Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Kontrol akses API dengan kebijakan IAM
## Tingkatkan kebijakan IAM ke IPv6
AWS CloudHSM pelanggan menggunakan kebijakan IAM untuk mengontrol akses ke AWS CloudHSM APIs dan mencegah alamat IP apa pun di luar rentang yang dikonfigurasi agar tidak dapat mengakses AWS CloudHSM APIs.
*Cloudhsmv2. **.api.aws* dual-stack endpoint di mana AWS CloudHSM APIs dukungan yang di-host selain. IPv6 IPv4
Pelanggan yang perlu mendukung keduanya IPv4 dan IPv6 harus memperbarui kebijakan penyaringan alamat IP mereka untuk menangani IPv6 alamat, jika tidak maka akan memengaruhi kemampuan mereka untuk terhubung ke AWS CloudHSM over IPv6.
### Siapa yang harus meng-upgrade?
Pelanggan yang menggunakan pengalamatan ganda dengan kebijakan yang mengandung *AWS: SourceIP* terpengaruh oleh peningkatan ini. *Pengalamatan ganda* berarti bahwa jaringan mendukung keduanya IPv4 dan IPv6.
Jika Anda menggunakan pengalamatan ganda, Anda harus memperbarui kebijakan IAM Anda yang saat ini dikonfigurasi dengan alamat IPv4 format untuk menyertakan alamat IPv6 format.
Untuk bantuan terkait masalah akses, hubungi [Dukungan](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**catatan**
Pelanggan berikut *tidak* terpengaruh oleh peningkatan ini:
Pelanggan yang *hanya* berada di IPv4 jaringan.
### Apa itu IPv6?
IPv6 adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikan IPv4. Versi sebelumnya, IPv4, menggunakan skema pengalamatan 32-bit untuk mendukung 4,3 miliar perangkat. IPv6 Sebaliknya menggunakan pengalamatan 128-bit untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.
Untuk detail selengkapnya, lihat halaman [web VPC IPv6 ](https://aws.amazon.com/vpc/ipv6/).
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
### Memperbarui kebijakan IAM untuk IPv6
Kebijakan IAM saat ini digunakan untuk mengatur rentang alamat IP yang diizinkan menggunakan `aws:SourceIp` filter.
Pengalamatan ganda mendukung keduanya IPv4 dan IPv6 lalu lintas. Jika jaringan Anda menggunakan pengalamatan ganda, Anda harus memperbarui kebijakan IAM yang digunakan untuk pemfilteran alamat IP untuk menyertakan rentang alamat. IPv6
Misalnya, kebijakan di bawah ini mengidentifikasi rentang IPv4 alamat yang diizinkan `192.0.2.0.*` dan `203.0.113.0.*` dalam `Condition` elemen.
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Untuk memperbarui kebijakan ini, ubah `Condition` elemen untuk menyertakan rentang IPv6 alamat `2001:DB8:1234:5678::/64` dan`2001:cdba:3257:8593::/64`.
**catatan**
JANGAN HAPUS IPv4 alamat yang ada karena diperlukan untuk kompatibilitas mundur.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
### Verifikasi dukungan klien Anda IPv6
Pelanggan menggunakan *cloudhsmv2. Titik akhir \$1region\$1 .api.aws* disarankan untuk memverifikasi apakah mereka dapat terhubung dengannya. Langkah-langkah berikut menjelaskan cara melakukan verifikasi.
*Contoh ini menggunakan Linux dan curl versi 8.6.0 dan menggunakan [titik akhir AWS CloudHSM layanan yang telah IPv6 mengaktifkan titik akhir](https://docs.aws.amazon.com/general/latest/gr/cloudhsm.html) yang terletak di titik akhir api.aws.*
**catatan**
Beralih Wilayah AWS ke Wilayah yang sama di mana klien berada. Dalam contoh ini, kita menggunakan US East (N. Virginia) — `us-east-1` endpoint.
1. Tentukan apakah titik akhir diselesaikan dengan IPv6 alamat menggunakan perintah berikut. `dig`
```
dig +short AAAA cloudhsmv2.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
```
1. Tentukan apakah jaringan klien dapat membuat IPv6 koneksi menggunakan `curl` perintah berikut. Kode respons 404 berarti koneksi berhasil, sedangkan kode respons 0 berarti koneksi gagal.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
response code: 404
```
Jika IP jarak jauh diidentifikasi **dan** kode respons tidak`0`, koneksi jaringan berhasil dibuat ke titik akhir menggunakan IPv6. IP jarak jauh harus menjadi IPv6 alamat karena sistem operasi harus memilih protokol yang valid untuk klien. Jika IP jarak jauh bukan IPv6 alamat, gunakan perintah berikut `curl` untuk memaksa penggunaan IPv4.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```
Jika IP jarak jauh kosong atau kode responsnya`0`, jaringan klien atau jalur jaringan ke titik akhir adalah IPv4 -only. Anda dapat memverifikasi konfigurasi ini dengan `curl` perintah berikut.
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://cloudhsmv2.us-east-1.api.aws
remote ip: 3.123.154.250
response code: 404
```