View a markdown version of this page

Kontrol akses API dengan kebijakan IAM - AWS CloudHSM
Tingkatkan kebijakan IAM ke IPv6

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol akses API dengan kebijakan IAM

Tingkatkan kebijakan IAM ke IPv6

AWS CloudHSM pelanggan menggunakan kebijakan IAM untuk mengontrol akses ke AWS CloudHSM API dan mencegah alamat IP apa pun di luar rentang yang dikonfigurasi agar tidak dapat mengakses AWS CloudHSM API.

Cloudhsmv2. <region>.api.aws dual-stack endpoint tempat AWS CloudHSM API di-host mendukung IPv6 selain IPv4.

Pelanggan yang perlu mendukung IPv4 dan IPv6 harus memperbarui kebijakan penyaringan alamat IP mereka untuk menangani alamat IPv6, jika tidak maka akan memengaruhi kemampuan mereka untuk terhubung ke lebih dari IPv6. AWS CloudHSM

Siapa yang harus meng-upgrade?

Pelanggan yang menggunakan pengalamatan ganda dengan kebijakan yang mengandung AWS: SourceIP terpengaruh oleh peningkatan ini. Pengalamatan ganda berarti bahwa jaringan mendukung IPv4 dan IPv6.

Jika Anda menggunakan pengalamatan ganda, Anda harus memperbarui kebijakan IAM Anda yang saat ini dikonfigurasi dengan alamat format IPv4 untuk menyertakan alamat format IPv6.

Untuk bantuan terkait masalah akses, hubungi Dukungan.

catatan

Pelanggan berikut tidak terpengaruh oleh peningkatan ini:

  • Pelanggan yang hanya menggunakan jaringan IPv4.

Apa itu IPv6?

IPv6 adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikan IPv4. Versi sebelumnya, IPv4, menggunakan skema pengalamatan 32-bit untuk mendukung 4,3 miliar perangkat. IPv6 malah menggunakan pengalamatan 128-bit untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.

Untuk detail selengkapnya, lihat halaman web VPC IPv6.

2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965

Memperbarui kebijakan IAM untuk IPv6

Kebijakan IAM saat ini digunakan untuk mengatur rentang alamat IP yang diizinkan menggunakan aws:SourceIp filter.

Pengalamatan ganda mendukung lalu lintas IPv4 dan IPv6. Jika jaringan Anda menggunakan pengalamatan ganda, Anda harus memperbarui kebijakan IAM yang digunakan untuk pemfilteran alamat IP untuk menyertakan rentang alamat IPv6.

Misalnya, kebijakan di bawah ini mengidentifikasi rentang alamat IPv4 yang diizinkan 192.0.2.0.* dan 203.0.113.0.* dalam elemen. Condition 

# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

Untuk memperbarui kebijakan ini, ubah Condition elemen untuk menyertakan rentang 2001:DB8:1234:5678::/64 alamat IPv6 dan. 2001:cdba:3257:8593::/64

catatan

JANGAN HAPUS alamat IPv4 yang ada karena diperlukan untuk kompatibilitas mundur.

"Condition": {
                "NotIpAddress": {
                    "*aws:SourceIp*": [
                        "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>>
                        "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                        "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }

Verifikasi klien Anda mendukung IPv6

Pelanggan menggunakan cloudhsmv2. Titik akhir {region} .api.aws disarankan untuk memverifikasi apakah mereka dapat terhubung dengannya. Langkah-langkah berikut menjelaskan cara melakukan verifikasi.

Contoh ini menggunakan Linux dan curl versi 8.6.0 dan menggunakan titik akhir AWS CloudHSM layanan yang memiliki titik akhir berkemampuan IPv6 yang terletak di titik akhir api.aws.

catatan

Beralih AWS Region ke Wilayah yang sama di mana klien berada. Dalam contoh ini, kita menggunakan US East (N. Virginia) — us-east-1 endpoint.

  1. Tentukan apakah titik akhir diselesaikan dengan alamat IPv6 menggunakan perintah berikut. dig 

    dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3

  2. Tentukan apakah jaringan klien dapat membuat koneksi IPv6 menggunakan perintah berikutcurl. Kode respons 404 berarti koneksi berhasil, sedangkan kode respons 0 berarti koneksi gagal.

    curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404

Jika IP jarak jauh diidentifikasi dan kode respons tidak0, koneksi jaringan berhasil dibuat ke titik akhir menggunakan IPv6. IP jarak jauh harus berupa alamat IPv6 karena sistem operasi harus memilih protokol yang valid untuk klien. Jika IP jarak jauh bukan alamat IPv6, gunakan perintah berikut curl untuk memaksa menggunakan IPv4. 

curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404

Jika IP jarak jauh kosong atau kode responsnya0, jaringan klien atau jalur jaringan ke titik akhir adalah IPv4-only. Anda dapat memverifikasi konfigurasi ini dengan curl perintah berikut. 

curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws

remote ip: 3.123.154.250
response code: 404