Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tingkatkan kebijakan IAM ke IPv6
AWS CloudHSM pelanggan menggunakan kebijakan IAM untuk mengontrol akses ke AWS CloudHSM APIs dan mencegah alamat IP apa pun di luar rentang yang dikonfigurasi agar tidak dapat mengakses AWS CloudHSM APIs.
Cloudhsmv2. region.api.aws dual-stack endpoint di mana AWS CloudHSM APIs dukungan yang di-host selain. IPv6 IPv4
Pelanggan yang perlu mendukung keduanya IPv4 dan IPv6 harus memperbarui kebijakan penyaringan alamat IP mereka untuk menangani IPv6 alamat, jika tidak maka akan memengaruhi kemampuan mereka untuk terhubung ke AWS CloudHSM over IPv6.
Siapa yang harus meng-upgrade?
Pelanggan yang menggunakan pengalamatan ganda dengan kebijakan yang mengandung AWS: SourceIP terpengaruh oleh peningkatan ini. Pengalamatan ganda berarti bahwa jaringan mendukung keduanya IPv4 dan IPv6.
Jika Anda menggunakan pengalamatan ganda, Anda harus memperbarui kebijakan IAM Anda yang saat ini dikonfigurasi dengan alamat IPv4 format untuk menyertakan alamat IPv6 format.
Untuk bantuan terkait masalah akses, hubungi Dukungan
catatan
Pelanggan berikut tidak terpengaruh oleh peningkatan ini:
-
Pelanggan yang hanya berada di IPv4 jaringan.
Apa itu IPv6?
IPv6 adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikan IPv4. Versi sebelumnya, IPv4, menggunakan skema pengalamatan 32-bit untuk mendukung 4,3 miliar perangkat. IPv6 Sebaliknya menggunakan pengalamatan 128-bit untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.
Untuk detail selengkapnya, lihat halaman web VPC IPv6
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
Memperbarui kebijakan IAM untuk IPv6
Kebijakan IAM saat ini digunakan untuk mengatur rentang alamat IP yang diizinkan menggunakan aws:SourceIp filter.
Pengalamatan ganda mendukung keduanya IPv4 dan IPv6 lalu lintas. Jika jaringan Anda menggunakan pengalamatan ganda, Anda harus memperbarui kebijakan IAM yang digunakan untuk pemfilteran alamat IP untuk menyertakan rentang alamat. IPv6
Misalnya, kebijakan di bawah ini mengidentifikasi rentang IPv4 alamat yang diizinkan 192.0.2.0.* dan 203.0.113.0.* dalam Condition elemen.
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Untuk memperbarui kebijakan ini, ubah Condition elemen untuk menyertakan rentang IPv6 alamat 2001:DB8:1234:5678::/64 dan2001:cdba:3257:8593::/64.
catatan
JANGAN HAPUS IPv4 alamat yang ada karena diperlukan untuk kompatibilitas mundur.
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Verifikasi dukungan klien Anda IPv6
Pelanggan menggunakan cloudhsmv2. Titik akhir {region} .api.aws disarankan untuk memverifikasi apakah mereka dapat terhubung dengannya. Langkah-langkah berikut menjelaskan cara melakukan verifikasi.
Contoh ini menggunakan Linux dan curl versi 8.6.0 dan menggunakan titik akhir AWS CloudHSM layanan yang telah IPv6 mengaktifkan titik akhir yang terletak di titik akhir api.aws.
catatan
Beralih Wilayah AWS ke Wilayah yang sama di mana klien berada. Dalam contoh ini, kita menggunakan US East (N. Virginia) — us-east-1 endpoint.
-
Tentukan apakah titik akhir diselesaikan dengan IPv6 alamat menggunakan perintah berikut.
digdig +short AAAA cloudhsmv2.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 -
Tentukan apakah jaringan klien dapat membuat IPv6 koneksi menggunakan
curlperintah berikut. Kode respons 404 berarti koneksi berhasil, sedangkan kode respons 0 berarti koneksi gagal.curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3 response code: 404
Jika IP jarak jauh diidentifikasi dan kode respons tidak0, koneksi jaringan berhasil dibuat ke titik akhir menggunakan IPv6. IP jarak jauh harus menjadi IPv6 alamat karena sistem operasi harus memilih protokol yang valid untuk klien. Jika IP jarak jauh bukan IPv6 alamat, gunakan perintah berikut curl untuk memaksa penggunaan IPv4.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
Jika IP jarak jauh kosong atau kode responsnya0, jaringan klien atau jalur jaringan ke titik akhir adalah IPv4 -only. Anda dapat memverifikasi konfigurasi ini dengan curl perintah berikut.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws remote ip: 3.123.154.250 response code: 404
