Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tingkatkan IAM kebijakan ke IPv6

Pelanggan Amazon CloudWatch Internet Monitor menggunakan IAM kebijakan untuk menetapkan rentang alamat IP yang diizinkan, untuk mencegah alamat IP apa pun di luar rentang yang dikonfigurasi agar tidak dapat mengakses Internet MonitorAPIs.

Internetmonitor.regionTitik akhir .api.aws, tempat Anda mengakses Internet MonitorAPIs, sedang ditingkatkan untuk mendukung dual-stack (and). IPv4 IPv6

Kebijakan penyaringan alamat IP yang tidak diperbarui untuk menangani IPv6 alamat dapat mengakibatkan klien kehilangan akses ke Internet MonitorAPIs.

Pelanggan yang terkena dampak peningkatan untuk menyertakan IPv6

Pelanggan yang menggunakan dual-stack dengan kebijakan yang berisi aws: sourceIp filter terpengaruh oleh peningkatan ini. Dual-stack berarti bahwa jaringan mendukung keduanya danIPv4. IPv6

Jika Anda menggunakan dual-stack, Anda harus memperbarui IAM kebijakan yang saat ini dikonfigurasi dengan alamat IPv4 format untuk menyertakan alamat IPv6 format.

Berikut ini merangkum tindakan yang disarankan, tergantung pada skenario Anda. Untuk mengonfirmasi titik akhir yang Anda SDK gunakan, lihat Mengidentifikasi titik akhir Monitor Internet yang digunakan oleh kode Anda.

Untuk bantuan terkait masalah akses, hubungi AWS Support.

Apa yang dimaksud dengan IPv6?

IPv6adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikanIPv4. IPv4menggunakan skema pengalamatan 32-bit, untuk mendukung 4,3 miliar perangkat. IPv6Sebaliknya menggunakan pengalamatan 128-bit, untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.

Berikut ini adalah contoh IPv6 alamat:

2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965

IPv6menawarkan ruang alamat yang lebih besar, peningkatan efisiensi perutean, dan dukungan yang lebih baik untuk layanan internet baru. Dengan memperbarui ke dual-stack dan mendukungIPv6, Internet Monitor memungkinkan peningkatan kinerja dan skalabilitas. Ikuti langkah-langkah di bagian ini untuk memperbarui konfigurasi Anda dan memanfaatkan dukungan dual-stack.

Identifikasi titik akhir Internet Monitor yang digunakan oleh kode Anda

Jika Anda menggunakan Monitor InternetSDK, mulailah dengan memverifikasi titik akhir mana yang digunakan kode Anda: titik akhir atau IPv4 titik akhir dual-stack (IPv4dan). IPv6 Jika Anda tidak menggunakan SDK With Internet Monitor, Anda dapat melewati bagian ini.

Anda dapat menjalankan contoh kode berikut untuk menentukan titik akhir Internet Monitor yang Anda gunakan. Untuk contoh ini, kami menggunakan Internet Monitor SDK for Go di Wilayah AS Timur (Virginia N.).

package main

import (
    "fmt"
    "log"
    
    "github.com/aws/aws-sdk-go/aws"
    "github.com/aws/aws-sdk-go/aws/session"
    "github.com/aws/aws-sdk-go/service/internetmonitor"
)

func main() {
    // Create a new session with the default configuration
    sess := session.Must(session.NewSession(&aws.Config{
        Region: aws.String("us-east-1"),
    }))

    // Create a new Internet Monitor client
    internetMonitorClient := internetmonitor.New(sess)

    // Get the endpoint URL
    endpoint := internetMonitorClient.Endpoint

    fmt.Printf("Internet Monitor endpoint URL: %s\n", endpoint)
}

Ketika Anda menjalankan kode ini, ia mengembalikan titik akhir Internet Monitor. Jika Anda melihat respons berikut, Anda menggunakan domain Internet Monitor yang hanya mendukungIPv4. Anda dapat mengetahui karena format titik akhir URL termasukamazonaws.com.

Internet Monitor endpoint URL: https://internetmonitor.us-east-1.amazonaws.com

Jika Anda melihat respons berikut, maka Anda menggunakan domain yang sedang ditingkatkan untuk mendukung dual-stack (IPv4and). IPv6 Di sini, Anda dapat mengetahui karena titik akhir URL termasukapi.aws. Namun, perhatikan bahwa hingga pemutakhiran selesai, titik akhir ini hanya IPv4 mendukung.

Internet Monitor endpoint URL: https://internetmonitor.us-east-1.api.aws

Memperbarui IAM kebijakan untuk IPv6

IAMkebijakan menggunakan aws:SourceIp filter untuk menetapkan rentang alamat IP yang diizinkan.

Dual-stack mendukung keduanya IPv4 dan IPV6 lalu lintas. Jika jaringan Anda menggunakan dual-stack, Anda harus memastikan bahwa setiap IAM kebijakan yang digunakan untuk pemfilteran alamat IP diperbarui untuk menyertakan rentang alamat. IPv6

Misalnya, kebijakan ini memungkinkan rentang IPv4 alamat 192.0.2.0.* dan203.0.113.0.*, diidentifikasi dalam Condition elemen.

# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*",
                    "*203.0.113.0/24*"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

Untuk memperbarui kebijakan ini, kami akan mengubah Condition elemen kebijakan untuk menambahkan rentang IPv6 alamat, seperti yang ditunjukkan pada contoh berikut:

"Condition": {
            "NotIpAddress": {
                "*aws:SourceIp*": [
                    "*192.0.2.0/24*", <<Existing IPv4 address - DO NOT REMOVE>>
                    "*203.0.113.0/24*", <<Existing IPv4 address  - DO NOT REMOVE>>
                    "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>>
                    "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>>
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }

Untuk informasi selengkapnya tentang mengelola izin akses denganIAM, lihat Kebijakan terkelola dan kebijakan sebaris di AWS Identity and Access Management Panduan Pengguna.

Uji jaringan setelah memperbarui kebijakan

Setelah memperbarui IAM kebijakan Anda untuk menyertakan dukungan untuk IPv6 alamat, kami sarankan Anda menguji apakah jaringan Anda dapat mengakses IPv6 titik akhir. Bagian ini memberikan beberapa contoh, tergantung pada sistem operasi yang Anda gunakan.

Uji jaringan dengan Linux/Unix atau Mac OS X

Jika Anda menggunakan Linux/Unix atau Mac OS X, Anda dapat menguji apakah jaringan Anda dapat mengakses IPv6 titik akhir dengan menggunakan perintah curl berikut.

curl -v -s -o /dev/null http://ipv6.ec2-reachability.amazonaws.com/

Jika Anda terhubungIPv6, alamat IP yang terhubung menampilkan informasi yang mirip dengan yang berikut ini:

* About to connect() to aws.amazon.com port 443 (#0)
*   Trying IPv6 address... connected
* Connected to aws.amazon.com (IPv6 address) port 443 (#0)
> GET / HTTP/1.1
> User-Agent: curl/7.18.1 (x86_64-unknown-linux-gnu) libcurl/7.18.1 OpenSSL/1.0.1t zlib/1.2.3
> Host: aws.amazon.com

Uji jaringan dengan Windows

Jika Anda menggunakan Windows, Anda dapat menguji apakah jaringan Anda dapat mengakses titik akhir dual-stack melalui IPv6 atau IPv4 dengan menggunakan ping perintah, seperti berikut ini:

ping aws.amazon.com

Jika ping mengakses titik akhir di atasIPv6, perintah mengembalikan IPv6 alamat.

Verifikasi bahwa klien dapat mendukung IPv6

Sebaiknya sebelum Anda beralih menggunakan internetmonitor. Titik akhir {region} .api.aws, bahwa Anda terlebih dahulu memverifikasi bahwa klien Anda dapat mengakses Layanan AWS titik akhir lain yang sudah diaktifkan. IPv6 Langkah-langkah berikut menjelaskan cara memverifikasi ini dengan menggunakan IPv6 endpoint yang ada.

Contoh ini menggunakan Linux dan curl versi 8.6.0, dan menggunakan layanan Amazon Athena, yang memiliki titik akhir yang IPv6 diaktifkan yang terletak di domain api.aws.

Gunakan contoh berikut untuk memverifikasi bahwa klien Anda dapat mengakses titik AWS akhir IPv6 yang diaktifkan.