Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Tingkatkan IAM kebijakan ke IPv6
Penjelajah Sumber Daya AWS pelanggan menggunakan IAM kebijakan untuk menetapkan rentang alamat IP yang diizinkan dan mencegah alamat IP apa pun di luar rentang yang dikonfigurasi agar tidak dapat mengakses Resource ExplorerAPIs.
Sumber daya-penjelajah-2.regionDomain.api.aws tempat Resource Explorer di-host APIs sedang ditingkatkan untuk mendukung IPv6 sebagai tambahan. IPv4
Kebijakan pemfilteran alamat IP yang tidak diperbarui untuk menangani IPv6 alamat dapat mengakibatkan klien kehilangan akses ke sumber daya pada API domain Resource Explorer.
Pelanggan terpengaruh oleh peningkatan dari ke IPv4 IPv6
Pelanggan yang menggunakan pengalamatan ganda dengan kebijakan yang berisi aws: sourceIp terpengaruh oleh peningkatan ini. Pengalamatan ganda berarti bahwa jaringan mendukung keduanya IPv4 danIPv6.
Jika Anda menggunakan pengalamatan ganda, Anda harus memperbarui IAM kebijakan yang saat ini dikonfigurasi dengan alamat IPv4 format untuk menyertakan alamat IPv6 format.
Untuk bantuan terkait masalah akses, hubungi AWS Support
catatan
Pelanggan berikut tidak terpengaruh oleh peningkatan ini:
-
Pelanggan yang hanya berada di IPv4 jaringan.
-
Pelanggan yang hanya berada di IPv6 jaringan.
Apa yang dimaksud dengan IPv6?
IPv6adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikanIPv4. Versi sebelumnya,IPv4, menggunakan skema pengalamatan 32-bit untuk mendukung 4,3 miliar perangkat. IPv6Sebaliknya menggunakan pengalamatan 128-bit untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.
2001:cdba:0000:0000:0000:0000:3257:9652 2001:cdba:0:0:0:0:3257:9652 2001:cdba::3257:965
Memperbarui IAM kebijakan untuk IPv6
IAMkebijakan saat ini digunakan untuk menetapkan rentang alamat IP yang diizinkan menggunakan aws:SourceIp filter.
Pengalamatan ganda mendukung keduanya IPv4 dan IPV6 lalu lintas. Jika jaringan Anda menggunakan pengalamatan ganda, Anda harus memastikan bahwa setiap IAM kebijakan yang digunakan untuk pemfilteran alamat IP diperbarui untuk menyertakan IPv6 rentang alamat.
Misalnya, kebijakan bucket Amazon S3 ini mengidentifikasi rentang IPv4 alamat yang diizinkan 192.0.2.0.* dan elemen203.0.113.0.*. Condition
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html { "Version": "2012-10-17", "Statement": { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", "*203.0.113.0/24*" ] }, "Bool": { "aws:ViaAWSService": "false" } } } }
Untuk memperbarui kebijakan ini, Condition elemen kebijakan diperbarui untuk menyertakan rentang IPv6 alamat 2001:DB8:1234:5678::/64 dan2001:cdba:3257:8593::/64.
catatan
LAKUKAN IPv4 alamat NOT REMOVE yang ada karena diperlukan untuk kompatibilitas mundur.
"Condition": { "NotIpAddress": { "*aws:SourceIp*": [ "*192.0.2.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*203.0.113.0/24*", <<DO NOT REMOVE existing IPv4 address>> "*2001:DB8:1234:5678::/64*", <<New IPv6 IP address>> "*2001:cdba:3257:8593::/64*" <<New IPv6 IP address>> ] }, "Bool": { "aws:ViaAWSService": "false" } }
Untuk informasi selengkapnya tentang mengelola izin akses denganIAM, lihat Kebijakan terkelola dan kebijakan sebaris di AWS Identity and Access Management Panduan Pengguna.
Verifikasi klien Anda dapat mendukung IPv6
Pelanggan menggunakan resource-explorer-2. Endpoint {region} .api.aws disarankan untuk memverifikasi apakah klien mereka dapat mengakses Layanan AWS Endpoint lain yang sudah diaktifkan. IPv6 Langkah-langkah berikut menjelaskan cara memverifikasi titik akhir tersebut.
Contoh ini menggunakan Linux dan curl versi 8.6.0 dan menggunakan titik akhir layanan Amazon Athena yang telah IPv6 mengaktifkan titik akhir yang terletak di domain api.aws.
catatan
Beralih Wilayah AWS ke Wilayah yang sama di mana klien berada. Dalam contoh ini, kita menggunakan US East (N. Virginia) — us-east-1 endpoint.
-
Tentukan apakah titik akhir menyelesaikan dengan IPv6 alamat menggunakan perintah curl berikut.
dig +short AAAA athena.us-east-1.api.aws 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5 2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79 -
Tentukan apakah jaringan klien dapat membuat koneksi menggunakan IPv6 menggunakan perintah curl berikut.
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6 response code: 404Jika IP jarak jauh diidentifikasi dan kode respons tidak
0, koneksi jaringan berhasil dibuat ke titik akhir menggunakanIPv6.
Jika IP jarak jauh kosong atau kode responsnya0, jaringan klien atau jalur jaringan ke titik akhir adalah IPv4 -only. Anda dapat memverifikasi konfigurasi ini dengan perintah curl berikut.
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 3.210.103.49 response code: 404
Jika IP jarak jauh diidentifikasi dan kode respons tidak0, koneksi jaringan berhasil dibuat ke titik akhir menggunakanIPv4. IP jarak jauh harus menjadi IPv4 alamat karena sistem operasi harus memilih protokol yang valid untuk klien. Jika IP jarak jauh bukan IPv4 alamat, gunakan perintah berikut untuk memaksa curl untuk digunakanIPv4.
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws remote ip: 35.170.237.34 response code: 404
