Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol akses API dengan kebijakan IAM
## Tingkatkan kebijakan IAM ke IPv6
AWS CloudHSM pelanggan menggunakan kebijakan IAM untuk mengontrol akses ke AWS CloudHSM API dan mencegah alamat IP apa pun di luar rentang yang dikonfigurasi agar tidak dapat mengakses AWS CloudHSM API.
*Cloudhsmv2. {{}}.api.aws* dual-stack endpoint tempat AWS CloudHSM API di-host mendukung IPv6 selain IPv4.
Pelanggan yang perlu mendukung IPv4 dan IPv6 harus memperbarui kebijakan penyaringan alamat IP mereka untuk menangani alamat IPv6, jika tidak maka akan memengaruhi kemampuan mereka untuk terhubung ke lebih dari IPv6. AWS CloudHSM
### Siapa yang harus meng-upgrade?
Pelanggan yang menggunakan pengalamatan ganda dengan kebijakan yang mengandung *AWS: SourceIP* terpengaruh oleh peningkatan ini. *Pengalamatan ganda* berarti bahwa jaringan mendukung IPv4 dan IPv6.
Jika Anda menggunakan pengalamatan ganda, Anda harus memperbarui kebijakan IAM Anda yang saat ini dikonfigurasi dengan alamat format IPv4 untuk menyertakan alamat format IPv6.
Untuk bantuan terkait masalah akses, hubungi [Dukungan](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**catatan**
Pelanggan berikut *tidak* terpengaruh oleh peningkatan ini:
Pelanggan yang *hanya* menggunakan jaringan IPv4.
### Apa itu IPv6?
IPv6 adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikan IPv4. Versi sebelumnya, IPv4, menggunakan skema pengalamatan 32-bit untuk mendukung 4,3 miliar perangkat. IPv6 malah menggunakan pengalamatan 128-bit untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.
Untuk detail selengkapnya, lihat halaman web [VPC IPv6](https://aws.amazon.com/vpc/ipv6/).
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
### Memperbarui kebijakan IAM untuk IPv6
Kebijakan IAM saat ini digunakan untuk mengatur rentang alamat IP yang diizinkan menggunakan `aws:SourceIp` filter.
Pengalamatan ganda mendukung lalu lintas IPv4 dan IPv6. Jika jaringan Anda menggunakan pengalamatan ganda, Anda harus memperbarui kebijakan IAM yang digunakan untuk pemfilteran alamat IP untuk menyertakan rentang alamat IPv6.
Misalnya, kebijakan di bawah ini mengidentifikasi rentang alamat IPv4 yang diizinkan `192.0.2.0.*` dan `203.0.113.0.*` dalam elemen. `Condition`
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Untuk memperbarui kebijakan ini, ubah `Condition` elemen untuk menyertakan rentang `2001:DB8:1234:5678::/64` alamat IPv6 dan. `2001:cdba:3257:8593::/64`
**catatan**
JANGAN HAPUS alamat IPv4 yang ada karena diperlukan untuk kompatibilitas mundur.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"{{*2001:DB8:1234:5678::/64*}}", <>
"{{*2001:cdba:3257:8593::/64*}}" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
### Verifikasi klien Anda mendukung IPv6
Pelanggan menggunakan *cloudhsmv2. Titik akhir {region} .api.aws* disarankan untuk memverifikasi apakah mereka dapat terhubung dengannya. Langkah-langkah berikut menjelaskan cara melakukan verifikasi.
*Contoh ini menggunakan Linux dan curl versi 8.6.0 dan menggunakan [titik akhir AWS CloudHSM layanan yang memiliki titik akhir berkemampuan IPv6 yang terletak di titik](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) akhir api.aws.*
**catatan**
Beralih Wilayah AWS ke Wilayah yang sama di mana klien berada. Dalam contoh ini, kita menggunakan US East (N. Virginia) — `us-east-1` endpoint.
1. Tentukan apakah titik akhir diselesaikan dengan alamat IPv6 menggunakan perintah berikut. `dig`
```
dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
1. Tentukan apakah jaringan klien dapat membuat koneksi IPv6 menggunakan perintah berikut`curl`. Kode respons 404 berarti koneksi berhasil, sedangkan kode respons 0 berarti koneksi gagal.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404
```
Jika IP jarak jauh diidentifikasi **dan** kode respons tidak`0`, koneksi jaringan berhasil dibuat ke titik akhir menggunakan IPv6. IP jarak jauh harus berupa alamat IPv6 karena sistem operasi harus memilih protokol yang valid untuk klien. Jika IP jarak jauh bukan alamat IPv6, gunakan perintah berikut `curl` untuk memaksa menggunakan IPv4.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```
Jika IP jarak jauh kosong atau kode responsnya`0`, jaringan klien atau jalur jaringan ke titik akhir adalah IPv4-only. Anda dapat memverifikasi konfigurasi ini dengan `curl` perintah berikut.
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```