasi selengkapnya, lihat Dual-stack dan titik akhir FIPS.

internetmonitor.region.api.aws

Ya

Saat ini, titik akhir ini hanya IPV4 mendukung. Pada 1 November 2024, IPv6 akan diaktifkan pada titik akhir ini.

Untuk memastikan kompatibilitas future dengan keduanya IPv4 dan IPv6, pada atau setelah 1 November 2024, perbarui SDK Anda, lalu perbarui aplikasi Anda untuk menggunakan titik akhir tumpukan ganda dengan menyetelnya. useDualstackEndpoint=true Untuk informasi selengkapnya, lihat Dual-stack dan titik akhir FIPS.

Ketika Anda membuat perubahan untuk menggunakan keduanya IPv4 dan IPv6, Anda juga harus memperbarui kondisi pemfilteran alamat IP (aws:sourceIp) dalam kebijakan IAM Anda untuk menyertakan IPv6 alamat.

Jika Anda ingin membatasi akses IPv4 hanya, aturuseDualstackEndpoint=false. Untuk informasi selengkapnya, lihat Dual-stack dan titik akhir FIPS.

internetmonitor.region.api.aws

Tidak

Saat ini, titik akhir ini hanya IPV4 mendukung. Pada 1 November 2024, IPv6 akan diaktifkan pada titik akhir ini.

Untuk memastikan kompatibilitas future dengan keduanya IPv4 dan IPv6, pada atau setelah 1 November 2024, perbarui SDK Anda, lalu perbarui aplikasi Anda untuk menggunakan titik akhir tumpukan ganda dengan menyetelnya. useDualstackEndpoint=true Untuk informasi selengkapnya, lihat Dual-stack dan titik akhir FIPS.

Jika Anda ingin membatasi akses IPv4 hanya, aturuseDualstackEndpoint=false. Untuk informasi selengkapnya, lihat Dual-stack dan titik akhir FIPS.

Untuk bantuan terkait masalah akses, hubungi Dukungan.

Apa itu IPv6?

IPv6 adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikan IPv4. IPv4 menggunakan skema pengalamatan 32-bit, untuk mendukung 4,3 miliar perangkat. IPv6 Sebaliknya menggunakan pengalamatan 128-bit, untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.

Berikut ini adalah contoh IPv6 alamat:

2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965

IPv6 menawarkan ruang alamat yang lebih besar, peningkatan efisiensi perutean, dan dukungan yang lebih baik untuk layanan internet baru. Dengan memperbarui ke dual-stack dan mendukung IPv6, Internet Monitor memungkinkan peningkatan kinerja dan skalabilitas. Ikuti langkah-langkah di bagian ini untuk memperbarui konfigurasi Anda dan memanfaatkan dukungan dual-stack.

Identifikasi titik akhir Internet Monitor yang digunakan oleh kode Anda

Jika Anda menggunakan Internet Monitor SDK, mulailah dengan memverifikasi titik akhir mana yang digunakan kode Anda: titik akhir atau IPv4 titik akhir dual-stack (dan). IPv4 IPv6 Jika Anda tidak menggunakan SDK dengan Internet Monitor, Anda dapat melewati bagian ini.

Anda dapat menjalankan contoh kode berikut untuk menentukan titik akhir Internet Monitor yang Anda gunakan. Untuk contoh ini, kami menggunakan Internet Monitor SDK for Go di Wilayah AS Timur (Virginia N.).

package main import ( "fmt" "log" "github.com/aws/aws-sdk-go/aws" "github.com/aws/aws-sdk-go/aws/session" "github.com/aws/aws-sdk-go/service/internetmonitor" ) func main() { // Create a new session with the default configuration sess := session.Must(session.NewSession(&aws.Config{ Region: aws.String("us-east-1"), })) // Create a new Internet Monitor client internetMonitorClient := internetmonitor.New(sess) // Get the endpoint URL endpoint := internetMonitorClient.Endpoint fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint) }

Ketika Anda menjalankan kode ini, ia mengembalikan titik akhir Internet Monitor. Jika Anda melihat respons berikut, Anda menggunakan domain Internet Monitor yang hanya mendukung IPv4. Anda bisa tahu karena format URL endpoint termasukamazonaws.com.

Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com

Jika Anda melihat respons berikut, maka Anda menggunakan domain yang sedang ditingkatkan untuk mendukung dual-stack (IPv4 and). IPv6 Di sini, Anda dapat mengetahui karena URL endpoint termasukapi.aws. Namun, perhatikan bahwa hingga pemutakhiran selesai, titik akhir ini hanya IPv4 mendukung.

Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws

Memperbarui kebijakan IAM untuk IPv6

Kebijakan IAM menggunakan aws:SourceIp filter untuk mengatur rentang alamat IP yang diizinkan.

Dual-stack mendukung keduanya IPv4 dan IPV6 lalu lintas. Jika jaringan Anda menggunakan dual-stack, Anda harus memastikan bahwa setiap kebijakan IAM yang digunakan untuk pemfilteran alamat IP diperbarui untuk menyertakan rentang alamat. IPv6

Misalnya, kebijakan ini memungkinkan rentang IPv4 alamat 192.0.2.0.* dan203.0.113.0.*, diidentifikasi dalam Condition elemen.

# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }

Untuk memperbarui kebijakan ini, kami akan mengubah Condition elemen kebijakan untuk menambahkan rentang IPv6 alamat, seperti yang ditunjukkan pada contoh berikut:

"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*203.0.113.0/24*", <<Existing IPv4 address - DO NOT REMOVE>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
penting

Jangan hapus IPv4 alamat yang ada dalam kebijakan. Mereka diperlukan untuk kompatibilitas mundur.

Untuk informasi selengkapnya tentang mengelola izin akses dengan IAM, lihat Kebijakan terkelola dan kebijakan sebaris di Panduan Pengguna.AWS Identity and Access Management

Uji jaringan setelah memperbarui kebijakan

Setelah memperbarui kebijakan IAM untuk menyertakan dukungan untuk IPv6 alamat, kami sarankan Anda menguji apakah jaringan Anda dapat mengakses titik IPv6 akhir. Bagian ini memberikan beberapa contoh, tergantung pada sistem operasi yang Anda gunakan.

Uji jaringan dengan Linux/Unix atau Mac OS X

Jika Anda menggunakan Linux/Unix atau Mac OS X, Anda dapat menguji apakah jaringan Anda dapat mengakses IPv6 titik akhir dengan menggunakan perintah curl berikut.

curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/

Jika Anda terhubung IPv6, alamat IP yang terhubung menampilkan informasi yang mirip dengan yang berikut ini:

* About to connect() to aws.amazon.com port 443 (#0) * Trying IPv6 address... connected * Connected to aws.amazon.com (IPv6 address) port 443 (#0) > GET / HTTP/1.1 > User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3 > Host: aws.amazon.com

Uji jaringan dengan Windows

Jika Anda menggunakan Windows, Anda dapat menguji apakah jaringan Anda dapat mengakses titik akhir dual-stack melalui IPv6 atau IPv4 dengan menggunakan ping perintah, seperti berikut ini:

ping aws.amazon.com

Jika ping mengakses titik akhir di atas IPv6, perintah mengembalikan IPv6 alamat.

Verifikasi bahwa klien dapat mendukung IPv6

Sebaiknya sebelum Anda beralih menggunakan internetmonitor. Titik akhir {region} .api.aws, bahwa Anda terlebih dahulu memverifikasi bahwa klien Anda dapat mengakses Layanan AWS titik akhir lain yang sudah diaktifkan. IPv6 Langkah-langkah berikut menjelaskan cara memverifikasi ini dengan menggunakan IPv6 endpoint yang ada.

Contoh ini menggunakan Linux dan curl versi 8.6.0, dan menggunakan layanan Amazon Athena, yang memiliki titik akhir yang IPv6 diaktifkan yang terletak di domain api.aws.

catatan

Alihkan Anda Wilayah AWS ke Wilayah yang sama di mana klien berada. Dalam contoh ini, kita menggunakan US East (N. Virginia) — us-east-1 endpoint.

Gunakan contoh berikut untuk memverifikasi bahwa klien Anda dapat mengakses titik AWS akhir IPv6 yang diaktifkan.

  1. Verifikasi bahwa titik akhir Athena menyelesaikan dengan IPv6 alamat dengan menggunakan perintah berikut.

    dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
  2. Sekarang, tentukan apakah jaringan klien Anda dapat membuat koneksi menggunakan IPv6 dengan menggunakan perintah berikut:

    curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404

    Jika alamat IP jarak jauh diidentifikasi dan kode respons tidak0, koneksi jaringan berhasil dibuat ke titik akhir menggunakan IPv6.

    Jika alamat IP jarak jauh kosong atau kode responsnya0, jaringan klien atau jalur jaringan ke titik akhir adalah IPv4 -only. Anda dapat memverifikasi ini dengan perintah curl berikut:

    curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404

    Jika Anda menjalankan perintah ini, dan alamat IP jarak jauh diidentifikasi dan kode respons tidak0, koneksi jaringan berhasil dibuat ke titik akhir menggunakan IPv4.