View a markdown version of this page

Kontrol akses API dengan kebijakan IAM - AWS Secrets Manager
Apa itu IPv6?Menggunakan kebijakan dual-stackMenambahkan IPv6 ke kebijakanMemverifikasi klien Anda mendukung IPv6

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kontrol akses API dengan kebijakan IAM

Jika Anda menggunakan kebijakan IAM untuk mengontrol akses Layanan AWS berdasarkan alamat IP, Anda mungkin perlu memperbarui kebijakan Anda untuk menyertakan rentang alamat IPv6. Panduan ini menjelaskan perbedaan antara IPv4 dan IPv6 dan menjelaskan cara memperbarui kebijakan IAM Anda untuk mendukung kedua protokol. Menerapkan perubahan ini membantu Anda menjaga akses aman ke AWS sumber daya Anda sambil mendukung IPv6.

Apa itu IPv6?

IPv6 adalah standar IP generasi berikutnya yang dimaksudkan untuk akhirnya menggantikan IPv4. Versi sebelumnya, IPv4, menggunakan skema pengalamatan 32-bit untuk mendukung 4,3 miliar perangkat. IPv6 malah menggunakan pengalamatan 128-bit untuk mendukung sekitar 340 triliun triliun triliun (atau 2 hingga daya 128) perangkat.

Untuk informasi selengkapnya, lihat halaman web VPC IPv6.

Ini adalah contoh alamat IPv6:

2001:cdba:0000:0000:0000:0000:3257:9652 # This is a full, unabbreviated IPv6 address.
2001:cdba:0:0:0:0:3257:9652             # The same address with leading zeros in each group omitted
2001:cdba::3257:965                     # A compressed version of the same address.

Kebijakan dual-stack IAM (IPv4 dan IPv6)

Anda dapat menggunakan kebijakan IAM untuk mengontrol akses ke Secrets Manager API dan mencegah alamat IP di luar rentang yang dikonfigurasi mengakses Secrets Manager API.

Secretsmanager. {region} .amazonaws.com titik akhir dual-stack untuk Secrets Manager API mendukung IPv6 dan IPv4.

Jika Anda perlu mendukung IPv4 dan IPv6, perbarui kebijakan pemfilteran alamat IP Anda untuk menangani alamat IPv6. Jika tidak, Anda mungkin tidak dapat terhubung ke Secrets Manager melalui IPv6.

Siapa yang harus melakukan perubahan ini?

Perubahan ini memengaruhi Anda jika Anda menggunakan pengalamatan ganda dengan kebijakan yang berisiaws:sourceIp. Pengalamatan ganda berarti bahwa jaringan mendukung IPv4 dan IPv6.

Jika Anda menggunakan pengalamatan ganda, perbarui kebijakan IAM Anda yang saat ini menggunakan alamat format IPv4 untuk menyertakan alamat format IPv6.

Siapa yang seharusnya tidak melakukan perubahan ini?

Perubahan ini tidak memengaruhi Anda jika Anda hanya menggunakan jaringan IPv4.

Menambahkan IPv6 ke kebijakan IAM

Kebijakan IAM menggunakan tombol aws:SourceIp kondisi untuk mengontrol akses dari alamat IP tertentu. Jika jaringan Anda menggunakan pengalamatan ganda (IPv4 dan IPv6), perbarui kebijakan IAM Anda untuk menyertakan rentang alamat IPv6.

Dalam Condition elemen kebijakan Anda, gunakan NotIpAddress operator IpAddress dan untuk kondisi alamat IP. Jangan gunakan operator string, karena mereka tidak dapat menangani berbagai format alamat IPv6 yang valid.

Contoh-contoh ini digunakanaws:SourceIp. Untuk VPC, gunakan aws:VpcSourceIp sebagai gantinya.

Berikut ini adalah Menolak akses AWS berdasarkan kebijakan referensi IP sumber dari Panduan Pengguna IAM. NotIpAddressDalam Condition elemen untuk daftar dua rentang alamat IPv4, 192.0.2.0/24 dan203.0.113.0/24, yang akan ditolak akses ke API.

JSON
{
    "Version":"2012-10-17",
    "Statement": {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
            "NotIpAddress": {
                "aws:SourceIp": [
                    "192.0.2.0/24",
                    "203.0.113.0/24"
                ]
            },
            "Bool": {
                "aws:ViaAWSService": "false"
            }
        }
    }
}

Untuk memperbarui kebijakan ini, ubah Condition elemen untuk menyertakan rentang 2001:DB8:1234:5678::/64 alamat IPv6 dan. 2001:cdba:3257:8593::/64

catatan

Jangan hapus alamat IPv4 yang ada. Mereka diperlukan untuk kompatibilitas mundur.

"Condition": {
                "NotIpAddress": {
                    "aws:SourceIp": [
                        "192.0.2.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "203.0.113.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "2001:DB8:1234:5678::/64", <<New IPv6 IP address>>
                        "2001:cdba:3257:8593::/64" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }

Untuk memperbarui kebijakan ini untuk VPC, gunakan aws:VpcSourceIp sebagai pengganti: aws:SourceIp

"Condition": {
                "NotIpAddress": {
                    "aws:VpcSourceIp": [
                        "10.0.2.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "10.0.113.0/24", <<DO NOT REMOVE existing IPv4 address>>
                        "fc00:DB8:1234:5678::/64", <<New IPv6 IP address>>
                        "fc00:cdba:3257:8593::/64" <<New IPv6 IP address>>
                    ]
                },
                "Bool": {
                    "aws:ViaAWSService": "false"
                }
            }

Memverifikasi klien Anda mendukung IPv6

Jika Anda menggunakan secretsmanager. Titik akhir {region} .amazonaws.com, verifikasi bahwa Anda dapat terhubung dengannya. Langkah-langkah berikut menjelaskan cara melakukan verifikasi.

Contoh ini menggunakan Linux dan curl versi 8.6.0 dan menggunakan AWS Secrets Manager layanan yang memiliki titik akhir berkemampuan IPv6 yang terletak di titik akhir amazonaws.com.

catatan

Secretsmanager. {region} .amazonaws.com berbeda dari konvensi penamaan dual-stack yang khas. Untuk daftar lengkap titik akhir Secrets Manager, lihatAWS Secrets Manager titik akhir.

Ubah Wilayah AWS ke Wilayah yang sama di mana layanan Anda berada. Dalam contoh ini, kita menggunakan US East (N. Virginia) — us-east-1 endpoint.

  1. Tentukan apakah titik akhir diselesaikan dengan alamat IPv6 menggunakan perintah berikut. dig 

    $ dig +short AAAA secretsmanager.us-east-1.amazonaws.com 

> 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3

  2. Tentukan apakah jaringan klien dapat membuat koneksi IPv6 menggunakan perintah berikutcurl. Kode respons 404 berarti koneksi berhasil, sedangkan kode respons 0 berarti koneksi gagal.

    $ curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://secretsmanager.us-east-1.amazonaws.com 

> remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:c1c3
> response code: 404

Jika IP jarak jauh diidentifikasi dan kode respons tidak0, koneksi jaringan berhasil dibuat ke titik akhir menggunakan IPv6. IP jarak jauh harus berupa alamat IPv6 karena sistem operasi harus memilih protokol yang valid untuk klien.

Jika IP jarak jauh kosong atau kode responsnya0, jaringan klien atau jalur jaringan ke titik akhir adalah IPv4-only. Anda dapat memverifikasi konfigurasi ini dengan curl perintah berikut. 

$ curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://secretsmanager.us-east-1.amazonaws.com 

> remote ip: 3.123.154.250
> response code: 404